Un groupe hack-for-hire lié à BITTER APT cible journalistes et officiels au Moyen-Orient

đŸ—“ïž Contexte PubliĂ© le 8 avril 2026 par TechCrunch, cet article repose sur des rapports publiĂ©s conjointement par Access Now, SMEX et Lookout documentant une campagne d’espionnage attribuĂ©e Ă  un groupe hack-for-hire opĂ©rant entre 2023 et 2025. 🎯 Cibles La campagne vise des profils Ă  haute valeur dans plusieurs pays : Journalistes : deux journalistes Ă©gyptiens, un journaliste libanais Activistes et membres de la sociĂ©tĂ© civile Ă©gyptienne et libanaise Officiels gouvernementaux bahreĂŻnis et Ă©gyptiens Cibles aux Émirats arabes unis, Arabie saoudite, Royaume-Uni, et potentiellement aux États-Unis ou alumni d’universitĂ©s amĂ©ricaines đŸ› ïž Techniques d’attaque Sur iOS : ...

9 avril 2026 Â· 2 min

UNC6783 compromet des prestataires BPO pour extorquer de grandes entreprises via Zendesk

📰 Source : BleepingComputer | Date : 8 avril 2026 | Auteur de rĂ©fĂ©rence : Austin Larsen, analyste principal chez Google Threat Intelligence Group (GTIG) 🎯 Contexte gĂ©nĂ©ral Le groupe de menace UNC6783 mĂšne des campagnes ciblant des prestataires de services externalisĂ©s (BPO) afin d’atteindre indirectement des entreprises de grande valeur dans plusieurs secteurs. Selon GTIG, des dizaines d’entitĂ©s ont Ă©tĂ© compromises dans le but d’exfiltrer des donnĂ©es sensibles Ă  des fins d’extorsion. ...

9 avril 2026 Â· 3 min

Violation de données chez Eurail B.V. : données personnelles de voyageurs DiscoverEU compromises

📰 Contexte Cet article est une communication officielle publiĂ©e sur le Portail EuropĂ©en de la Jeunesse (europa.eu), mise Ă  jour le 13 janvier 2026. Il concerne un incident de sĂ©curitĂ© des donnĂ©es survenu chez Eurail B.V., fournisseur IT du programme DiscoverEU, financĂ© dans le cadre du programme Erasmus+ de la Commission europĂ©enne. 🔓 Nature de l’incident Un accĂšs non autorisĂ© aux systĂšmes IT d’Eurail B.V. a permis l’exfiltration de donnĂ©es personnelles appartenant Ă  des participants du programme DiscoverEU. L’identitĂ© des attaquants et le nombre exact de personnes affectĂ©es restent inconnus Ă  ce stade. ...

9 avril 2026 Â· 2 min

Zero-day Adobe Reader exploité via PDF malveillant pour fingerprinting et exfiltration de données

🔍 Contexte L’article est publiĂ© le 9 avril 2026 sur le blog EXPMON (justhaifei1.blogspot.com). Il documente la dĂ©tection et l’analyse d’un exploit PDF zero-day sophistiquĂ© ciblant Adobe Reader, initialement soumis sur la plateforme EXPMON Public le 26 mars, et prĂ©sent sur VirusTotal depuis le 23 mars avec un faible taux de dĂ©tection (5/64). 🎯 Nature de l’attaque L’exploit repose sur une vulnĂ©rabilitĂ© zero-day non patchĂ©e dans Adobe Reader (confirmĂ©e sur la version 26.00121367, la plus rĂ©cente au moment de l’analyse). Il ne nĂ©cessite aucune interaction utilisateur au-delĂ  de l’ouverture du fichier PDF. ...

