Europe

🔍 Contexte Publié le 31 mars 2026 par Group-IB, cet article documente une campagne active de distribution du Phantom Stealer, un infostealer commercial vendu sous forme de service (Stealer-as-a-Service), détectée et bloquée par la solution Business Email Protection de Group-IB. 🎯 Campagne observée Entre novembre 2025 et janvier 2026, cinq vagues distinctes d’emails de phishing ont ciblé des organisations européennes dans les secteurs de la logistique, de la fabrication industrielle et de la technologie. Le même expéditeur usurpé — une société légitime de commerce d’équipements — a été utilisé tout au long de la campagne, avec rotation des lignes d’objet, des noms de pièces jointes et de l’infrastructure d’envoi. ...

Source: Korben — L’article relaie une publication d’IMDEA Networks et d’armasuisse montrant que les capteurs de pression des pneus (TPMS) émettent en clair des identifiants uniques sur 433 MHz, rendant possible le suivi passif de véhicules à grande échelle. Les chercheurs ont déployé 5 récepteurs SDR (~100 $ chacun, un Raspberry Pi 4 + un dongle RTL‑SDR) durant 10 semaines dans une ville et ont capté plus de 6 millions de messages provenant de plus de 20 000 véhicules. En corrélant les identifiants TPMS entre plusieurs points d’écoute, ils ont pu reconstituer des trajets, déduire des horaires de travail, identifier des jours de télétravail et même estimer des variations de charge du véhicule (indicatives de passagers), le tout sans caméras, GPS ni accès au réseau du véhicule. ...

Selon The Register, le secrétaire à la Défense des Pays-Bas, Gijs Tuinman, a déclaré dans un podcast que l’on peut « jailbreak » un F‑35 « comme un iPhone », en réponse à une question sur la capacité des forces européennes à modifier le logiciel de l’appareil sans l’autorisation des États‑Unis si ceux‑ci se retiraient en tant qu’allié. Tuinman affirme que le F‑35 est un « produit véritablement partagé » entre partenaires et soutient que, même sans mises à jour, l’avion resterait supérieur à d’autres chasseurs. Il suggère que les forces européennes opérant déjà des F‑35 pourraient entretenir le logiciel de leurs appareils, avec ou sans l’aide de Lockheed Martin. ...

Source: sec-consult.com (SEC Consult Vulnerability Lab). Les chercheurs publient une analyse détaillée des systèmes de contrôle d’accès physique dormakaba (exos 9300 et Access Manager 92xx), largement déployés en Europe, révélant plus de 20 vulnérabilités critiques affectant logiciel, firmware et matériel. • Points saillants: des APIs SOAP non authentifiées (port 8002) sur les contrôleurs permettent d’«ExecutePassagewayCommand» pour relâcher des relais et ouvrir des portes, des comptes hérités hardcodés sur le Datapoint Server (port 1005) permettent l’ouverture via commandes DR, et un service RPC historique «SecLoc Mohito» (port 4000) peut manipuler l’état/commande de portes — le tout sans authentification. Dormakaba a publié des correctifs et un guide de durcissement; mTLS est disponible sur les générations k7 avec remarques de validation de certificats. ...

Source: Bitdefender — Bitdefender rapporte que l’Agence spatiale européenne (ESA) a confirmé une nouvelle violation de cybersécurité impliquant des serveurs externes utilisés pour des activités d’ingénierie collaborative, tandis qu’un acteur malveillant revendique une exfiltration massive. — Contexte et confirmation officielle — L’ESA indique que des pirates ont obtenu un accès non autorisé à des serveurs situés hors de son réseau d’entreprise. L’agence précise que « seul un très petit nombre de serveurs externes » pourrait être concerné et qu’ils supportent des activités d’ingénierie collaborative « non classifiées ». Une analyse de sécurité judiciaire est en cours et des mesures ont été prises pour sécuriser les appareils potentiellement affectés. — Revendications et portée potentielle — ...

