Entités militaires sud-est asiatiques ciblées via CVE-2026-41940 (cPanel) avec exfiltration de données chinoises

🔍 Contexte Le 2 mai 2026, Ctrl-Alt-Intel publie une analyse de threat research basée sur la découverte d’un serveur de staging attaquant exposé. L’article fait suite à la divulgation publique de CVE-2026-41940, un bypass d’authentification critique dans cPanel & WHM (versions après 11.40), initialement documenté par watchTowr Labs le 29 avril 2026. 🎯 Victimologie L’acteur a ciblé principalement : Philippine Coast Guard Philippine Air Force, 15th Strike Wing Philippine Government Arsenal, Department of National Defense Lao Ministry of National Defence Lao Ministry of Natural Resources and Environment MSPs et hébergeurs aux Philippines, Laos, Canada, Afrique du Sud et États-Unis Un portail de formation du secteur de la défense indonésien Des organisations chinoises du secteur ferroviaire (China Railway Society Electrification Committee) ⚙️ Techniques d’attaque Exploitation CVE-2026-41940 : L’acteur a utilisé des PoC publics pour forger des sessions WHM en injectant des valeurs user=root, hasroot=1, tfa_verified=1, obtenant un accès root non authentifié. ...

4 mai 2026 · 4 min

Le FBI alerte sur une hausse des vols de fret cyber-activés aux États-Unis et au Canada

📢 Contexte Le 30 avril 2026, le FBI a publié une annonce de service public (PSA) alertant les secteurs du transport et de la logistique d’une forte hausse des vols de fret cyber-activés aux États-Unis et au Canada. L’information est relayée par BleepingComputer. 📊 Chiffres clés Pertes estimées en 2025 : près de 725 millions de dollars (+60% par rapport à l’année précédente) Incidents confirmés : hausse de 18% en 2025 Valeur moyenne par vol : 273 990 dollars (+36%), reflétant un ciblage plus sélectif des chargements à haute valeur 🔍 Modes opératoires identifiés Les attaquants opèrent selon un schéma en plusieurs étapes : ...

4 mai 2026 · 3 min

Meta rompt son contrat avec Sama après que des travailleurs ont signalé des vidéos privées captées par Ray-Ban Meta

📰 Source : Ars Technica, 30 avril 2026. Cet article relate les suites d’un scandale de confidentialité impliquant Meta, ses lunettes connectées Ray-Ban Meta et son sous-traitant en annotation de données Sama, firme basée au Kenya. 🔍 Contexte : En février 2026, des travailleurs de Sama avaient témoigné auprès de journalistes suédois (Svenska Dagbladet, Göteborgs-Posten) et de la journaliste kényane Naipanoi Lepapa avoir visionné des vidéos sensibles et privées — incluant des scènes de rapports sexuels, de personnes se déshabillant ou utilisant les toilettes — enregistrées par des utilisateurs de Ray-Ban Meta, parfois à leur insu. ...

4 mai 2026 · 3 min

Publicité malveillante pour Homebrew distribue le stealer MacSync sur macOS

📅 Source : SANS Internet Storm Center (diary de Brad Duncan), publié le 2026-05-01. 🎯 Contexte : Dans un contexte de croissance de l’usage des appareils macOS (MacBooks, Mac Minis), des campagnes de malvertising ciblent ces hôtes. Une annonce malveillante observée le 2026-04-30 dans les résultats de recherche Google usurpe l’identité de Homebrew, le gestionnaire de paquets tiers pour macOS. 🔗 Vecteur d’infection : La publicité redirige vers une fausse page Homebrew hébergée sur sites.google.com/view/brewpage. Cette page présente un script à copier-coller que la victime est invitée à exécuter dans un terminal macOS. ...

4 mai 2026 · 3 min

QLNX : un RAT Linux furtif ciblant la supply chain logicielle avec rootkit et backdoor PAM

🔍 Contexte Publié le 4 mai 2026 par les chercheurs Aliakbar Zahravi et Ahmed Mohamed Ibrahim de Trend Micro, cet article présente l’analyse technique complète de Quasar Linux (QLNX), un implant Linux précédemment non documenté découvert via une approche de threat hunting assistée par IA. Le malware présente un taux de détection très faible et cible spécifiquement les environnements de développement logiciel. 🎯 Cibles et objectifs QLNX est conçu pour compromettre les développeurs et équipes DevOps afin d’infiltrer la chaîne d’approvisionnement logicielle. Son module de credential harvesting cible explicitement : ...

4 mai 2026 · 5 min

Shadow-Earth-053 : nouveau groupe espion chinois infiltre des réseaux critiques en Pologne et en Asie

🌐 Contexte Source : The Register (exclusivité), publié le 30 avril 2026. Rapport d’investigation de TrendAI partagé en exclusivité. L’activité malveillante a débuté en décembre 2024 et des traces ont été détectées aussi récemment qu’avril 2026. 🎯 Acteurs de la menace Deux nouveaux groupes liés à la Chine ont été identifiés : Shadow-Earth-053 : groupe principal, ciblant gouvernements, contractants de défense, entreprises technologiques et secteur des transports. Shadow-Earth-054 : groupe connexe, partageant les mêmes vulnérabilités exploitées, hashes d’outils identiques et techniques similaires. Présente des chevauchements réseau avec CL-STA-0049 (Unit 42 / Palo Alto Networks), REF7707 (Elastic Security Labs) et Earth Alux. Tom Kellermann (TrendAI) compare ces groupes à Salt Typhoon et Volt Typhoon, les qualifiant de « jeunes frères et sœurs des campagnes Typhoon ». ...

