International

📰 Source : BleepingComputer — Date de publication : 17 mai 2026 Un chercheur en sécurité connu sous les pseudonymes Chaotic Eclipse ou Nightmare Eclipse a publié un exploit proof-of-concept (PoC) pour une vulnérabilité zero-day Windows baptisée MiniPlasma, permettant une escalade de privilèges jusqu’au niveau SYSTEM sur des systèmes Windows 11 entièrement à jour (incluant les mises à jour Patch Tuesday de mai 2026). 🔍 Détails techniques La faille affecte le driver cldflt.sys (Cloud Filter driver) et plus précisément la routine HsmOsBlockPlaceholderAccess. Elle permet la création de clés de registre arbitraires dans la ruche .DEFAULT sans vérification d’accès appropriée, via une API non documentée CfAbortHydration. Cette vulnérabilité avait été initialement découverte et signalée à Microsoft en septembre 2020 par James Forshaw (Google Project Zero), assignée sous l’identifiant CVE-2020-17103 et supposément corrigée en décembre 2020. Le chercheur affirme que le correctif n’a jamais été réellement appliqué ou a été silencieusement révoqué. ...

🔍 Contexte Publié le 5 mai 2026 par Trend Micro (Numaan Huq et Andre Alves), ce rapport de recherche présente les résultats d’une analyse systématique des serveurs DICOM (Digital Imaging and Communications in Medicine) exposés sur Internet, réalisée entre novembre et décembre 2025 via l’outil de scan Shodan.io. 📊 Périmètre de l’exposition L’analyse a identifié 3 627 serveurs DICOM validés (3 542 adresses IP uniques) accessibles depuis l’internet public, répartis dans plus de 100 pays : ...

🗓️ Contexte Analyse publiée le 12 mai 2026 par SecurityWeek, basée sur un rapport technique d’Aryaka Threat Research Labs. L’article décrit en détail la campagne malveillante CRPx0, ciblant les systèmes Windows et macOS, avec des capacités Linux en cours de développement. 🎣 Vecteur d’infection initial La campagne repose sur un leurre d’ingénierie sociale : l’offre d’un accès gratuit à OnlyFans. Les victimes téléchargent une archive OnlyfansAccounts.zip contenant : Un fichier raccourci LNK (Onlyfans Accounts.lnk) Un fichier texte apparent (Accounts.txt) affichant de faux identifiants (« 50 working Onlyfans account ») En arrière-plan, le malware s’installe, établit la persistance et contacte son C2 pour collecter des données d’environnement. Il vérifie périodiquement l’existence de mises à jour et s’auto-met à jour. ...

🗓️ Contexte Source : BBC News, publié le 12 mai 2026. L’article couvre les suites d’une cyberattaque par extorsion contre Instructure, éditeur de la plateforme d’apprentissage en ligne Canvas, découverte le 29 avril 2026 et revendiquée par le groupe Shiny Hunters. 🎯 Nature de l’attaque L’attaque a entraîné la compromission de 3,5 téraoctets de données appartenant à des étudiants et à des établissements d’enseignement. Les hackers ont affiché une note de rançon directement sur les écrans des utilisateurs connectés à Canvas, exigeant un paiement en bitcoin. Shiny Hunters affirme avoir compromis Canvas à trois reprises : une première fois divulguée par Instructure en septembre 2025, une seconde en avril 2026, et la troisième le 29 avril 2026. ...

🔍 Contexte Publié le 7 mai 2026 par l’équipe SOCRadar Threat Research, ce rapport constitue la première documentation publique d’Operation HookedWing, une campagne de phishing active depuis 2022 et non attribuée à ce jour à un acteur connu. 🎯 Ciblage et victimologie La campagne a compromis plus de 2 500 victimes uniques réparties dans plus de 500 organisations à travers le monde. Les secteurs les plus touchés sont : Aviation / Voyage (~28%) Gouvernement / Administration publique (~16%) Énergie / Pétrole (~12%) Logistique / Transport (~10%) Finance / Banque (~8%) Géographiquement, les victimes se concentrent en Afrique subsaharienne et Asie du Sud (Nigeria, Népal, Ouganda, Sri Lanka, Sénégal). Le ciblage suit les corridors aériens stratégiques reliant l’Afrique, le Golfe Persique, l’Asie du Sud et l’Asie du Sud-Est. ...

