International

🎯 Contexte Source : BleepingComputer, publié le 27 mai 2026. Microsoft a découvert et analysé une campagne de cryptojacking active ciblant spécifiquement les systèmes équipés de GPU haute performance, diffusée via une opération coordonnée de SEO poisoning et de manipulation de recommandations de chatbots IA. 🔗 Vecteur d’infection initial Les victimes sont attirées vers des pages de téléchargement malveillantes imitant des utilitaires légitimes populaires : CrystalDiskInfo HWMonitor Display Driver Uninstaller FurMark K-Lite Codec Pack PDFgear Les liens malveillants sont boostés dans les résultats de recherche via SEO poisoning. En avril, des cas ont également été signalés où des chatbots IA (dont ChatGPT) ont redirigé des utilisateurs vers des domaines contrôlés par les attaquants dans leurs réponses générées. ...

🔍 Contexte Publié le 26 mai 2026 par Microsoft Defender Experts et Microsoft Defender Security Research Team, ce rapport détaille une campagne active de cryptojacking sophistiquée identifiée depuis mars 2026, combinant SEO poisoning, abus de chatbots IA, et accès distant persistant via ScreenConnect. 🎯 Ciblage et vecteur initial La campagne cible délibérément les utilisateurs possédant des GPU haute performance, en usurpant des utilitaires populaires : CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack et PDFgear. ...

🗓️ Contexte Source : TechCrunch, publié le 27 mai 2026. CrowdStrike, en collaboration avec Google et l’organisation à but non lucratif Shadowserver, a annoncé le démantèlement d’un botnet baptisé Glassworm, utilisé par des cybercriminels pour distribuer des malwares et voler des identifiants auprès de développeurs de logiciels open source. 🎯 Acteurs et cibles Le groupe derrière Glassworm opère depuis deux ans et cible spécifiquement les développeurs open source ainsi que la chaîne d’approvisionnement logicielle. L’objectif est de compromettre des postes de travail de développeurs pour propager des logiciels malveillants vers des milliers d’organisations en aval. ...

🔍 Contexte Le 25 mai 2026, BleepingComputer relaie une alerte du FBI concernant la plateforme Kali365, un service de phishing-as-a-service (PhaaS) apparu en avril 2026 et distribué via Telegram. Cette alerte s’appuie également sur des recherches publiées par Arctic Wolf. ⚙️ Mécanisme d’attaque Kali365 exploite le flux OAuth 2.0 Device Authorization Grant de Microsoft, conçu à l’origine pour les appareils à capacités d’entrée limitées (TV connectées, imprimantes, IoT). Le processus d’attaque se déroule ainsi : ...

🕵️ Contexte Source : Picus Security (blog), publié le 23 mai 2026. L’article présente une analyse technique de la chaîne d’attaque, des outils et des tactiques du groupe ransomware NightSpire, identifié pour la première fois début 2025. 🎯 Campagne et victimologie NightSpire a frappé au moins 64 organisations dans 33 pays entre mars et juin 2025. Les États-Unis arrivent en tête des victimes, suivis par la Turquie, Hong Kong, le Japon, Taïwan, le Mexique, l’Espagne et l’Égypte. ...

🗓️ Contexte Article publié le 25 mai 2026 sur KrebsOnSecurity, relatant une opération judiciaire néerlandaise menée le 18 mai 2026 contre deux hébergeurs liés à l’infrastructure cyber russe. 🚔 Opération judiciaire Le 18 mai 2026, l’agence néerlandaise de lutte contre la criminalité financière FIOD a arrêté deux individus : Andrey Nesterenko, 39 ans, ressortissant russe, fondateur de MIRhosting, basé aux Pays-Bas Youssef Zinad, 57 ans, d’Amsterdam, co-dirigeant de WorkTitans BV Les deux suspects sont inculpés de violation de la législation sur les sanctions pour avoir mis des ressources économiques à disposition d’entités sanctionnées par l’UE. ...