4 mai 2026 · 4 min

Stelia North America (Airbus) victime d'une attaque ransomware

🗓️ Contexte Source : Aviation Business News — Article publié le 29 avril 2026. L’information repose sur une déclaration officielle de Stelia North America confirmant l’incident. 🎯 Nature de l’incident Stelia North America, entité détenue par Airbus Atlantic, a été victime d’une attaque de type ransomware. L’entreprise a confirmé l’incident dans un communiqué officiel. 🛡️ Réponse à l’incident Dès la détection, les mesures suivantes ont été activées : Activation des protocoles de cyberdéfense Isolation des systèmes affectés Lancement d’une investigation forensique complète avec des experts externes en cybersécurité 📌 Périmètre d’impact Selon la déclaration de Stelia, l’incident est strictement contenu à l’environnement IT de Stelia North America et n’impacte pas le réseau Airbus Atlantic dans son ensemble. ...

4 mai 2026 · 2 min

Attaque DDoS pro-iranienne paralyse l'infrastructure Ubuntu/Canonical depuis plus de 24h

🗓️ Contexte Article publié le 1er mai 2026 sur Ars Technica par Dan Goodin. L’article couvre une panne majeure de l’infrastructure d’Ubuntu et de sa maison mère Canonical, survenue le jeudi précédant la publication. 💥 Incident principal Les serveurs d’Ubuntu et de Canonical ont été mis hors ligne suite à une attaque DDoS soutenue et transfrontalière, selon la page de statut officielle de Canonical. La panne dure depuis plus de 24 heures au moment de la publication. ...

3 mai 2026 · 2 min

Attaque supply-chain en cascade : Trivy, Checkmarx et Bitwarden compromis par TeamPCP et Lapsu$

🗓️ Contexte Source : Ars Technica, article de Dan Goodin publié le 29 avril 2026. L’article relate une série d’incidents en cascade sur une période de 40 jours, impliquant plusieurs entreprises de cybersécurité et deux groupes d’attaquants distincts. 🔗 Chronologie des incidents 19 mars 2026 : Compromission du compte GitHub de Trivy, scanner de vulnérabilités open source. Le groupe TeamPCP pousse du malware vers les utilisateurs de Trivy, dont Checkmarx. Le malware cible des tokens de dépôts, clés SSH et autres credentials. 23 mars 2026 : Le compte GitHub de Checkmarx est compromis à son tour et commence à distribuer du malware à ses propres utilisateurs. Checkmarx détecte et tente de remédier à la brèche. 30 mars 2026 : Date de la donnée exfiltrée et ultérieurement publiée par Lapsu$, indiquant que l’accès persistait malgré les tentatives de remédiation. 22 avril 2026 : Nouvelle vague de malware poussée depuis le compte GitHub de Checkmarx. Le dépôt Docker Hub officiel Checkmarx/kics publie également des packages malveillants. Bitwarden est aussi touché : un package malveillant est distribué via npm (@bitwarden/cli@2026.4.0) entre 17h57 et 19h30 (ET). Fin avril 2026 : Lapsu$ publie des données privées de Checkmarx sur le dark web. 🎯 Victimes et vecteurs Trivy : point d’entrée initial (compte GitHub compromis) Checkmarx : victime de la supply-chain Trivy, puis vecteur de distribution vers ses propres clients ; victime de fuite de données par Lapsu$ Bitwarden : victime de la même campagne, via le package npm @bitwarden/cli@2026.4.0 👥 Acteurs de la menace TeamPCP : groupe access-broker, responsable de la compromission de Trivy et de la collecte de credentials. Cible prioritairement les outils disposant d’accès privilégiés. Lapsu$ : groupe ransomware, principalement composé de jeunes adultes, connu pour ses intrusions dans de grandes entreprises et ses provocations publiques. A acquis les accès de Checkmarx auprès de TeamPCP. 🔧 Infrastructure commune Selon la société Socket, le payload utilisé contre Bitwarden partage le même endpoint C2 et la même infrastructure core que le malware utilisé contre Checkmarx, établissant le lien avec la campagne Trivy. ...

3 mai 2026 · 3 min

Claude Mythos et l'essor des script kiddies augmentés par l'IA en 2026

📰 Source : The Verge, publié le 28 avril 2026, par Yael Grauer. Article de presse spécialisée analysant l’impact des modèles d’IA sur le paysage des menaces cybersécurité. Contexte En août 2025, le DARPA Artificial Intelligence Cyber Challenge (AIxCC) a réuni les meilleures équipes de cybersécurité à Las Vegas pour tester des systèmes automatisés de détection de bugs sur 54 millions de lignes de code. Ces systèmes ont non seulement identifié les failles artificiellement injectées, mais ont également découvert plus d’une douzaine de bugs non insérés par DARPA. ...

3 mai 2026 · 3 min
Dernière mise à jour le: 1 juillet 2026 📝