Source : Securonix Threat Research — Analyse technique d’une campagne active baptisée PHALT#BLYX ciblant le secteur de l’hôtellerie en Europe, utilisant des leurres Booking.com, la tactique « ClickFix » (faux CAPTCHA puis faux écran bleu), et l’abus de MSBuild.exe pour livrer un RAT de type DCRat/AsyncRAT. • Le flux d’infection repose sur un email de phishing « annulation de réservation » avec montants en euros, redirigeant vers un faux site Booking.com. L’utilisateur est poussé à cliquer « Refresh », un faux BSOD s’affiche et l’invite à coller une commande PowerShell (ClickFix) depuis le presse‑papiers. Le script télécharge un projet MSBuild (v.proj) depuis 2fa-bns[.]com, exécuté par msbuild.exe pour dérouler la suite de l’infection. ...

Source: BleepingComputer (Sergiu Gatlan), 30 décembre 2025, mise à jour le 2 janvier. L’ESA a confirmé une intrusion visant des serveurs externes à son réseau d’entreprise, liés à des activités d’ingénierie collaborative et contenant des informations non classifiées. 🚨 Selon des revendications publiées sur BreachForums, l’acteur malveillant dit avoir eu accès pendant une semaine aux serveurs JIRA et Bitbucket de l’ESA, avec à l’appui des captures d’écran. Il affirme avoir volé plus de 200 Go de données, incluant du code source, des pipelines CI/CD, des jetons API et d’accès, des documents confidentiels, des fichiers de configuration, des fichiers Terraform, des fichiers SQL et des identifiants en dur. 🛰️ ...

Source: AISI – Osservatorio sulla Cybersecurity (Dipartimento di Management ed Economia). Contexte: rapport du Laboratorio di Analisi Malware dirigé par Luigi Martire, disséquant une chaîne malspam distribuant l’infostealer PureLogs. Les chercheurs ont identifié une nouvelle chaîne de malspam utilisée pour diffuser l’infostealer PureLogs, un malware spécialisé dans le vol massif de données sensibles. La campagne repose sur des emails de phishing ciblés, se faisant passer pour des communications légitimes d’entreprises de logistique, afin d’inciter les victimes à ouvrir des documents Microsoft Word piégés. ...

Selon The Register, Europol et des forces de l’ordre de 12 pays européens ont mené l’opération OTF GRIMM depuis avril, ciblant des réseaux de « violence-as-a-service » qui recrutent des mineurs en ligne pour des agressions, enlèvements et meurtres. 🚨 Résultats et périmètre de l’opération 193 arrestations en six mois, dont: 63 exécutants ou planificateurs de violences, 40 « facilitateurs », 84 recruteurs et 6 « instigateurs » (dont 5 « cibles de haute valeur »). Participation d’enquêteurs de Belgique, Danemark, Finlande, France, Allemagne, Islande, Pays-Bas, Norvège, Espagne, Suède, Royaume‑Uni, avec Europol et des fournisseurs de services en ligne. 🧷 Cas notables cités ...

Selon Volexity (blog Threat Intelligence, 4 décembre 2025), le groupe russe UTA0355 mène de nouvelles campagnes ciblées abusant des flux d’authentification OAuth et Device Code pour phisher des utilisateurs et accéder à leurs comptes, en usurpant des événements de sécurité internationaux en Europe. — Campagne « Belgrade Security Conference » (BSC) 🎣 Utilisation de courriels dans un fil légitime et de conversations WhatsApp avec construction de confiance, puis envoi d’un lien menant à un flux OAuth Microsoft. L’utilisateur était incité à transmettre l’URL contenant le code/token pour « finaliser l’inscription ». Après compromission, accès étendu aux fichiers Microsoft 365; persistance via enregistrement d’un nouvel appareil dans Microsoft Entra ID avec le même nom qu’un appareil existant; user-agent Android « Dalvik/2.1.0…; Xiaomi » alors que l’accès prétendait venir d’un iPhone. — Extension des opérations (site bsc2025[.]org) 🌐 ...