CrystalX RAT : un nouveau cheval de Troie MaaS combinant espionnage, vol de crypto et fonctions de canular

🔍 Contexte Publié le 1 avril 2026 par l’équipe GReAT de Kaspersky, cet article présente l’analyse d’un nouveau cheval de Troie d’accès à distance (RAT) nommé CrystalX, découvert en mars 2026 sur des canaux Telegram privés. Le malware est distribué selon un modèle malware-as-a-service (MaaS) avec trois niveaux d’abonnement. 🧬 Origine et évolution Première mention en janvier 2026 dans un chat Telegram privé pour développeurs de RAT, sous le nom WebCrystal RAT Identifié comme un clone de WebRat, un RAT préexistant Rebaptisé CrystalX RAT peu après, avec création d’un canal Telegram dédié pour sa commercialisation Des vidéos tutorielles publiées sur YouTube sous couvert de « fins éducatives » facilitent son utilisation 💣 Capacités malveillantes Vol de données et surveillance : ...

2 avril 2026 · 3 min

CVE-2025-53521 : Plus de 14 000 instances F5 BIG-IP APM exposées à des attaques RCE actives

🗓️ Contexte Source : BleepingComputer — Article publié le 2 avril 2026. Shadowserver, organisation à but non lucratif spécialisée dans la surveillance des menaces Internet, a identifié plus de 14 000 instances F5 BIG-IP APM encore exposées à des attaques exploitant une vulnérabilité critique d’exécution de code à distance. 🔍 Vulnérabilité concernée CVE-2025-53521 : faille vieille de 5 mois, initialement divulguée en octobre 2025 comme une vulnérabilité de déni de service (DoS). Reclassifiée en RCE (Remote Code Execution) le week-end précédant la publication, suite à de nouvelles informations obtenues en mars 2026. Exploitable sans privilèges sur des systèmes BIG-IP APM non patchés disposant de politiques d’accès configurées sur un serveur virtuel. F5 a confirmé que la vulnérabilité est activement exploitée dans les versions vulnérables. 📊 Exposition et impact Shadowserver suit plus de 17 100 IPs avec des empreintes BIG-IP APM exposées sur Internet. Plus de 14 000 instances restent vulnérables aux attaques CVE-2025-53521. La CISA a ajouté cette CVE à sa liste des failles activement exploitées et a ordonné aux agences fédérales américaines de sécuriser leurs systèmes BIG-IP APM avant minuit le lundi. 🏢 Contexte éditeur F5 est un géant technologique Fortune 500 fournissant des services de cybersécurité et de livraison d’applications à plus de 23 000 clients, dont 48 entreprises du Fortune 50. Les vulnérabilités BIG-IP ont historiquement été ciblées par des groupes étatiques et cybercriminels pour compromettre des réseaux, déployer des malwares destructeurs et exfiltrer des données. ...

2 avril 2026 · 2 min

Faille F5 BIG-IP reclassifiée en RCE critique et exploitée activement

CVE-2025-53521 : La faille F5 BIG-IP requalifiée en RCE critique, exploitation active confirmée par CISA Source : SecurityWeek — Date : Mars 2026 🧩 Contexte La CISA a ajouté CVE-2025-53521 à son catalogue Known Exploited Vulnerabilities (KEV) et appelle les agences fédérales à appliquer le correctif sous trois jours. La vulnérabilité, initialement divulguée en octobre 2025 comme un problème de déni de service (DoS) de sévérité haute, a été requalifiée en RCE critique (CVSS 9.3) la semaine précédant l’alerte. F5 a mis à jour son advisory en conséquence. ...

2 avril 2026 · 2 min

L'IRGC iranien menace de cibler 18 entreprises technologiques américaines au Moyen-Orient

📰 Source : The Hill, publié le 31 mars 2026 par Julia Shapero. L’article rapporte une déclaration officielle de l’IRGC (Corps des Gardiens de la Révolution Islamique) publiée via son organe de presse officiel Sepah News. ⚠️ Menace annoncée : L’IRGC a déclaré son intention de cibler physiquement 18 entreprises technologiques américaines présentes au Moyen-Orient, à partir du mercredi 1er avril 2026 à 20h00 heure locale. L’IRGC accuse ces entreprises d’être impliquées dans la planification et le suivi de cibles pour des frappes américaines. ...

2 avril 2026 · 2 min

Les services de lookup infostealer transforment l'accès initial en cybercriminalité de masse

🌐 Contexte Article publié le 25 mars 2026 sur infostealers.com par Hudson Rock, société spécialisée en cybercrime intelligence. L’article décrit une évolution structurelle du marché de l’accès initial aux systèmes d’information. 🔍 Phénomène observé Des services de lookup de credentials volés par infostealers se sont développés en plateformes centralisées, transformant l’accès initial à des réseaux d’entreprise en une transaction automatisée et bon marché. Ces plateformes agrègent des milliards de credentials compromis et de cookies de session actifs, structurés et interrogeables par URL, login et mot de passe. ...

