DNS hijack d'eth.limo via ingénierie sociale contre EasyDNS — DNSSEC limite l'impact

🗓️ Contexte Post-mortem publié par eth.limo sur X (Twitter) le 18 avril 2026, relatant un détournement DNS (DNS hijack) survenu le 17 avril 2026 à 19h07 EDT, avec une mise à jour complémentaire publiée le 20 avril 2026 après collaboration avec Coinspect. 🎯 Déroulement de l’attaque L’attaquant a compromis le compte EasyDNS d’eth.limo en usurpant l’identité d’un membre de l’équipe auprès du registrar (ingénierie sociale). La chronologie est la suivante : ...

22 avril 2026 · 2 min

Explosion des rapports de vulnérabilités IA sur curl et l'open source : une nouvelle ère CTI

🗓️ Contexte Article publié le 22 avril 2026 sur le blog personnel de Daniel Stenberg, mainteneur principal du projet curl. Il s’agit d’une analyse de tendance basée sur l’observation directe des soumissions au programme de bug bounty de curl sur HackerOne, ainsi que d’un sondage informel auprès d’autres mainteneurs de projets open source. 📈 Tendance principale : volume et qualité en hausse simultanée Depuis le retour de curl sur HackerOne en mars 2026 (après une fermeture temporaire le 1er février 2026 due aux soumissions de faible qualité générées par IA), la nature des rapports a radicalement changé : ...

22 avril 2026 · 2 min

FormBook distribué via DLL side-loading et JavaScript obfusqué dans deux campagnes de phishing

🔍 Contexte Publié le 20 avril 2026 par Euler Neto sur le blog Secplicity de WatchGuard, cet article présente une analyse technique de deux campagnes de phishing identifiées par la télémétrie WatchGuard, toutes deux visant à déployer le malware FormBook sur des systèmes Windows. 🎯 Ciblage géographique Les campagnes ciblent des entreprises situées en : Grèce Espagne Slovénie Bosnie-Herzégovine Amérique latine et centrale Les pièces jointes malveillantes portent des noms liés à des commandes ou paiements, rédigés dans la langue locale des victimes. ...

22 avril 2026 · 4 min

FudCrypt : Analyse technique d'un Cryptor-as-a-Service avec signing Azure et fleet C2

🔍 Contexte Publié le 19 avril 2026 par Ctrl-Alt-Intel (https://ctrlaltintel.com), cet article constitue une analyse technique approfondie de la plateforme FudCrypt (fudcrypt.net), un service de cryptage de malwares (Cryptor-as-a-Service) accessible par abonnement mensuel entre 800 et 2 000 USD. 🏗️ Architecture et modèle commercial FudCrypt propose trois niveaux d’abonnement : Starter (800$/mois) : 1 build/jour, carriers ProtonVPN/Zoom/SharePoint/CCleaner, persistance basique Pro (1 500$/mois) : 5 builds/jour, carriers supplémentaires, anti-VM Enterprise (2 000$/mois) : builds illimités, bypass UAC, désactivation Defender, anti-debug, anti-VM La base de données récupérée révèle 200 utilisateurs enregistrés, 334 builds, 46 enregistrements de paiement en cryptomonnaies (BTC, USDT, ETH, LTC, XMR) dont 4 confirmés pour un total de 4 820 USD. ...

22 avril 2026 · 6 min

HexagonalRodent : le sous-groupe DPRK qui industrialise le vol de crypto via l'IA

🌐 Contexte Publié le 21 avril 2026 par Marcus Hutchins sur le blog d’Expel, cet article présente les résultats d’une investigation approfondie sur un groupe APT nord-coréen (DPRK) nouvellement nommé Expel-TA-0001 / HexagonalRodent, actif depuis au moins octobre 2025 et évalué avec haute confiance comme étant un sous-groupe de Famous Chollima (CrowdStrike). 🎯 Ciblage et modus operandi HexagonalRodent cible principalement les développeurs Web3 dans le but de voler des cryptomonnaies et des NFTs. La chaîne d’infection repose sur : ...

22 avril 2026 · 4 min

Infrastructure de faux travailleurs IT nord-coréens exposée via analyse réseau et VPN

🔍 Contexte Publié le 22 avril 2026 par Team Cymru, ce rapport fait suite à une divulgation du chercheur en sécurité crypto ZachXBT, qui a identifié le domaine luckyguys[.]site comme lié à des paiements associés à des faux travailleurs IT nord-coréens (DPRK). L’analyse porte sur 30 jours d’activité réseau autour de cette infrastructure. 🌐 Infrastructure identifiée Le domaine luckyguys[.]site résolvait vers l’IP 163.245.219[.]19 au moment de l’analyse Une seconde IP, 216.158.225[.]144, a été découverte via l’analyse de certificats X509 portant le même nom de domaine Les deux IPs ont montré une chute brutale de trafic après le 8 avril, date de l’exposition publique par ZachXBT, cohérente avec l’abandon rapide d’infrastructure post-attribution 🔒 Patterns VPN observés Les connexions VPN vers l’IP identifiée se répartissent ainsi : ...

