International

🔍 Contexte Publié le 17 juin 2026 par l’Acronis Threat Research Unit (TRU), ce rapport constitue une analyse technique et stratégique approfondie du groupe INC Ransomware, opération RaaS découverte mi-2023 et désormais classée parmi les cinq groupes ransomware les plus actifs mondialement en 2026. 📈 Évolution et historique INC Ransomware a émergé en 2023 comme une opération semi-privée basée sur un modèle d’affiliation. Le groupe a rapidement développé des variantes Windows et Linux/ESXi, ciblant notamment les hyperviseurs VMware. En 2024, le code source (Windows + Linux/ESXi) a été mis en vente sur des forums underground par un utilisateur nommé “salfetka” (lié aux alias “rinc” et “farnetwork”, associé aux opérations Nokoyawa, JSWORM, Nefilim, Karma et Nemty) pour 300 000 USD (limité à trois acheteurs). Cette vente a conduit à l’émergence des familles Lynx et Sinobi avec un chevauchement de code significatif. ...

🗓️ Contexte Publié le 18 juin 2026 sur KrebsOnSecurity, cet article synthétise les rapports simultanés de plusieurs sociétés de sécurité (Qurium, Synthient, Spur, Nokia Deepfield, Black Lotus Labs/Lumen, Include Security, Infoblox) concernant le botnet Popa et son lien avec NetNut, opérateur de proxies résidentiels filiale d’Alarum Technologies Ltd (NASDAQ: ALAR), société israélienne cotée en bourse. 🦠 Description du botnet Popa Popa est un botnet Android actif depuis environ quatre ans, ciblant principalement des box TV Android non officielles vendues en ligne. Il s’agit d’un composant plugin associé au botnet Vo1d. Ses caractéristiques principales : ...

🔍 Contexte Publié le 16 juin 2026 par Open Measures, cet article présente une analyse de la persistance des activités cybercriminelles sur Telegram malgré les efforts de modération massifs engagés depuis l’arrestation de Pavel Durov en France en août 2024. 📊 Évolution de la modération Telegram Depuis mai 2024, Telegram a considérablement intensifié sa modération : 43,5 millions de canaux et groupes supprimés en 2025 Les suppressions quotidiennes en 2026 sont environ 4 fois supérieures à la moyenne de mai 2024 Telegram a mis à jour sa politique de confidentialité pour divulguer numéros de téléphone et adresses IP sur ordonnance judiciaire Déclin notable de la modération après le 20 février 2026 🎭 Tactiques d’évasion par période 2024 — Canaux à thème politique américain : Les canaux les plus actifs portaient des noms imitant des mouvements politiques américains (ThePatriotPartyofOH, FreeWestVirginia, PatriotPartyOregon). Ces canaux diffusaient des publicités pour des services cybercriminels (documents frauduleux, identifiants volés). ...

🔍 Contexte Netskope Threat Labs a publié le 17 juin 2026 une analyse technique d’une campagne ClickFix ciblant macOS, interceptée le 31 mai 2026. Cette campagne fait suite à une première vague signalée en avril 2026 et représente une évolution significative : elle intègre désormais un RAT (Remote Access Trojan) persistant en plus d’un infostealer AppleScript. L’attaquant est identifié comme russophone. 🎯 Ciblage et distribution Victimes : principalement en Asie, Amérique du Nord et Océanie Secteurs : technologie, médias, services aux entreprises Infrastructure : 25 domaines leurres éphémères, tous proxifiés via Cloudflare, enregistrés avec le même email administrateur (dbc9a6801423efc7s@ghastlier[.]com) Pages leurres : trois variantes — fausse page utilitaire macOS (“StellarScan Solutions”), fausse page GitHub, page de support IT localisée (Berlin) ⚙️ Chaîne d’infection (entièrement fileless) Social engineering ClickFix : la victime est incitée à copier-coller une commande curl dans le Terminal Stage 1 (loader zsh) : script gzip+base64 évalué en mémoire, effectue : Géofencing CIS : détecte le clavier russe via com.apple.HIToolbox.plist et quitte silencieusement Beacon de télémétrie vers le C2 (IP, locale, hostname, OS, hash de build) Récupération du payload AppleScript via curl pipé directement dans osascript (jamais écrit sur disque) Stage 2 (“Meow DEBUG”) : payload AppleScript exécuté entièrement en mémoire 🦠 Capacités du payload Stage 2 Vol de credentials : fausse boîte de dialogue System Preferences, validation via dscl . authonly, jusqu’à 10 tentatives Vol de données navigateurs : Chrome, Brave, Edge, Opera, Firefox, Safari, Arc, Vivaldi, Orion, Sidekick, Coccoc et autres (cookies, Login Data, Safe Storage keys) Vol de wallets crypto : 25 wallets desktop (Exodus, Electrum, Atomic, Guarda, Coinomi, Sparrow, Wasabi, Bitcoin Core…) + plus de 100 extensions Chromium dont MetaMask Vol de sessions : Telegram (tdata/), Discord (4 variantes), Steam Grab de fichiers : ~/Desktop, ~/Documents (docx, wallet, key, json, rdp, png…) Apple Notes : copie SQLite directe Exfiltration : archive ZIP vers https://qwqerrqwr2145qw.com/gate avec clé API dédiée 💉 Injection de wallets desktop Après exfiltration, le malware cible Exodus, Atomic Wallet, Ledger Wallet, Ledger Live, Trezor Suite : ...

