30 skills ClawHub recrutent silencieusement des agents IA dans un réseau crypto (ClawSwarm)

🔍 Contexte Article de recherche publiĂ© le 28 avril 2026 par Ax Sharma (Manifold Security). L’analyse porte sur 30 skills publiĂ©s sur la plateforme ClawHub par un auteur unique nommĂ© imaflytok, totalisant environ 9 800 tĂ©lĂ©chargements. ⚙ MĂ©canisme technique Les skills utilisent un protocole maison appelĂ© Open Agent Discovery Protocol (OADP) dont tous les endpoints pointent vers onlyflies.buzz/clawswarm. Le vecteur d’infection repose sur : Un commentaire HTML cachĂ© dans un fichier AGENTS.md créé dans le workspace de l’agent au premier lancement L’agent lit ce fichier Ă  chaque dĂ©marrage de session et envoie une requĂȘte d’enregistrement vers https://onlyflies.buzz/clawswarm/api/v1/agents/register Le serveur retourne un ID et un secret stockĂ©s dans ~/.config/clawswarm/credentials.json Un fichier HEARTBEAT.md dĂ©clenche un check-in toutes les 4 heures pour rĂ©cupĂ©rer des tĂąches Le skill clawswarm-wallet gĂ©nĂšre une clĂ© privĂ©e Hedera (HBAR) et l’envoie au serveur Le skill oadp-beacon propage les marqueurs OADP dans d’autres fichiers du workspace Le hostname de la machine est exfiltrĂ© lors du ping d’enregistrement 🎯 Objectif de la campagne Les skills fournissent une utilitĂ© rĂ©elle (gestion de cron, variables d’environnement, initialisation de workspace) pour passer les inspections superficielles. En rĂ©alitĂ©, ils constituent un funnel d’acquisition pour un rĂ©seau d’agents Ă©conomiques centrĂ© sur le token $FLY (créé le 30 dĂ©cembre 2024), avec un groupe Telegram de 32 membres publiant des rapports de suivi de baleines Hedera. ...

29 avril 2026 Â· 3 min

BlueNoroff cible le secteur Web3 via de fausses réunions Zoom, ClickFix et deepfakes IA

🔍 Contexte Arctic Wolf Labs publie le 27 avril 2026 un rapport d’analyse technique dĂ©taillĂ© d’une intrusion active dĂ©butĂ©e le 23 janvier 2026, ciblant une entreprise Web3/cryptomonnaie nord-amĂ©ricaine. L’attaque est attribuĂ©e avec haute confiance Ă  BlueNoroff, sous-groupe financiĂšrement motivĂ© du Lazarus Group nord-corĂ©en (RGB/DPRK), dans le cadre de la campagne dite “fake conference” / SnatchCrypto. 🎭 Vecteur initial : ingĂ©nierie sociale sophistiquĂ©e L’attaquant a usurpĂ© l’identitĂ© d’un responsable juridique d’un cabinet Fintech/Crypto/iGaming via Calendly, en programmant une rĂ©union cinq mois Ă  l’avance. L’invitation Google Meet gĂ©nĂ©rĂ©e a Ă©tĂ© modifiĂ©e pour substituer le lien lĂ©gitime par une URL typosquattĂ©e Zoom (ex: uu03webzoom[.]us). Plus de 80 domaines typosquattĂ©s Zoom et Teams ont Ă©tĂ© identifiĂ©s sur la mĂȘme infrastructure entre fin 2025 et mars 2026. ...

29 avril 2026 Â· 7 min

CVE-2026-32202 : faille Windows Shell activement exploitée, liée à APT28

đŸ—“ïž Contexte PubliĂ© le 28 avril 2026 par The Cyber Security Hub sur LinkedIn, cet article rapporte la confirmation par Microsoft de l’exploitation active de CVE-2026-32202, une vulnĂ©rabilitĂ© affectant le composant Windows Shell, initialement corrigĂ©e lors du Patch Tuesday d’avril 2026. 🔍 DĂ©tails de la vulnĂ©rabilitĂ© CVE-2026-32202 : score CVSS 4.3, classĂ©e comme « protection mechanism failure » permettant des attaques de spoofing via le rĂ©seau NĂ©cessite une interaction utilisateur (ouverture d’un fichier malveillant) Permet l’accĂšs Ă  des informations sensibles partielles, sans modification de donnĂ©es ni perturbation de disponibilitĂ© DĂ©couverte par Maor Dahan (Akamai), identifiĂ©e comme remĂ©diation incomplĂšte de CVE-2026-21510 Le 27 avril 2026, Microsoft a rĂ©visĂ© son advisory pour corriger la classification d’exploitabilitĂ©, le vecteur CVSS et le statut d’exploitation. ...

