International

🔍 Contexte Publié le 20 mai 2026 par Akshat Pradhan (FortiGuard Labs / Fortinet), cet article présente une analyse technique approfondie de compromissions persistantes du botnet P2Pinfect détectées dans des clusters Google Kubernetes Engine (GKE) chez plusieurs clients, dont une compromission s’étendant sur six mois. 🎯 Vecteur initial et propagation Les compromissions ont pour origine des instances Redis exposées et mal configurées. P2Pinfect exploite principalement : Des vulnérabilités Redis (dont CVE-2022-0543, sandbox escape Lua) La commande SLAVEOF pour transformer des nœuds Redis ouverts en followers Un SSH password sprayer basique CVE-2025-11953 (Metro4Shell) : RCE non authentifiée dans le serveur de développement React Native Metro, exploitée à partir de novembre 2025 CVE-2025-49844 (RediShell) : RCE Redis via bypass sandbox Lua, évaluée avec faible confiance comme vecteur potentiel 🛠️ Caractéristiques techniques du malware Écrit en Rust, ciblant Linux x86_64, Windows et routeurs Binaires packés via UPX Architecture peer-to-peer décentralisée résistante au sinkholing Communication sur ports non-standard Distribution de payloads via URI uniformes (/Linux, /Windows, /IP) Argument de lancement encodé en base64, chiffré via ChaCha20 avec clé et nonce nuls (obfuscation décorative) Le blob déchiffré contient une nodelist bootstrap (header 2 octets + enregistrements IP:Port) 📦 Script de déploiement identifié Un nouveau script deployer.sh (MD5: 80676a539765a9e117f20b6b99887eca) a été identifié : ...

🗓️ Contexte Article publié le 27 mai 2026 sur Tom’s Hardware, relatant un conflit public entre le chercheur en sécurité Nightmare-Eclipse (alias Chaotic Eclipse) et Microsoft/MSRC, ayant conduit à la publication de plusieurs zero-days Windows sans coordination de divulgation responsable. ⚔️ Conflit chercheur / éditeur Le différend a débuté début avril avec la publication sans préavis du zero-day BlueHammer. Eclipse affirme que Microsoft a refusé toute communication, supprimé son compte Microsoft utilisé pour les rapports de bugs, puis banni son compte GitHub. Il allègue également ne pas avoir reçu de paiement du programme MSRC Bug Bounty (qui prévoit des récompenses de 30 000 $ à 250 000 $ selon la criticité). Eclipse a migré vers GitLab suite au bannissement. ...

🔍 Contexte Le 22 mai 2026, X41 D-Sec GmbH publie l’advisory X41-2026-002 concernant une vulnérabilité de sévérité haute (CVSS 4.0 : 7.0) affectant le framework Python Starlette, découverte lors d’un audit de code source sans rapport direct le 27 janvier 2026. 🐛 Vulnérabilité Starlette reconstruit l’URL cliente à partir du header HTTP Host et du chemin de la requête selon le schéma f"{scheme}://{host_header}{path}", sans valider le contenu du header Host conformément à la RFC 9112 Section 3.2. ...

📰 Contexte Article publié le 25 mai 2026 par Eduard Kovacs sur SecurityWeek. Il rapporte les résultats publiés par Anthropic concernant les capacités de découverte de vulnérabilités de son modèle IA Claude Mythos Preview, déployé dans le cadre du programme Project Glasswing. 🔍 Résultats clés de Claude Mythos Le modèle Claude Mythos Preview a analysé plus de 1 000 projets open source (OSS) et produit les résultats suivants : 23 000+ vulnérabilités potentielles identifiées au total 1 900 soumises à des firmes de sécurité externes pour revue 1 726 confirmées, dont plus de 1 000 classées haute ou critique Estimation d’Anthropic : ~3 900 vulnérabilités critiques/hautes confirmées sur la base des résultats actuels Projection finale : jusqu’à 6 200 vulnérabilités sévères à mesure que les scans progressent 1 100+ findings non vérifiés déjà signalés aux vendeurs 75 issues critiques/hautes patchées, 65 advisories publiés 🏢 Accès et partenaires L’accès à Mythos Preview est restreint à environ 50 organisations via Project Glasswing, en raison des risques d’abus potentiels : ...