9 avril 2026 Â· 3 min

Campagne d'ingénierie sociale sur Slack ciblant les développeurs open source via usurpation d'identité

🎯 Contexte Le 7 avril 2026, l’OpenSSF Siren (mailing list de threat intelligence de l’Open Source Security Foundation) a publiĂ© une alerte de haute sĂ©vĂ©ritĂ© concernant une campagne active ciblant les dĂ©veloppeurs open source via Slack. L’analyse dĂ©taillĂ©e a Ă©tĂ© publiĂ©e par Socket le 8 avril 2026. đŸ•”ïž MĂ©canisme d’attaque L’attaque se dĂ©roule en quatre Ă©tapes : Usurpation d’identitĂ© : l’attaquant se fait passer pour un leader reconnu de la Linux Foundation dans le workspace Slack du TODO Group (groupe de travail Linux Foundation dĂ©diĂ© aux OSPO). Phishing : la victime reçoit un message direct avec un lien vers https://sites.google.com/view/workspace-business/join, hĂ©bergĂ© sur l’infrastructure lĂ©gitime Google Sites pour contourner les filtres de sĂ©curitĂ©. Collecte de credentials : un faux flux d’authentification rĂ©colte l’adresse email et un code de vĂ©rification. Livraison de malware : la victime est invitĂ©e Ă  installer un faux « certificat Google » (certificat racine malveillant). đŸ’» Divergence par plateforme macOS : un script tĂ©lĂ©charge et exĂ©cute un binaire nommĂ© gapi depuis l’IP distante 2.26.97.61, pouvant mener Ă  une compromission totale du systĂšme. Windows : installation du certificat malveillant via une boĂźte de dialogue de confiance du navigateur, permettant l’interception du trafic chiffrĂ©. 🎣 Leurre utilisĂ© L’attaquant a utilisĂ© le prĂ©texte d’un outil d’IA privĂ© censĂ© analyser les dynamiques de projets open source et prĂ©dire les contributions acceptĂ©es. Le message insistait sur l’exclusivitĂ© de l’accĂšs. Le message contenait l’URL de phishing, une fausse adresse email (cra@nmail.biz) et une clĂ© d’accĂšs (CDRX-NM71E8T). ...

8 avril 2026 Â· 3 min

Claude Mythos Preview : un LLM capable de découvrir et exploiter des zero-days autonomement

🧠 Contexte PubliĂ© le 7 avril 2026 sur le blog de recherche d’Anthropic, cet article technique prĂ©sente les capacitĂ©s en cybersĂ©curitĂ© de Claude Mythos Preview, un nouveau modĂšle de langage gĂ©nĂ©ral. En rĂ©ponse Ă  ces capacitĂ©s, Anthropic annonce le lancement de Project Glasswing, un effort coordonnĂ© pour utiliser Mythos Preview Ă  des fins dĂ©fensives sur les logiciels critiques. 🔍 CapacitĂ©s offensives documentĂ©es Mythos Preview dĂ©montre des capacitĂ©s autonomes de dĂ©couverte et d’exploitation de vulnĂ©rabilitĂ©s : ...

8 avril 2026 Â· 4 min

CVE-2026-34040 : Contournement de l'autorisation Docker via corps HTTP surdimensionné

🔍 Contexte PubliĂ© le 7 avril 2026 par Vladimir Tokarev (Cyera Research Labs), cet article prĂ©sente la dĂ©couverte et l’analyse technique de CVE-2026-34040 (CVSS 8.8 High), une vulnĂ©rabilitĂ© d’autorisation dans Docker Engine affectant les versions antĂ©rieures Ă  29.3.1. 🐛 Description de la vulnĂ©rabilitĂ© La vulnĂ©rabilitĂ© rĂ©side dans le middleware AuthZ de Docker Engine. Lorsqu’un corps de requĂȘte HTTP dĂ©passe 1 Mo (maxBodySize = 1 048 576 octets), le middleware abandonne silencieusement le corps avant de le transmettre au plugin d’autorisation. Le daemon Docker, lui, traite la requĂȘte complĂšte normalement. ...

