International

🌐 Contexte Publié le 25 mai 2026 par le Google Threat Intelligence Group (GTIG), cet article présente une analyse approfondie de l’écosystème Phishing-as-a-Service (PhaaS) en langue chinoise, en pleine expansion face à l’écosystème russophone historiquement dominant. GTIG a analysé une douzaine de plateformes actives, toutes considérées comme matures. 🎯 Caractéristiques distinctives de l’écosystème PhaaS chinois Cibles quasi exclusivement non-chinoises : les organisations imitées sont étrangères, suggérant que la Chine elle-même est rarement visée Ciblage opportuniste du grand public, contrairement aux PhaaS russophones qui visent les clients de grandes organisations Opérations ouvertes : faible souci de l’OPSEC, publications de photos de style de vie luxueux sur Telegram Publicité via Telegram plutôt que WeChat ou QQ Offre étendue : PII, enregistrement de domaines, hébergement VPS, location de serveurs, blanchiment d’argent, IMSI catchers, services de spam, données de cartes bancaires volées ⚙️ TTPs notables Livraison via RCS et iMessage : exploitation du chiffrement de bout en bout pour contourner les filtres de sécurité des opérateurs SMS ; messages enrichis (accusés de lecture, indicateurs de frappe, images HD) pour maximiser la crédibilité des leurres Interception en temps réel : panneau d’administration live permettant à l’attaquant de capturer les OTP en quelques secondes, contournant ainsi le MFA Exploitation des wallets numériques : provisionnement de la carte de la victime dans un wallet numérique sur un appareil contrôlé par l’attaquant via les credentials et OTP volés, permettant paiements sans contact, transactions de haute valeur et retraits ATM Automatisation par IA : génération de pages de phishing uniques par clonage de sites légitimes (HTML, CSS, JavaScript) via des outils comme Puppeteer, rendant la détection par signature inefficace 🔍 Cas d’étude : YY Lai Yu (YY来鱼) Première publicité en août 2024, géré par « YY Lai Yu », « Jeffrey Carrie » et « Very casual » Supporte le phishing dans 119 pays, avec focus principal sur le Japon Depuis novembre 2025 : plus de 400 templates de phishing ciblant des marques japonaises (Amazon, Apple, DMM, Epos Card, JA Bank, JCB Card, JR, Matsui Securities, Mercari, Monex, Nintendo, Nomura Securities, Orico Card, PayPay, Rakuten Securities, Sagawa Express) Leurres culturellement adaptés : expiration de points de fidélité, subvention hivernale d’électricité au Japon Anti-bot via vérification humaine (clic manuel requis avant la page de phishing) pour contrer l’analyse automatisée Utilisation du service d’enregistrement de domaines Alibaba Panel permettant : requête des données phishées, blocklist par numéro BIN, blocklist par pays/territoire, gestion de domaines et d’utilisateurs opérateurs 📊 Type d’article Il s’agit d’une publication de recherche produite par GTIG, visant à documenter l’évolution structurelle et technique de l’écosystème PhaaS sinophone, ses TTPs émergents et ses capacités de localisation à l’échelle mondiale. ...

🔍 Contexte Publié le 22 mai 2026 par PolySwarm (The Hivemind), cet article s’appuie sur une analyse de Microsoft pour décrire l’évolution significative du malware Kazuar, associé à l’acteur étatique russe Secret Blizzard (alias Turla, Venomous Bear, Uroburos, Snake). L’analyse couvre des campagnes ciblant l’Europe, l’Asie centrale et l’Ukraine. 🎯 Cibles Les secteurs visés incluent : Gouvernements et ministères des affaires étrangères Organisations diplomatiques et ambassades Secteur de la défense et contractants Institutions de recherche 🧩 Architecture modulaire de Kazuar Kazuar a abandonné sa structure monolithique pour un écosystème modulaire composé de trois types de modules : ...

🔍 Contexte Publié le 29 mai 2026 par Push Security, cet article de recherche documente une campagne active baptisée LLMShare, qui exploite les fonctionnalités de partage de contenu des plateformes d’IA conversationnelle ChatGPT (chatgpt.com) et Claude (claude.ai) pour distribuer des malwares ciblant les utilisateurs macOS et Windows. 🎯 Technique d’attaque Les attaquants exploitent la confiance implicite accordée aux domaines chatgpt.com et claude.ai par les outils de réputation d’URL et les utilisateurs : ...

