Exploitation active de Bomgar RMM via CVE-2026-1731 : déploiement de LockBit et accÚs MSP

🔍 Contexte PubliĂ© le 19 avril 2026 par Huntress, cet article de threat intelligence documente une recrudescence d’incidents liĂ©s Ă  l’exploitation de Bomgar RMM (rebaptisĂ© BeyondTrust Remote Support), observĂ©e par le SOC Huntress depuis dĂ©but avril 2026. đŸ›Ąïž VulnĂ©rabilitĂ© exploitĂ©e La faille CVE-2026-1731, de sĂ©vĂ©ritĂ© critique, permet Ă  un attaquant non authentifiĂ© d’exĂ©cuter du code Ă  distance sur des instances Bomgar. BeyondTrust a publiĂ© un correctif le 6 fĂ©vrier 2026 (version 25.3.2 pour Remote Support, version 25.1 pour Privileged Remote Access). Les organisations impactĂ©es utilisaient des versions obsolĂštes, notamment la version 21.1.3. ...

19 avril 2026 Â· 4 min

Fuites BGP éphémÚres : artefacts normaux de convergence souvent confondus avec des incidents

📅 Source : Kentik Blog — Article publiĂ© le 15 avril 2026 par Doug Madory, Director of Internet Analysis. Contexte En janvier 2026, un ingĂ©nieur en cybersĂ©curitĂ© avait publiĂ© une analyse suggĂ©rant que des anomalies BGP observĂ©es sur Cloudflare Radar lors des routes vĂ©nĂ©zuĂ©liennes pourraient ĂȘtre liĂ©es Ă  des cyberopĂ©rations amĂ©ricaines. Cloudflare avait rĂ©pondu que ces fuites Ă©taient probablement bĂ©nignes. Cet article approfondit cette rĂ©ponse en introduisant le concept de fuites Ă©phĂ©mĂšres. ...

19 avril 2026 Â· 2 min

Incident de sécurité Vercel (avril 2026) : accÚs non autorisé via un outil IA tiers compromis

🔍 Contexte Le 19 avril 2026, Vercel a publiĂ© un bulletin de sĂ©curitĂ© officiel sur son site (vercel.com/kb/bulletin) signalant un incident de sĂ©curitĂ© actif impliquant un accĂšs non autorisĂ© Ă  certains systĂšmes internes. L’enquĂȘte est en cours avec l’appui d’experts en rĂ©ponse Ă  incident, et les autoritĂ©s ont Ă©tĂ© notifiĂ©es. 🎯 Vecteur d’attaque identifiĂ© L’investigation a rĂ©vĂ©lĂ© que l’incident trouve son origine dans la compromission d’une application OAuth Google Workspace appartenant Ă  un outil IA tiers comptant des centaines d’utilisateurs. Ce vecteur a permis un accĂšs non autorisĂ© aux systĂšmes internes de Vercel. ...

19 avril 2026 Â· 2 min

Les éditeurs d'IA refusent d'assumer la responsabilité des failles de sécurité dans leurs produits

đŸ—žïž Contexte Article d’opinion publiĂ© le 19 avril 2026 par Jessica Lyons sur The Register, portant sur la posture des grands Ă©diteurs d’IA face aux vulnĂ©rabilitĂ©s dĂ©couvertes dans leurs produits. 🔍 Faits principaux Des chercheurs ont dĂ©montrĂ© que trois agents IA populaires intĂ©grĂ©s Ă  GitHub Actions peuvent ĂȘtre dĂ©tournĂ©s pour voler des clĂ©s API et des jetons d’accĂšs : Anthropic Claude Code Security Review Google Gemini CLI Action Microsoft GitHub Copilot Les trois Ă©diteurs ont versĂ© des bug bounties : ...

19 avril 2026 Â· 2 min

MOIS-linked : Homeland Justice, Karma et Handala forment un écosystÚme cyber iranien unifié

🌐 Contexte PubliĂ© le 17 avril 2026 par DomainTools, ce rapport constitue une analyse de menace approfondie portant sur l’évolution des personas cyber Homeland Justice, Karma/KarmaBelow80 et Handala, Ă©valuĂ©s Ă  haute confiance comme constituant un Ă©cosystĂšme cyber-influence coordonnĂ© alignĂ© sur le MOIS (Ministry of Intelligence and Security iranien). 🎭 Attribution et structure L’analyse Ă©tablit que ces trois personas ne sont pas des groupes hacktivistes indĂ©pendants mais des couches opĂ©rationnelles d’un appareil centralisĂ© unique. Un individu nommĂ© Seyed Yahya Hosseini Panjaki, affiliĂ© au MOIS, est identifiĂ© comme occupant une fonction de commandement au sein de cette structure. Chaque persona remplit un rĂŽle distinct : ...

19 avril 2026 Â· 7 min

Omnistealer : un infostealer exploite la blockchain comme infrastructure C2 permanente

đŸ—“ïž Contexte Source : Malwarebytes (blog officiel), publiĂ© le 14 avril 2026. L’article prĂ©sente une analyse d’un nouveau logiciel malveillant de type infostealer nommĂ© Omnistealer, dont la particularitĂ© principale est l’utilisation de blockchains publiques comme infrastructure de commande et contrĂŽle (C2). 🔗 Technique d’hĂ©bergement via la blockchain Contrairement aux infostealers classiques qui stockent leurs charges utiles sur des plateformes supprimables (GitHub, PyPI, npm, Google Docs, OneDrive), Omnistealer encode des fragments de code malveillant, du texte chiffrĂ© et des commandes codĂ©es directement dans des transactions blockchain sur : ...