📌 Contexte Source : CERT.at — Publication du 27 mai 2026. Le CERT autrichien publie une alerte concernant une collaboration observée entre la campagne de phishing ZipLine et le groupe Qilin, opérant sous un modèle Ransomware-as-a-Service (RaaS). 🔗 Chaîne d’attaque Le CERT.at indique que Qilin acquiert des accès initiaux (Initial Access) auprès des opérateurs de la campagne ZipLine, puis les réutilise pour ses propres opérations de chiffrement et d’extorsion. Des cas confirmés ont été recensés en Autriche, et un incident en Suisse a également identifié la chaîne ZipLine comme cause racine. ...

🌐 Contexte Source : ellio.tech, publiée le 27 mai 2026. L’article présente une analyse technique d’un réseau d’hébergement bulletproof d’origine russe qui a maintenu ses activités malgré des sanctions et des saisies, en ciblant l’Union Européenne. 🏗️ Infrastructure identifiée L’analyse documente quatre ASN distincts constituant ce réseau : ASN Organisation Rôle AS44477 Pq Hosting Plus S.r.l. Réseau Stark originel, rebaptisé PQ après sanctions AS209847 WorkTitans B.V. THE.Hosting — infrastructure principale post-sanctions AS213999 WorkTitans B.V. THE.Hosting — infrastructure secondaire AS33993 UFO Hosting LLC (Moscou) Canal latéral stable, 100 % basé en Russie 📅 Chronologie d’activité AS44477 (Stark / PQ) : actif avant janvier 2025, dernière activité en octobre 2025, inactif sur les 90 derniers jours AS209847 (THE.Hosting) : apparu le 5 août 2025, actif jusqu’au 26 mai 2026, avec environ 107 IPs distinctes sur les 90 derniers jours AS213999 (THE.Hosting) : apparu le 29 mars 2026, dernière activité le 25 avril 2026, dormant AS33993 (UFO, Moscou) : apparu le 16 avril 2025, dernière activité le 24 mai 2026, activité faible 🔍 Observations clés Le réseau a survécu aux sanctions en se relabellisant (Stark → PQ Hosting) et en migrant vers de nouvelles entités juridiques (WorkTitans B.V.) AS209847 constitue l’infrastructure principale active avec une présence soutenue (~107 IPs distinctes récentes) AS33993 (UFO Hosting, Moscou) représente un canal secondaire entièrement basé en Russie, maintenu en parallèle La structure multi-ASN sous différentes entités légales illustre une stratégie de résilience face aux mesures de démantèlement 📄 Nature de l’article Il s’agit d’une analyse de menace publiée par Ellio Tech, visant à documenter la persistance et l’évolution d’une infrastructure d’hébergement bulletproof russe ciblant l’UE, à des fins de threat intelligence et de suivi d’infrastructure malveillante. ...

📰 Source : The Record Media | Date : 27 mai 2026 Catalin Dragomir, ressortissant roumain de 46 ans, a été condamné à 56 mois de prison après avoir plaidé coupable à un chef d’usurpation d’identité aggravée et un chef d’accès non autorisé à un ordinateur protégé. Il avait été arrêté en Roumanie en novembre 2024 et extradé vers les États-Unis. 🎯 Cible principale : L’Office of Emergency Management de l’Oregon (agence gouvernementale d’État), ainsi que 10 entreprises américaines supplémentaires. ...

🔍 Contexte Publié le 27 mai 2026 par la Proofpoint Emerging Threats Team, ce rapport s’appuie sur deux flux de télémétrie : la surveillance des emails ciblés (centaines de millions de messages quotidiens) et un réseau de plus de 5 000 capteurs réseau ayant généré plus de 3 millions d’alertes en 2026. L’article dresse un bilan de l’exploitation des CVE 2026 dans la nature. 📧 Télémétrie email : 3 CVE weaponisées CVE-2026-21509 (Microsoft Office, RCE via RTF/OLE) : weaponisée par TA422 (APT28) dans les 24 heures suivant sa divulgation publique en janvier 2026. Ciblage d’agences gouvernementales ukrainiennes et d’entités européennes (défense, transport, diplomatie) via spear-phishing avec leurres institutionnels haute fidélité. La chaîne d’infection aboutit au backdoor NotDoor Outlook et aux implants Covenant Grunt. L’infrastructure C2 utilise filen.io comme service de stockage cloud. ...