International

🔍 Contexte Publié le 17 juin 2026 par CloudSEK, ce rapport documente l’Opération Escaneo, une campagne d’intrusion coordonnée et multi-étapes découverte lors d’une analyse de routine d’infrastructure malveillante. Un serveur de staging exposé hébergé sur 62.171.185.97 a permis de cartographier l’ensemble des capacités offensives du groupe. 🎯 Attribution et ciblage La campagne est attribuée avec une confiance moyenne au groupe MexicanMafia aka PanchoVilla, un acteur connu pour des attaques antérieures contre des institutions mexicaines (2024). Les secteurs ciblés incluent : ...

🗞️ Contexte Source : Blick.ch (ATS – Agence télégraphique suisse), publié le 21 juin 2026. L’article rapporte les suites institutionnelles et politiques d’une cyberattaque par ransomware ayant ciblé la filiale américaine de Ruag, entreprise d’armement appartenant à la Confédération suisse. 🎯 Incident Le groupe cybercriminel Akira a attaqué les systèmes informatiques de Ruag LLC, filiale basée en Virginie (États-Unis), à l’automne 2025. L’attaque a impliqué une double extorsion : vol de données, chiffrement, puis menace de publication sur le dark web en échange d’une rançon. ...

🗓️ Contexte Le 12 juin 2026, Widget Factory Limited publie sur le site officiel de JCE (Joomla Content Editor) un avis de sécurité détaillant une vulnérabilité critique affectant toutes les versions de JCE antérieures à 2.9.99.5. La correction initiale a été publiée le 3 juin 2026 (version 2.9.99.5), suivie d’un durcissement supplémentaire le 8 juin 2026 (version 2.9.99.6). 🔍 Nature de la vulnérabilité La vulnérabilité repose sur un import de profil d’éditeur non authentifié via le chemin index.php?option=com_jce&task=profiles.import. Elle permet à un attaquant de : ...

📰 Source : Citizen Lab, publié le 19 juin 2026. Cet article relaye des déclarations médiatiques (Financial Times, New York Times) concernant une nouvelle action judiciaire de Meta contre NSO Group. ⚖️ Contexte judiciaire : Meta/WhatsApp a annoncé son intention de saisir un tribunal américain pour faire constater l’outrage au tribunal de NSO Group. Une ordonnance judiciaire antérieure (émise l’année précédente) interdisait déjà à NSO Group d’utiliser WhatsApp pour cibler des individus. ...

📰 Source : SecurityWeek, publié le 18 juin 2026 par Ionut Arghire. Cisco a publié des correctifs pour plusieurs vulnérabilités affectant ses produits, dont une faille critique dans Identity Services Engine (ISE) et ISE Passive Identity Connector (ISE-PIC). 🔴 Vulnérabilité critique — CVE-2026-20181 (CVSS 9.1) La faille résulte d’une validation insuffisante des entrées utilisateur. Un attaquant distant authentifié disposant de credentials administratifs valides peut envoyer une requête HTTP forgée pour : ...

🔍 Contexte Publié le 17 juin 2026 par Ax Sharma (Head of Research, Manifold Security), cet article de recherche documente deux chemins d’exécution de code locale à haute sévérité dans Cline, l’extension VS Code d’agent de codage IA comptant environ 4,2 millions d’installations sur le VS Code Marketplace et OpenVSX. 🎯 Scénario d’attaque L’attaque cible un workflow développeur courant : cloner un dépôt inconnu et demander à Cline de le configurer. Le contenu du dépôt (README malveillant ou autre contenu lu par l’agent) manipule l’agent pour exécuter des commandes shell arbitraires sous le compte du développeur. L’impact potentiel inclut l’accès aux clés SSH, credentials AWS/GCP, cookies de navigateur, code source et tout ce que le développeur peut atteindre via VPN. Il s’agit d’un pattern confused-deputy dans l’IA agentique. ...

🔍 Contexte Publié le 17 juin 2026 par la Microsoft Defender Security Research Team, cet article documente une attaque supply chain npm de grande envergure ciblant l’écosystème Mastra. Microsoft Threat Intelligence a identifié la compromission et partagé ses conclusions avec l’équipe de sécurité npm, qui a supprimé les packages affectés et révoqué les droits de publication du compte compromis. ⚔️ Déroulement de l’attaque L’attaque s’est déroulée en six phases : Compromission de compte : Prise de contrôle du compte npm ehindero, mainteneur légitime avec droits de publication sur le scope @mastra. Création du typosquat : Publication de easy-day-js, impersonation de la bibliothèque légitime dayjs (57M+ téléchargements hebdomadaires), via un compte anonyme Tutamail. Empoisonnement massif : Publication de nouvelles versions de 140+ packages @mastra injectant easy-day-js@^1.11.21 comme dépendance, toutes taguées latest. Livraison : La plage SemVer ^1.11.21 résout vers la version 1.11.22 contenant le hook postinstall malveillant. Exécution : Le hook déclenche un dropper obfusqué de 4 572 octets (setup.cjs) qui désactive la vérification TLS et contacte le C2. Payload de second stade : Téléchargement et exécution d’un implant Node.js multiplateforme (~41 Ko) en processus détaché. 🎯 Stratégie de livraison en deux phases Phase 1 (leurre propre) : easy-day-js@1.11.21 publié le 16 juin 2026 à 07:05 UTC — code dayjs légitime, sans payload. Phase 2 (armement) : easy-day-js@1.11.22 publié le 17 juin 2026 à 01:01 UTC — ajout de setup.cjs et du hook postinstall. 🛠️ Analyse technique du payload Stage 0 — Dropper obfusqué (setup.cjs) : Tableau de 40 chaînes Base64 mélangées via un seed numérique (0x4c11d), décodées par une fonction personnalisée. ...