19 avril 2026 Â· 3 min

Omnistealer : un malware nord-coréen persistant dans la blockchain vole 300 000 credentials

đŸ—žïž Contexte Article de presse spĂ©cialisĂ©e publiĂ© le 11 avril 2026 par PCMag, basĂ© sur des informations exclusives fournies par les chercheurs de Ransom-ISAC et Crystal Intelligence. L’enquĂȘte a dĂ©butĂ© lorsque le vice-prĂ©sident ingĂ©nierie de Crystal Intelligence a reçu une fausse offre d’emploi sur LinkedIn, rĂ©vĂ©lant une campagne d’attaque d’envergure mondiale. 🎯 Description de l’attaque La chaĂźne d’attaque repose sur plusieurs Ă©tapes : Vecteur initial : fausses offres d’emploi diffusĂ©es via LinkedIn, Upwork, Telegram et Discord, ciblant des dĂ©veloppeurs freelance (notamment en Inde et en Asie du Sud) Infection : les cibles sont invitĂ©es Ă  exĂ©cuter du code depuis des dĂ©pĂŽts GitHub infectĂ©s Infrastructure C2 blockchain : le code malveillant contacte les blockchains TRON ou Aptos pour rĂ©cupĂ©rer un pointeur vers la Binance Smart Chain, qui hĂ©berge le payload final Persistance : le malware est encodĂ© dans des transactions blockchain, le rendant impossible Ă  supprimer et de plus en plus difficile Ă  tracer 🩠 Malware : Omnistealer Le malware baptisĂ© Omnistealer est compatible avec : ...

19 avril 2026 Â· 3 min

PHP Composer : deux failles critiques permettent l'exécution de commandes via le pilote Perforce VCS

đŸ—“ïž Contexte PubliĂ© le 17 avril 2026 sur IT-Connect par Florian Burnel, cet article traite de deux nouvelles vulnĂ©rabilitĂ©s affectant PHP Composer, l’outil de gestion de dĂ©pendances trĂšs rĂ©pandu dans l’écosystĂšme PHP. 🔍 VulnĂ©rabilitĂ©s identifiĂ©es Deux failles de sĂ©curitĂ© ont Ă©tĂ© divulguĂ©es, toutes deux localisĂ©es dans le pilote VCS (Version Control System) Perforce de Composer : CVE-2026-40176 (CVSS : 7.8/10) : vulnĂ©rabilitĂ© de mauvaise validation des entrĂ©es. Un attaquant contrĂŽlant la configuration d’un dĂ©pĂŽt via un fichier composer.json malveillant dĂ©clarant un dĂ©pĂŽt Perforce VCS peut injecter des commandes arbitraires, exĂ©cutĂ©es avec les privilĂšges de l’utilisateur lançant Composer. CVE-2026-40261 (CVSS : 8.8/10) : vulnĂ©rabilitĂ© d’échappement inadĂ©quat. Elle permet l’injection de commandes via une rĂ©fĂ©rence de source manipulĂ©e contenant des mĂ©tacaractĂšres shell. ⚠ Ces failles sont exploitables mĂȘme si Perforce VCS n’est pas installĂ© sur la machine cible. ...

19 avril 2026 Â· 2 min

SmokedMeat : framework red team post-exploitation pour pipelines CI/CD publié par BoostSecurity Labs

🔍 Contexte PubliĂ© sur GitHub par BoostSecurity Labs, SmokedMeat est un framework red team post-exploitation ciblant les pipelines CI/CD. Il est prĂ©sentĂ© comme l’équivalent de Metasploit pour les environnements d’intĂ©gration et de dĂ©ploiement continus. đŸ› ïž Description technique SmokedMeat est composĂ© de trois composants principaux : Counter : interface TUI opĂ©rateur (terminal) Kitchen : serveur C2 (teamserver) gĂ©rant les sessions, stagers, callbacks et graphe d’attaque Brisket : implant dĂ©ployĂ© sur les runners CI compromis, assurant le beaconing, l’exĂ©cution de commandes et le pivoting Le framework intĂšgre Ă©galement un scanner SAST de pipelines (poutine, embarquĂ©) et un scanner de secrets (gitleaks, embarquĂ©). ...

19 avril 2026 Â· 3 min

Surveillance géolocalisation, IA au service des hackers et botnet GRU démantelé

📰 Source : Lawfare / Seriously Risky Business (Tom Uren), publiĂ© le 17 avril 2026. 🌍 Surveillance gĂ©olocalisation : Webloc / Penlink Le Citizen Lab a publiĂ© un rapport approfondi sur Webloc, un systĂšme de surveillance adtech dĂ©veloppĂ© par Cobweb Technologies et dĂ©sormais commercialisĂ© par la sociĂ©tĂ© amĂ©ricaine Penlink (fusion en 2023). Selon un document technique interne divulguĂ©, Webloc donne accĂšs Ă  des enregistrements provenant de jusqu’à 500 millions d’appareils mobiles dans le monde, incluant identifiants de dispositifs, coordonnĂ©es GPS et donnĂ©es de profil issues d’applications mobiles et de la publicitĂ© numĂ©rique. ...

19 avril 2026 Â· 4 min
Derniùre mise à jour le: 1 juillet 2026 📝