États-Unis, Israël

🔍 Contexte Publié le 28 mars 2026 par Beazley Security Labs en collaboration avec Halcyon, cet article présente une analyse technique approfondie d’une intrusion récente attribuée au groupe Pay2Key, un acteur de menace d’origine iranienne actif depuis 2020. L’analyse couvre à la fois les évolutions techniques du groupe et une chaîne d’attaque complète observée lors d’un incident en Q1 2026 dans une organisation de santé américaine. 🎭 Attribution et contexte géopolitique Pay2Key est suivi sous plusieurs noms : Fox Kitten, Pioneer Kitten, UNC757, Parasite, RUBIDIUM, Lemon Sandstorm. En août 2024, le FBI, la CISA et le DoD Cyber Crime Center ont officiellement attribué le groupe à l’Iran, qualifiant ses opérations d’« information operation » visant les infrastructures américaines et israéliennes. Les paiements de rançon ont historiquement transité par Excoino, une plateforme d’échange de cryptomonnaies iranienne. L’activité du groupe s’intensifie systématiquement lors de tensions géopolitiques impliquant l’Iran. ...

TechCrunch (article de Lorenzo Franceschi-Bicchierai) détaille la publication par NSO Group d’un rapport de transparence 2025 présenté comme une « nouvelle phase de responsabilité », mais dépourvu de chiffres vérifiables. Le document affirme respecter les droits humains et imposer des contrôles à ses clients, sans apporter de preuves ni d’indications sur les rejets, enquêtes, suspensions ou résiliations liés à des abus. 🧾 Des expertes et ONG (Access Now, Citizen Lab) estiment que cette démarche s’inscrit dans une campagne visant à obtenir la sortie d’NSO de l’Entity List américaine. Le texte rappelle de récents changements de gouvernance et d’actionnariat (nomination de David Friedman comme executive chairman, départ du CEO Yaron Shohat et du cofondateur Omri Lavie) à la suite de l’acquisition par un groupe d’investisseurs américains. Selon Natalia Krapiva (Access Now), ces annonces relèvent d’un « habillage » et ne prouvent pas une transformation substantielle. 🕵️‍♂️ ...

404 Media rapporte qu’un service de messagerie utilisé par l’ancien conseiller à la sécurité nationale Mike Waltz a été temporairement fermé suite à une cyberattaque. TeleMessage, une entreprise israélienne, a vu ses données compromises, notamment des contenus de messages envoyés via des versions modifiées de Signal, WhatsApp, Telegram, et WeChat, utilisées pour archiver des communications pour le gouvernement américain. TeleMessage a été acquise par Smarsh, une société basée à Portland, Oregon, en février 2024. Smarsh a annoncé la suspension temporaire des services de TeleMessage pour enquêter sur l’incident de sécurité, en collaboration avec une entreprise de cybersécurité externe. ...