22 avril 2026 · 2 min

Interview DragonForce : le facteur humain au cœur du modèle RaaS

📰 Source : SuspectFile — Date : 22 avril 2026 — Interview directe accordée par le groupe DragonForce à la plateforme d’investigation SuspectFile. 🎯 Présentation du groupe DragonForce se décrit comme un écosystème RaaS (Ransomware-as-a-Service) basé sur un modèle de partenariat ouvert. Le groupe se positionne comme un régulateur chargé de faire respecter des règles internes, tandis que les affiliés (« partenaires ») conduisent les attaques de manière autonome. Cette structure décentralisée complexifie l’attribution technique. ...

22 avril 2026 · 3 min

macOS LOTL : armement des primitives natives pour mouvement latéral et exécution

🔍 Contexte Publié le 21 avril 2026 par Cisco Talos Intelligence, cet article de recherche documente des techniques Living-Off-The-Land (LOTL) natives à macOS, comblant un manque documentaire significatif par rapport aux équivalents Windows. Il s’adresse aux défenseurs et chercheurs en sécurité opérant dans des environnements macOS d’entreprise. 🎯 Surface d’attaque ciblée macOS représente désormais plus de 45 % des postes en entreprise, notamment chez les développeurs, ingénieurs DevOps et administrateurs systèmes. Ces machines constituent des points de pivot critiques vers des dépôts de code source, des credentials cloud et des clés SSH de production. ...

22 avril 2026 · 3 min

Pékin menace l'UE de représailles si des entreprises chinoises sont exclues au titre de la cybersécurité

🌐 Contexte Source : South China Morning Post, publié le 20 avril 2026. Cet article rapporte une démarche diplomatique et commerciale officielle de la Chine en réponse à un projet de règlement cybersécurité de l’Union européenne annoncé en janvier 2026. 📄 Contenu de la démarche chinoise Le ministère du Commerce chinois a soumis un document de 30 pages à la Commission européenne en réponse à une consultation publique sur le projet de loi. Dans ce document, Pékin avertit explicitement que des mesures de rétorsion réciproques seront prises si l’UE : ...

22 avril 2026 · 2 min

Perforce Helix Core : configurations par défaut non sécurisées exposent 6 100 serveurs publics

🔍 Contexte Publié en avril 2026 sur morganrobertson.net, cet article de recherche en sécurité documente une investigation menée entre mars et mai 2025 sur les instances Perforce Helix Core (P4) accessibles publiquement sur Internet. Le chercheur a identifié 6 121 instances contactables présentant des failles critiques liées aux configurations par défaut non sécurisées. 📊 Statistiques d’exposition 72% des serveurs autorisent un accès en lecture aux fichiers internes 21% (1 334 serveurs) permettent un accès en lecture/écriture 4% (223 serveurs) disposent de comptes « super » non sécurisés permettant une compromission complète via injection de commandes (RCE) 32% des serveurs sous licence (268/829) présentent une configuration non sécurisée 🛠️ Misconfigurations identifiées Création automatique de comptes utilisateurs (dm.user.noautocreate non configuré) Listage d’utilisateurs non authentifié — permet l’énumération et le brute-force Comptes sans mot de passe — accès direct en usurpant l’identité d’un utilisateur Auto-définition du mot de passe initial — permet à un attaquant de s’approprier un compte inactif Synchronisation non authentifiée via Remote Depot — l’utilisateur caché remote (activé par défaut jusqu’à la version 2025.1) permet la lecture de tous les fichiers sans authentification si le niveau de sécurité est ≤ 3 💥 Impact et vecteurs d’attaque Exfiltration de code source : dépôts de jeux AAA, logiciels médicaux, bancaires, gouvernementaux, automobiles RCE via triggers P4 : un compte super sans mot de passe permet d’injecter des scripts exécutés côté serveur Mouvement latéral : présence de certificats PEM, clés privées, fichiers .env, configurations Okta/SAML dans des dépôts exposés Attaques supply chain : un seul serveur vendeur exposait le code source de dizaines de clients en aval 🏭 Secteurs impactés Jeux vidéo (AAA, indie), santé/dispositifs médicaux, services financiers (core banking, PoS), gouvernement/défense, automobile (ECU, schémas électriques), éducation, industrie/ICS, Web3/crypto, aérospatiale, VFX/animation. ...

22 avril 2026 · 3 min
Dernière mise à jour le: 1 juillet 2026 📝