29 avril 2026 Â· 3 min

IOCTA 2026 : Europol dresse le panorama des cybermenaces – IA, chiffrement et proxies

🌐 Contexte PubliĂ© le 28 avril 2026 par Europol (European Union Agency for Law Enforcement Cooperation), l’Internet Organised Crime Threat Assessment (IOCTA) 2026 constitue l’évaluation annuelle la plus complĂšte des cybermenaces pesant sur l’Union europĂ©enne. Le rapport s’intitule « How encryption, proxies and AI are expanding cybercrime » et couvre les dĂ©veloppements observĂ©s principalement en 2025. 🎯 Principaux vecteurs de menace identifiĂ©s Ransomware Plus de 120 familles de ransomware actives observĂ©es par Europol en 2025 ModĂšle RaaS (Ransomware-as-a-Service) dominant, avec fragmentation croissante des opĂ©rations Groupes notables : Qilin, Akira, LockBit (tentatives de rebond avec LockBit 5.0), DragonForce, BlackBasta, Cl0p, Play, Fog En septembre 2025, une coalition DragonForce + LockBit + Qilin annoncĂ©e sur le dark web Tactiques d’extorsion multi-couches : exfiltration de donnĂ©es, DDoS simultanĂ©s, cold-calling, pression psychologique Shift de l’extorsion : de la demande de dĂ©chiffrement vers la menace de publication des donnĂ©es Fraude en ligne (OFS) Fraude reprĂ©sentant la zone de croissance la plus rapide de la criminalitĂ© organisĂ©e Typologies principales : fraude Ă  l’investissement (crypto), BEC, romance scam, tech support fraud, fraude aux paiements Usage massif de SIM boxes / SIM farms (ex : rĂ©seau letton de 7 individus, 1 200 dispositifs, 40 000 SIM cards, 49 millions de comptes créés) MontĂ©e des IMSI catchers et SMS blasters pour contourner les protocoles KYC Drainers de cryptomonnaies maturĂ©s en systĂšme CaaS (acquisition d’Inferno Drainer par Angel Drainer en octobre 2024) Attaques relay sur terminaux de paiement en hausse dans l’UE Adoption de l’IA gĂ©nĂ©rative pour personnaliser l’ingĂ©nierie sociale, scripts d’appel, chatbots de prĂ©-sĂ©lection des victimes Infrastructure criminelle Dark web : fragmentation des marketplaces gĂ©nĂ©ralistes, Ă©mergence de plateformes spĂ©cialisĂ©es DĂ©mantĂšlement d’Archetyp Market (600 000 utilisateurs, EUR 250M de transactions, juin 2025) ; Ă©mergence de BlackOps, TorZon, Nexus Market DarkForums successeur de BreachForums Bullet-proof hosting (BPH) avec sous-location multi-juridictionnelle Proxies rĂ©sidentiels pour masquer le trafic malveillant Abus DNS pour phishing, C2 de botnets, distribution de malwares DĂ©mantĂšlement de Cryptomixer (EUR 1,3 milliard en Bitcoin mixĂ©s depuis 2016, novembre 2025) MontĂ©e des privacy coins, chain-hopping, bridges blockchain, DEX, coinjoin pour le blanchiment Menaces hybrides et DDoS Acteurs Ă©tatiques utilisant des rĂ©seaux cybercriminels comme proxies pour des opĂ©rations de dĂ©stabilisation NoName057(16) : rĂ©seau pro-russe ciblant gouvernements et entreprises, dĂ©mantelĂ© partiellement lors de l’OpĂ©ration Eastwood (juillet 2025, 19 pays impliquĂ©s) DDoS lors du Sommet OTAN de La Haye (juin 2025) Coalition Scattered LAPSUS$ Hunters (SLSH) : Scattered Spider + ShinyHunters + LAPSUS$ (annoncĂ©e aoĂ»t 2025) Exploitation sexuelle des enfants en ligne (CSAM) Kidflix dĂ©mantelĂ© (1,8M utilisateurs, 80 000 vidĂ©os, 1 400 suspects identifiĂ©s, 39 enfants protĂ©gĂ©s) Hausse de 70% des signalements de sextorsion financiĂšre (NCMEC, H1 2025 vs H1 2024) CSAM gĂ©nĂ©rĂ© par IA en forte progression (modĂšles text-to-image, text-to-video, image-to-image) RĂ©seau The Com : communautĂ©s en ligne mĂȘlant CSE, cyberattaques, extorsion, violence extrĂȘme Plateforme Help4U lancĂ©e par Europol en novembre 2025 pour soutenir les victimes mineures 🔧 OpĂ©rations de police majeures citĂ©es OpĂ©ration Endgame : dĂ©mantĂšlement de Smokeloader, Bumblebee, Lactrodectus, Qakbot, Hijackloader, DanaBot, Trickbot, Warmcookie, Rhadamantys, VenomRAT, Elysium botnet Phobos/8Base : arrestation de 4 ressortissants russes, avertissement de 400 entreprises Cryptomixer.io : saisie de EUR 25M en cryptomonnaies, 12 To de donnĂ©es Archetyp Market : arrestation de l’administrateur Ă  Barcelone NoName057(16) : OpĂ©ration Eastwood, 9 arrestations, +100 serveurs perturbĂ©s RĂ©seau SIM box letton : 7 arrestations (octobre 2025) CSAM IA : 25 arrestations mondiales, 273 suspects identifiĂ©s 📋 Type d’article Il s’agit d’un rapport stratĂ©gique annuel publiĂ© par Europol, destinĂ© aux dĂ©cideurs stratĂ©giques, politiques et opĂ©rationnels des autoritĂ©s rĂ©pressives de l’UE. Son but principal est de fournir une Ă©valuation structurĂ©e et factuelle du paysage des cybermenaces pour orienter les prioritĂ©s opĂ©rationnelles et politiques en matiĂšre de lutte contre la cybercriminalitĂ©. ...