🎯 Contexte L’article est publié le 21 mai 2026 par l’équipe SafeDep sur leur blog technique. Il documente une campagne d’attaque massive sur la chaîne d’approvisionnement logicielle, baptisée megalodon, détectée après que le moteur d’analyse Malysis de SafeDep a flagué le package npm @tiledesk/tiledesk-server@2.18.12. 📅 Déroulement de la campagne Le 18 mai 2026, entre 11h36 et 17h48 UTC, un attaquant a poussé 5 718 commits malveillants sur 5 561 dépôts GitHub distincts en utilisant : ...

🌐 Contexte Publié le 22 mai 2026 par Check Point Research, cet article documente les opérations du groupe de menace Nimbus Manticore (également suivi sous le nom UNC1549), affilié aux Gardiens de la Révolution iraniens (IRGC), durant la période de tensions militaires liées à l’Opération Epic Fury (campagne militaire américaine contre l’Iran lancée le 28 février 2026). 🎯 Acteur et ciblage Nimbus Manticore est un acteur sophistiqué ciblant principalement les secteurs défense, aviation et télécommunications. Lors de cette campagne, les cibles incluent des organisations dans les secteurs aviation et développement logiciel en États-Unis, Europe, Moyen-Orient (Arabie Saoudite, Israël, Émirats Arabes Unis) et Australie. ...

🗓️ Contexte Source : HivePro Threat Advisory, publié le 25 mai 2026. Cet article documente l’escalade majeure de la campagne de supply chain du groupe TeamPCP (alias PCPcat, ShellForce, DeadCatx3, CipherForce, Persy_PCP, UNC6780) au cours du mois de mai 2026. 🎯 Acteur de menace TeamPCP est un groupe à motivation financière, actif depuis fin 2025, initialement documenté comme un crew d’exploitation cloud-native ciblant des APIs Docker et clusters Kubernetes exposés. En mars 2026, il a pivoté vers une campagne de supply chain en cascade ciblant Trivy, Checkmarx KICS, LiteLLM, Telnyx et des dizaines de packages npm. ...

🔍 Contexte Publié le 19 mai 2026 par Imran Azad sur le blog de HUMAN Security, cet article présente les conclusions de l’équipe Satori Threat Intelligence and Research Team concernant l’opération Trapdoor, une campagne de fraude publicitaire Android de grande envergure détectée et neutralisée par HUMAN. 🎯 Description de l’opération Trapdoor Trapdoor est un schéma Android multi-étapes qui fusionne malvertising (distribution) et fraude publicitaire (monétisation) en un système auto-entretenu : 455 applications Android malveillantes impliquées 183 domaines C2 contrôlés par les acteurs de la menace 659 millions de bid requests par jour au pic de l’activité 24 millions de téléchargements d’applications liées à l’opération ⚙️ Mécanisme en deux étapes Étape 1 – Distribution via malvertising : L’utilisateur télécharge une application utilitaire légitime en apparence (ex : lecteur PDF) depuis le Google Play Store. Après installation, l’app lance des campagnes de malvertising affichant une fausse alerte de mise à jour. Si l’utilisateur clique, une seconde application malveillante est installée. ...

📰 Source : Hackread.com — Date : 25 mai 2026 Un acteur malveillant opérant sous l’alias “Euphoric_Reply_5727” a mis en vente sur un forum cybercriminel connu une base de données présentée comme contenant 340 millions d’enregistrements liés à des utilisateurs OnlyFans (créateurs et abonnés). Le prix affiché est de 0,313 BTC (environ 24 007 USD au moment de la publication). 🔍 Nature de la base de données Contrairement aux affirmations initiales du listing évoquant des « bases de données internes OnlyFans », le vendeur a confirmé à Hackread.com via Telegram qu’aucune intrusion directe ni scraping de la plateforme n’a eu lieu. La base aurait été constituée par corrélation de données issues de fuites antérieures (Twitter, Instagram, Spotify) et de profils publics, afin d’identifier et lier des comptes OnlyFans réels. ...

🗓️ Contexte Source : HaveIBeenPwned (https://haveibeenpwned.com/Breach/7-Eleven), publié le 24 mai 2026. L’incident concerne une violation de données survenue en avril 2026 chez 7-Eleven, enseigne internationale de commerce de détail. 🎯 Nature de l’attaque Le groupe cybercriminel ShinyHunters a conduit une campagne d’extorsion de type « pay or leak » (payer ou les données seront publiées). Face au refus ou à l’absence de paiement, les données ont été publiées dans le courant du mois d’avril 2026. ...