🔍 Contexte : Le 17 juin 2026, Rapid7 publie une analyse technique détaillée d’une campagne attribuée au groupe Dropping Elephant, découverte lors d’une chasse proactive aux menaces. L’article documente l’intégralité de la chaîne d’infection, de l’accès initial jusqu’au RAT final en mémoire. 🎯 Vecteur initial : La campagne débute par un fichier LNK malveillant (GRES3001.lnk) déguisé en PDF, utilisant un leurre thématique lié au secteur énergétique chinois — un contrat de réception pour le projet GRES-3 portant sur des pompes de circulation d’eau de mer industrielles. L’ouverture du raccourci déclenche conhost.exe qui lance un téléchargeur PowerShell obfusqué se connectant au serveur de staging chinagreenenergy[.]org. ...

🔍 Contexte Publié le 18 juin 2026 par ESET Research (Jakub Souček), cet article présente les résultats d’une investigation de plusieurs mois sur le groupe Gentlemen, un gang ransomware-as-a-service (RaaS) apparu fin 2025 et devenu l’un des plus actifs au premier trimestre 2026. L’analyse a été enrichie par une fuite de données interne du groupe survenue en mai 2026. 🎭 Profil du groupe Gentlemen Fondé par l’alias hastalamuerte (également connu sous zeta88), ancien affilié mécontent de Qilin Membres précédemment affiliés à Qilin, Embargo, LockBit, Medusa et BlackLock Offre une part de 90% aux affiliates Utilise la double extorsion (chiffrement + menace de fuite) Encrypteur Go (Windows, Linux) et variante ESXi en C Victimologie atypique : Asie du Sud-Est, Amérique du Sud, Europe de l’Ouest (pas de focus US) Sélection des victimes basée sur les mauvaises configurations FortiGate 🛠️ Arsenal EDR Killers GentleKiller (outil maison) 8 variantes documentées, chacune abusant d’un driver différent Cible plus de 400 processus mappés à 48 produits de sécurité Déployé dans le répertoire GentlemenCollection Caractéristiques communes : strings cohérentes, terminaison périodique de processus en boucle, obfuscation de code identique Intégration rapide de nouveaux BYOVD PoCs (en quelques jours) Drivers abusés par GentleKiller : eb.sys (rootkit Kaspersky PoC) nseckrnl.sys (NSecsoft NSecKrnl) GameDriverX64.sys (anti-cheat Valorant) stpm_old.sys / stpm_new.sys (Safetica ProcessMonitor) dmx.sys (Zemana WatchDog Antimalware) 360netmon_wfp.sys (Qihoo 360) IMFForceDelete (IObit ForceDelete) G11.sys / PoisonX rootkit Outils tiers intégrés : HexKiller : précédemment associé au gang Warlock, abuse googleApiUtil64.sys (Baidu Antivirus BdApi) ThrottleBlood : observé chez MedusaLocker et DragonForce, abuse ThrottleBlood.sys (TechPowerUp LLC) HavocKiller : divulgué publiquement par Huntress le 19 mars 2026, utilisé dès le 23 janvier 2026, abuse havoc.sys (Huawei Audio driver) 🛡️ Stratégie d’évasion défensive Protection binaire avancée : Enigma ou Themida Usurpation d’identité de vendors de sécurité (noms de fichiers, version info, icônes, certificats copiés invalides) Suffixes de nommage standardisés : 1 (Enigma), 2 (Themida), Light (aucun packer), Clear (aucune protection) 🔑 OxideHarvest (credential stealer) Écrit en Rust, attribué à l’affilié quant (outil nommé buildx641) Vole les credentials de navigateurs Chromium et Gecko Paramètres CLI : -i (hosts), -u (username), -p (password), -t (threads), -o (output) Emballé dans différents packers avec usurpation d’identité similaire 📋 Type d’article Publication de recherche technique par ESET Research, visant à fournir des insights exploitables sur les TTPs, IoCs et le framework EDR killer du groupe Gentlemen pour les équipes CTI et défensives. ...

🔍 Contexte Publié le 17 juin 2026 par la Sophos Counter Threat Unit (CTU), ce rapport analyse les discussions et activités liées à l’intelligence artificielle (IA) observées sur des forums cybercriminels et canaux Telegram souterrains. L’analyse couvre des observations depuis janvier 2026. 🔑 Accès et partage de connaissances Les chercheurs CTU ont observé la vente de clés API pour des outils d’IA générative (ChatGPT, Claude, Grok) via des comptes partagés et des plateformes alternatives. Des personas comme CyberThreat et VOLTC proposent un accès mutualisé à ces outils. Un manque de connaissances est notable : les acteurs se tournent vers des canaux dédiés pour apprendre les bases, le jailbreaking et les techniques de prompt engineering. Depuis janvier 2026, des offres de recrutement de prompt engineers OpenAI ont été observées. ...