8 avril 2026 Â· 3 min

Node.js sur Windows : escalade de privilÚges via résolution de modules non contrÎlée (Discord, npm CLI)

🔍 Contexte PubliĂ© le 8 avril 2026 par Bobby Gould et Michael DePlante sur le blog de la Zero Day Initiative (ZDI), cet article dĂ©taille une vulnĂ©rabilitĂ© structurelle dans la rĂ©solution de modules Node.js sur Windows, initialement signalĂ©e en septembre 2024 par un chercheur anonyme. ⚙ Cause racine Lorsqu’une application Node.js appelle require('bar'), le runtime parcourt une liste de chemins jusqu’à atteindre C:\node_modules. Sur Windows, tout utilisateur peu privilĂ©giĂ© peut crĂ©er ce rĂ©pertoire et y dĂ©poser un module malveillant. Si la dĂ©pendance lĂ©gitime est absente (optionnelle, supprimĂ©e en production, ou non installĂ©e), Node.js charge et exĂ©cute le fichier malveillant dans le contexte de l’utilisateur courant. ...

8 avril 2026 Â· 3 min

Abus de Keitaro Tracker : tendances, licences crackées et collisions de cookies CTI

🔍 Contexte PubliĂ© le 31 mars 2026 par Infoblox Threat Intel et Confiant, cet article constitue la partie 3 d’une sĂ©rie sur l’abus du Keitaro Tracker, un systĂšme de suivi publicitaire auto-hĂ©bergĂ© massivement dĂ©tournĂ© comme Traffic Distribution System (TDS) et outil de cloaking par des acteurs malveillants. 📊 Sources de donnĂ©es et tendances L’étude couvre la pĂ©riode du 1er octobre 2025 au 31 janvier 2026 et combine : TĂ©lĂ©mĂ©trie DNS passive (pDNS) d’Infoblox : ~226 000 requĂȘtes DNS sur ~13 500 domaines liĂ©s Ă  Keitaro Plus de 8 000 nouvelles inscriptions de domaines attribuĂ©es Ă  des acteurs malveillants, concentrĂ©es chez 5 registrars : Dynadot, Namecheap, Public Domain Registry, Global Domain Group, Sav 275 millions d’impressions publicitaires analysĂ©es via Confiant, rĂ©vĂ©lant ~2 000 domaines hĂ©bergeant des instances Keitaro dans des campagnes de malvertising 120+ campagnes spam distinctes, dont 96% liĂ©es Ă  des crypto wallet-drainers (AURA, SOL, Phantom, Jupiter) 📅 ÉvĂ©nements notables 7 octobre 2025 : Un acteur ciblant des russophones enregistre des centaines de domaines .com via une promotion Dynadot Ă  6,88$ 26 novembre 2025 (Black Friday) : Le mĂȘme acteur achĂšte en masse des domaines .icu, .click, .digital 30 octobre – 1er novembre 2025 : Pic massif de requĂȘtes DNS attribuĂ© Ă  un acteur utilisant Keitaro pour rediriger les utilisateurs ciblĂ©s (Android/Allemagne, Windows/USA/Suisse) vers des sites de jeux d’argent en ligne ⚙ FonctionnalitĂ©s Keitaro exploitĂ©es Routing via Campaigns/Flows : filtrage par gĂ©olocalisation IP, OS, navigateur, type d’appareil, rĂ©fĂ©rent, paramĂštres URI Cloaking : intĂ©gration avec des kits tiers comme IMKLO, HideClick, Adspect Cloaker (IA, contournement Google/TikTok/Meta) KClient JS : substitution de contenu cĂŽtĂ© client sans redirection visible Antibot : listes d’IP bloquĂ©es enrichies par des donnĂ©es tierces partagĂ©es sur GitHub et forums đŸȘ Collisions de cookies Les instances Keitaro posent des cookies de tracking (_token, _subid, cookie alphanumĂ©rique 5 caractĂšres pour v<11). Ces valeurs Ă©taient utilisĂ©es comme signatures d’acteurs, mais l’analyse a rĂ©vĂ©lĂ© des collisions : ...