2 avril 2026 · 2 min

Nissan : le groupe Everest revendique une violation de données via un prestataire tiers

🗓️ Contexte Article publié le 1 avril 2026 par The Record Media, relatant une revendication de violation de données ciblant l’écosystème de prestataires du constructeur automobile japonais Nissan. 🎯 Incident Le groupe de hackers Everest a revendiqué avoir compromis le système de transfert de fichiers utilisé par un prestataire offrant des services aux concessionnaires Nissan et Infiniti en Amérique du Nord. Le groupe affirme avoir exfiltré 910 gigaoctets de données, incluant : ...

2 avril 2026 · 2 min

Opération TrueChaos : zero-day dans TrueConf exploité contre des gouvernements en Asie du Sud-Est

🔍 Contexte Publié le 30 mars 2026 par Check Point Research, ce rapport détaille l’Opération TrueChaos, une campagne d’espionnage ciblée découverte début 2026. L’attaque exploite une vulnérabilité zero-day (CVE-2026-3502, CVSS 7.8) dans le client Windows de TrueConf, une plateforme de vidéoconférence déployée dans des environnements gouvernementaux, de défense et d’infrastructure critique. 🎯 Vecteur d’attaque Les attaquants ont compromis un serveur TrueConf on-premises opéré par une organisation IT gouvernementale, puis ont remplacé une mise à jour légitime du client par une mise à jour malveillante. Le client TrueConf ne vérifiait pas suffisamment l’intégrité ou l’authenticité du paquet de mise à jour avant exécution, permettant ainsi : ...

2 avril 2026 · 2 min

Progress ShareFile : chaîne RCE pré-authentifiée via CVE-2026-2699 et CVE-2026-2701

🔍 Contexte Publié le 2 avril 2026 par watchTowr Labs, cet article détaille la découverte et l’exploitation de deux vulnérabilités critiques dans Progress ShareFile Storage Zone Controller (branche 5.x), un composant on-premises permettant aux entreprises de stocker leurs fichiers sur leur propre infrastructure tout en utilisant l’interface SaaS ShareFile. Environ 30 000 instances sont exposées sur Internet. 🐛 Vulnérabilités identifiées CVE-2026-2699 / WT-2026-0006 : Contournement d’authentification via une faille de type CWE-698 (Execution After Redirect / EAR). La fonction RedirectAndCompleteRequest() appelle Response.Redirect() avec le flag booléen false, ce qui ne termine pas l’exécution de la page. Le contenu de /ConfigService/Admin.aspx est ainsi rendu malgré la redirection 302 vers la page de login. ...

2 avril 2026 · 2 min

PXA Stealer : analyse technique d'une campagne de phishing ciblant les institutions financières mondiales

🔍 Contexte Publié le 25 mars 2026 par la CyberProof Research Team (Niranjan Jayanand, Veena Sagar, Karthik Joseph, Archana Manoharan), cet article présente une analyse technique approfondie d’une campagne PXA Stealer observée au Q1 2026, ciblant principalement des institutions financières mondiales. 📈 Contexte de la menace Suite aux démantèlements en 2025 des infostealers majeurs (Lumma, Rhadamanthys, RedLine), PXA Stealer a comblé le vide laissé avec une croissance estimée de 8 à 10%. Cette campagne présente des différences par rapport aux recherches publiques précédentes d’août 2025, notamment via le cluster identifié par le BOT_ID « Verymuchxbot ». ...

2 avril 2026 · 3 min

TasksJacker : campagne DPRK compromet 400+ dépôts GitHub via VS Code tasks.json et C2 blockchain

🔍 Contexte Rapport publié le 2 avril 2026 par OpenSourceMalware.com, issu d’une investigation débutée le 31 janvier 2026. L’analyse documente une campagne active baptisée TasksJacker, attribuée avec un niveau de confiance MEDIUM-HIGH à des acteurs liés à la Corée du Nord (DPRK). 🎯 Vecteur d’attaque principal Les attaquants injectent des fichiers .vscode/tasks.json malveillants dans des dépôts GitHub compromis. La fonctionnalité "runOn": "folderOpen" de VS Code déclenche automatiquement l’exécution d’une commande shell dès qu’un développeur ouvre le dossier cloné — sans interaction utilisateur supplémentaire. ...

2 avril 2026 · 4 min
Dernière mise à jour le: 2 juillet 2026 📝