🔍 Contexte Publié le 15 mai 2026 par la Ransom-ISAC Research Team, ce whitepaper technique de 120 minutes analyse le corpus Rocket.Chat du groupe The Gentlemen, un opérateur RaaS russophone actif depuis juillet/août 2025. La fuite a été initiée par un utilisateur « n345 » qui a proposé les données à la vente le 5 mai 2026 pour 10 000 USD en Bitcoin sur PwnForums, avant de les publier gratuitement le 8 mai sur CryptBB. ...

📰 Source : SecurityAffairs — Date de publication : 11 mai 2026 🔍 Contexte Crimenetwork était l’une des principales marketplaces cybercriminelles germanophones, active depuis 2012 et démantelée une première fois en décembre 2024 par les autorités allemandes. Quelques jours après ce premier démantèlement, une version relancée de la plateforme avait émergé sur une nouvelle infrastructure. ⚙️ Déroulement de l’opération L’opération a été conduite conjointement par : Le Parquet de Francfort-sur-le-Main Le ZIT (Zentralstelle zur Bekämpfung der Internetkriminalität — Bureau central de lutte contre la cybercriminalité) Le BKA (Bundeskriminalamt — Police criminelle fédérale allemande) Un suspect de 35 ans, ressortissant allemand, présumé administrateur de la plateforme relancée, a été arrêté à Majorque par les autorités espagnoles dans le cadre de cette opération. ...

🔍 Contexte Publié le 14 mai 2026 par l’équipe Research Special Operations (RSO) de Tenable, cet article de type FAQ documente l’exploitation active et continue de cinq vulnérabilités critiques dans Cisco Catalyst SD-WAN Controller et Manager, ainsi qu’une sixième vulnérabilité plus ancienne utilisée pour l’élévation de privilèges. 📅 Chronologie des divulgations 25 février 2026 : Cisco divulgue CVE-2026-20127 (CVSS 10.0, authentication bypass, déjà exploitée) et trois autres CVEs (CVE-2026-20133, CVE-2026-20128, CVE-2026-20122). CISA ajoute CVE-2026-20127 et CVE-2022-20775 au catalogue KEV. Mars 2026 : Exploitation de CVE-2026-20128 et CVE-2026-20122 confirmée. ZeroZenX Labs publie un PoC pour la chaîne CVE-2026-20133/20128/20122. Avril 2026 : Exploitation de CVE-2026-20133 confirmée. CISA ajoute CVE-2026-20133, CVE-2026-20128 et CVE-2026-20122 au KEV. 14 mai 2026 : Cisco divulgue CVE-2026-20182 (CVSS 10.0, zero-day, authentication bypass). CISA émet la Directive d’urgence 26-03 et ajoute CVE-2026-20182 au KEV avec échéance de remédiation au 17 mai 2026. 🛡️ Vulnérabilités impliquées CVE Description CVSS CVE-2026-20182 Authentication Bypass (Controller & Manager) 10.0 CVE-2026-20127 Authentication Bypass (Controller & Manager) 10.0 CVE-2026-20133 Information Disclosure (Manager) 7.5 CVE-2026-20128 Credential Access (Manager) 7.5 CVE-2026-20122 Arbitrary File Overwrite (Manager) 5.4 CVE-2022-20775 CLI Path Traversal / Privilege Escalation 7.8 🎯 Acteur principal : UAT-8616 UAT-8616, désigné par Cisco Talos comme un acteur de menace « hautement sophistiqué », exploite les infrastructures Cisco SD-WAN depuis au moins 2023. Son infrastructure présente des chevauchements avec des réseaux Operational Relay Box (ORB). Il cible des secteurs d’infrastructure critique. ...

📰 Source : Wired | Date de publication : 12 mai 2026 Un groupe de ransomware non nommé revendique une attaque contre Foxconn, géant mondial de la fabrication électronique, affirmant avoir exfiltré 8 téraoctets de données, dont des schémas techniques et des détails de projets appartenant à des clients majeurs tels que Dell, Google, Apple et Nvidia. 🏭 Foxconn a reconnu publiquement que certaines de ses usines nord-américaines ont subi une cyberattaque dans les jours précédant la publication de l’article. La société indique que les usines affectées reprennent progressivement leur production normale après des interruptions. ...

📅 Source : Unit 42 (Palo Alto Networks), publié le 15 mai 2026. Analyse technique d’une nouvelle variante du malware Gremlin Stealer, un infostealer vendu sur des forums clandestins. 🧩 Contexte Gremlin Stealer est un infostealer ciblant les navigateurs web, le presse-papiers, les portefeuilles de cryptomonnaies, les identifiants FTP/VPN, les cookies de session et les tokens Discord. La nouvelle variante identifiée exfiltre les données vers un nouveau panneau web à l’adresse http://194.87.92.109. ...