🗓️ Contexte Article publié le 23 mai 2026 par Hudson Rock sur la plateforme infostealers.com. L’analyse croise les découvertes de OX Security, SafeDep et Datadog Security Labs sur une campagne d’attaque supply chain massive nommée Megalodon. 🎯 Description de l’attaque En l’espace de six heures, des acteurs malveillants ont poussé des milliers de commits vers des dépôts GitHub publics, infectant plus de 5 000 repositories. Le vecteur principal repose sur l’injection de payloads encodés en Base64 directement dans des fichiers de workflow YAML ciblant GitHub Actions. ...

📰 Source : BBC News, publié le 27 mai 2026. Article de presse généraliste couvrant la compétition Pwn2Own Berlin 2026 et les implications de l’IA sur la recherche en vulnérabilités. 🏆 Contexte compétitif La compétition Pwn2Own, organisée par la ZeroDay Initiative, a récompensé des hackers éthiques à Berlin. Près de 1,3 million de dollars ont été distribués pour 47 nouvelles méthodes de hacking découvertes sur divers logiciels et systèmes. La hackeuse Valentina Palmiotti (alias Chompie), chercheuse en sécurité chez IBM X-Force, a remporté 20 000 $ pour un hack lié à Nvidia et 50 000 $ pour une intrusion sur un système Linux. Le hacker Orange Tsai (Taiwan) a mené son équipe à gagner 375 000 $ grâce à des chemins d’attaque complexes. ...

🔍 Contexte Publié le 22 mai 2026 par Unit 42 (Palo Alto Networks), cet article documente les activités récentes du groupe APT à nexus iranien Screening Serpens (alias UNC1549, Smoke Sandstorm, Iranian Dream Job), actif depuis au moins 2022. Les campagnes analysées couvrent la période mi-février à avril 2026, en corrélation avec un conflit régional débuté le 28 février 2026 au Moyen-Orient. 🎯 Ciblage et victimologie Les entités ciblées sont localisées dans : ...

🔍 Contexte Publié le 28 mai 2026 par Plume Security Labs (Plume Design, Inc.), ce rapport de recherche en deux parties documente l’investigation menée sur les appareils de streaming SuperBox (séries S4, S5, S6, S6MAX). L’enquête a débuté après que le NOC de Plume a détecté un volume anormal de trafic sortant provenant de ces appareils au sein de réseaux résidentiels, menaçant leur stabilité. 🎯 Vecteurs d’infection identifiés L’investigation a mis en évidence plusieurs vecteurs permettant l’installation de logiciels malveillants : ...

🔍 Contexte Publié le 26 mai 2026 par Elastic Security Labs (auteurs : Samir Bousseaden et Terrance DeJesus), cet article constitue une analyse technique détaillée du kit Phishing-as-a-Service (PhaaS) Tycoon 2FA, attribué à Storm-1747 par Microsoft Threat Intelligence. Malgré un démantèlement coordonné en mars 2026 impliquant Microsoft, Europol, Cloudflare, SpyCloud et eSentire (plus de 300 domaines saisis), le kit a repris ses activités dès fin avril 2026. ⚙️ Mécanisme AiTM Tycoon 2FA opère comme un proxy inverse en temps réel entre la victime et le fournisseur d’identité légitime (Entra ID ou Google). Le flux d’attaque comprend : ...

🔍 Contexte Publié le 22 mai 2026 par Kazuki Fujisawa (Trend Micro), cet article documente l’évolution technique du malware InvisibleFerret utilisé par Void Dokkaebi (alias Famous Chollima), un groupe d’intrusion aligné avec la Corée du Nord. 🎯 Acteur et cibles Void Dokkaebi cible systématiquement les développeurs de logiciels détenant des credentials de wallets cryptomonnaies, des clés de signature, et des accès aux pipelines CI/CD et infrastructures de production. Le vecteur initial historique repose sur de fausses offres d’emploi dans des entreprises crypto et IA, incitant les développeurs à cloner et exécuter des dépôts de code. ...

🔍 Contexte Source : DarkAtlas (https://darkatlas.io/blog/behind-payload-in-depth-technical-analysis-of-payload-ransomware), publiée le 25 mai 2026. Il s’agit d’une analyse technique approfondie du ransomware Payload, un groupe apparu publiquement en février 2026 avec une empreinte mondiale de victimes. 🌍 Victimologie Au 24 mars 2026, le groupe avait revendiqué 50 victimes sur son site de fuite. Les pays impactés incluent : Égypte Mexique Pologne Autres régions non précisées ⚙️ Mécanisme de chiffrement Le ransomware utilise une combinaison cryptographique robuste : ...