29 avril 2026 Â· 5 min

L'UE sanctionne deux entités russes pour manipulation de l'information et désinformation

đŸ›ïž Contexte Le 21 avril 2026, le Conseil de l’Union europĂ©enne a publiĂ© un communiquĂ© de presse annonçant l’adoption de mesures restrictives contre deux nouvelles entitĂ©s dans le cadre du rĂ©gime de sanctions liĂ© aux activitĂ©s dĂ©stabilisatrices de la Russie, Ă©tabli le 8 octobre 2024. 🎯 EntitĂ©s sanctionnĂ©es Euromore est dĂ©crite comme une plateforme mĂ©diatique opĂ©rant au sein de l’architecture informationnelle pro-Kremlin en tant que relais mĂ©diatique non officiel. Ses activitĂ©s comprennent : ...

29 avril 2026 Â· 2 min

M3rx : analyse technique d'un nouveau ransomware Go avec site de fuite et chiffrement X25519/AES

🔍 Contexte PubliĂ© le 27 avril 2026 par Kirk sur derp.ca, cet article prĂ©sente une analyse technique dĂ©taillĂ©e de M3rx, un nouveau groupe ransomware apparu publiquement fin avril 2026. RansomLook recense six posts associĂ©s Ă  ce groupe au 27 avril 2026, dont cinq publiĂ©s le 26 avril. PurpleOps rĂ©fĂ©rence la mĂȘme activitĂ© sous le label M3RXDLS. 🎯 Victimes revendiquĂ©es Le groupe revendique des victimes dans plusieurs pays : rotak.it (IT) — 23 avril 2026 rainforestclean.com — 259 Go, 77k fichiers airdriephysio.com — 54 Go, 116k fichiers primeproperties.com.au — 100 Go, 81k fichiers anvilarts.org.uk — 480 Go, 299k fichiers dmschweiz.ch — 120 Go, 100k fichiers Zones gĂ©ographiques concernĂ©es : États-Unis, Canada, Australie, Royaume-Uni, Suisse, Italie. ...

29 avril 2026 Â· 3 min

Mega-Supply Chain : ShinyHunters compromet Context.ai et Vercel via OAuth en avril 2026