7 avril 2026 Â· 4 min

Allemagne : identification de Daniil Shchukin, chef des groupes ransomware GandCrab et REvil

🔍 Contexte Source : KrebsOnSecurity, publiĂ© le 6 avril 2026. Le Bureau fĂ©dĂ©ral de police criminelle allemand (BKA / Bundeskriminalamt) a publiĂ© un avis officiel rĂ©vĂ©lant l’identitĂ© du hacker opĂ©rant sous le pseudonyme UNKN (alias UNKNOWN), jusqu’alors non identifiĂ© publiquement. đŸ‘€ Individus identifiĂ©s Daniil Maksimovich Shchukin, 31 ans, ressortissant russe, originaire de Krasnodar (Russie), identifiĂ© comme chef des groupes GandCrab et REvil Anatoly Sergeevitsch Kravchuk, 43 ans, ressortissant russe, co-accusĂ© Shchukin Ă©tait Ă©galement actif sous l’identitĂ© Ger0in sur des forums cybercriminels russes entre 2010 et 2011, opĂ©rant des botnets et vendant des « installs » 🎯 Faits reprochĂ©s Au moins 130 actes de sabotage informatique et d’extorsion contre des victimes en Allemagne entre 2019 et 2021 ~2 millions d’euros extorquĂ©s sur une vingtaine d’attaques Plus de 35 millions d’euros de dommages Ă©conomiques totaux en Allemagne Un portefeuille numĂ©rique liĂ© Ă  Shchukin contenait plus de 317 000 dollars en cryptomonnaies selon un dossier du DOJ amĂ©ricain de fĂ©vrier 2023 🩠 Groupes ransomware dirigĂ©s GandCrab Apparu en janvier 2018 sous forme de programme d’affiliation Cinq rĂ©visions majeures du code publiĂ©es ArrĂȘt annoncĂ© le 31 mai 2019 aprĂšs avoir extorquĂ© plus de 2 milliards de dollars Ă  des victimes Pionnier de la double extorsion (paiement pour dĂ©chiffrement + paiement pour non-publication des donnĂ©es) REvil Apparu concomitamment Ă  la fermeture de GandCrab FrontĂ© par UNKNOWN, qui avait dĂ©posĂ© 1 million de dollars en escrow sur un forum cybercriminel russe Ciblait principalement des organisations avec plus de 100 millions de dollars de revenus annuels Attaque majeure : hack de Kaseya le week-end du 4 juillet 2021, affectant plus de 1 500 entreprises, ONG et agences gouvernementales Le FBI avait infiltrĂ© les serveurs de REvil avant l’attaque Kaseya et a publiĂ© une clĂ© de dĂ©chiffrement gratuite pour les victimes 🔗 Liens et attribution Le nom de Shchukin apparaĂźt dans un dossier du DOJ amĂ©ricain de fĂ©vrier 2023 liĂ© Ă  la saisie de comptes cryptomonnaies associĂ©s Ă  REvil La firme Intel 471 a indexĂ© des donnĂ©es de forums russes reliant Shchukin Ă  l’identitĂ© Ger0in Une correspondance photographique a Ă©tĂ© Ă©tablie via PimEyes entre les photos du BKA et une cĂ©lĂ©bration d’anniversaire de 2023 Ă  Krasnodar UNKNOWN avait accordĂ© une interview Ă  Dmitry Smilyanets (Recorded Future) 📌 Type d’article Article de presse spĂ©cialisĂ©e relatant une opĂ©ration d’attribution et de doxing officiel par les autoritĂ©s allemandes, visant Ă  exposer publiquement l’identitĂ© d’un cybercriminel prĂ©sumĂ© rĂ©sidant en Russie et hors de portĂ©e judiciaire immĂ©diate. ...

7 avril 2026 Â· 3 min
Derniùre mise à jour le: 2 juillet 2026 📝