đŸ—“ïž Contexte Article de recherche publiĂ© par Cyera le 21 avril 2026, analysant une chaĂźne de compromissions supply chain impliquant les plateformes Context.ai et Vercel, attribuĂ©e au groupe cybercriminel ShinyHunters. 🔗 ChaĂźne d’évĂ©nements Context.ai (outil d’analytics IA) subit une intrusion dans son environnement AWS MalgrĂ© une rĂ©ponse sur incident activĂ©e, un token OAuth Google Workspace est compromis Ce token permet aux attaquants d’accĂ©der latĂ©ralement Ă  l’environnement interne de Vercel L’incident Vercel est divulguĂ© le week-end du 19 avril 2026 đŸ’„ Impact AccĂšs non autorisĂ© aux systĂšmes internes de Vercel Exposition de donnĂ©es employĂ©s : noms, emails, journaux d’activitĂ© Fuite potentielle de variables d’environnement pouvant contenir des secrets opĂ©rationnels Un sous-ensemble limitĂ© de clients Vercel affectĂ©, avec demande de rotation des credentials Impact Ă©largi : des centaines d’organisations utilisant la mĂȘme intĂ©gration OAuth potentiellement touchĂ©es 🔁 Second incident supply chain : Trivy / TeamPCP En parallĂšle, une compromission liĂ©e Ă  TeamPCP exploite Aqua Security Trivy (intĂ©grĂ© dans les pipelines CI/CD) Les outils LiteLLM (3 millions de tĂ©lĂ©chargements quotidiens) et Checkmarx sont Ă©galement compromis MĂȘme pattern : compromission d’un composant central de confiance pour atteindre des victimes en aval đŸ‘€ Acteur de la menace : ShinyHunters Groupe actif depuis ~2019, spĂ©cialisĂ© dans le vol massif de donnĂ©es et l’extorsion OpĂšre via BreachForums et Telegram (annonces, preuves, menaces pay-or-leak) Annonce de la compromission Vercel publiĂ©e le 20 avril 2026 sur Telegram Vente de captures d’écran pour 25 000 Stars sur Telegram đŸ§© Pattern d’attaque identifiĂ© Ciblage de couches de confiance Ă©levĂ©e (outils IA, scanners de sĂ©curitĂ©, fournisseurs d’identitĂ©) Exploitation des intĂ©grations OAuth/API sur-permissionnĂ©es Mouvement latĂ©ral via des accĂšs lĂ©gitimes hĂ©ritĂ©s Maintien ou rĂ©tablissement d’accĂšs sur des pĂ©riodes prolongĂ©es avant dĂ©tection 📄 Nature de l’article Publication de recherche Ă  visĂ©e CTI et commerciale (Cyera), combinant analyse d’incident, identification de pattern d’attaque et mise en avant des capacitĂ©s de la plateforme Cyera pour rĂ©pondre Ă  ce type de menace. ...

29 avril 2026 Â· 3 min

Patch incomplet d'APT28 : CVE-2026-21510 laisse place Ă  CVE-2026-32202, coercition d'authentification zero-click

🔍 Contexte PubliĂ© le 23 avril 2026 par Maor Dahan (Akamai Security Research), cet article dĂ©taille la dĂ©couverte d’une vulnĂ©rabilitĂ© rĂ©siduelle (CVE-2026-32202) rĂ©sultant d’un patch incomplet de Microsoft pour CVE-2026-21510, une faille zero-day exploitĂ©e par le groupe APT28 (Fancy Bear). 🎯 Campagne initiale APT28 Selon CERT-UA, APT28 a lancĂ© une cyberattaque ciblant l’Ukraine et plusieurs pays de l’UE en dĂ©cembre 2025. La campagne utilisait un fichier LNK weaponisĂ© exploitant deux vulnĂ©rabilitĂ©s en chaĂźne : ...

29 avril 2026 Â· 3 min

VECT 2.0 : un ransomware RaaS qui détruit irrémédiablement les fichiers par défaut de conception

🔍 Contexte PubliĂ© le 28 avril 2026 par Check Point Research (CPR), cet article prĂ©sente une analyse technique approfondie du ransomware VECT 2.0, un service Ransomware-as-a-Service (RaaS) apparu pour la premiĂšre fois en dĂ©cembre 2025 sur un forum cybercriminel russophone. CPR a obtenu un accĂšs au panneau d’affiliation et au builder via un compte BreachForums. đŸ§© PrĂ©sentation de VECT VECT est un ransomware Ă©crit en C++, ciblant trois plateformes : Windows, Linux et VMware ESXi. La version 2.0 a Ă©tĂ© publiĂ©e en fĂ©vrier 2026. Le groupe a annoncĂ© des partenariats avec : ...

29 avril 2026 Â· 4 min

Attaque supply chain sur le package NPM de Bitwarden revendiquée par TeamPCP

đŸ—“ïž Contexte Source : SecurityWeek, publiĂ© le 24 avril 2026. L’article rapporte une attaque de type supply chain ciblant le package NPM officiel de Bitwarden, gestionnaire de mots de passe open source largement utilisĂ©. 🎯 Nature de l’incident L’attaque est dĂ©crite comme une compromission de la chaĂźne d’approvisionnement logicielle (supply chain attack) affectant directement le registre NPM de Bitwarden. L’incident est rattachĂ© Ă  une nouvelle campagne Checkmarx de type supply chain. ...

27 avril 2026 Â· 2 min
Derniùre mise à jour le: 1 juillet 2026 📝