🌐 Contexte Publié le 17 juin 2026 par l’équipe Proofpoint Threat Research, cet article détaille les résultats de l’Operation Endgame ciblant le groupe cybercriminel TA569, opérateur du malware SocGholish (alias FakeUpdates), suivi par Proofpoint depuis 2018. 🚔 Action de forces de l’ordre Le 18 juin 2026, une action coordonnée impliquant les Pays-Bas (NHCTU), le Canada (RCMP), les États-Unis (FBI) et l’Allemagne (BKA), avec le soutien d’Europol, a permis : La saisie de plus de 100 serveurs et domaines dans le monde entier L’assainissement de 14 971 sites web compromis La perturbation du botnet SocGholish Proofpoint a contribué en fournissant des informations aux autorités. ...

🔍 Contexte : Le 18 juin 2026, Qurium Media Foundation publie une investigation approfondie, en collaboration avec Nokia Deepfield Emergency Response Team et Synthient, sur l’infrastructure derrière deux événements massifs de scraping ayant ciblé des organisations hébergées en mai 2026, dont le site d’Arab Reporters for Investigative Journalism (ARIJ), touché par ~1,35 million d’adresses IP uniques. 🦠 Nature de la menace : Popa est un SDK/plugin de proxy résidentiel conçu pour enrôler des appareils (avec ou sans consentement) afin qu’ils servent de nœuds relais dans un réseau proxy résidentiel. Il est intégré comme composant du botnet Vo1d (aussi connu sous Badbox 2.0), ciblant principalement les TV boxes Android. L’infrastructure globale est désignée sous le nom Popanet. ...

🔍 Contexte Publié le 18 juin 2026 par la Nokia Deepfield Emergency Response Team (ERT), ce rapport documente l’analyse statique du client Windows de RoboVPN, un VPN commercial gratuit édité par Cyberkick Ltd. L’analyse repose exclusivement sur le désassemblage statique (MSI, .NET, ILSpy, Ghidra) sans exécution de malware. 🧩 Composants identifiés L’installateur MSI contient un bundle .NET 6 (57 assemblies compressées) et quatre DLL natives x64. Parmi les dépendances NuGet déclarées comme routinières figure NeunativeNG 8.0.36, un SDK proxy résidentiel qui : ...

🎯 Contexte Publié le 18 juin 2026 par Cato CTRL (Vitaly Simonovich), cet article constitue un profil de threat actor consacré à ShinyHunters, groupe cybercriminel actif depuis 2020. Il couvre six années d’activité, les fusions avec d’autres groupes, et l’évolution tactique observée en 2025-2026. 🏗️ Résilience organisationnelle ShinyHunters a survécu à des perturbations majeures : Saisie de RaidForums Deux saisies de BreachForums Extradition et condamnation du fondateur Sébastien Raoult Arrestations de plusieurs administrateurs en France en 2025 Le groupe réapparaît systématiquement en quelques jours ou semaines. Sa résilience est organisationnelle plutôt que technique : ShinyHunters est devenu une identité réutilisable résistant aux arrestations et aux pertes de plateformes. ...

🗞️ Contexte Source : The Register, publié le 15 juin 2026. L’article rapporte une campagne d’intrusion massive menée par le groupe cybercriminel ShinyHunters, exploitant une vulnérabilité zero-day dans Oracle PeopleSoft (CVE-2026-35273) pour compromettre plus de 100 organisations à travers le monde. 🎯 Victime principale et données volées Le Conseil de l’Europe est la dernière victime confirmée de cette campagne. ShinyHunters revendique le vol de 297 Go de données représentant 429 000 fichiers, incluant : ...

📰 Contexte Article publié le 18 juin 2026 par CyberScoop (Matt Kapko). Il s’agit d’une analyse approfondie de la campagne du groupe TeamPCP, actif depuis fin 2025, qui mène une attaque de grande envergure contre l’écosystème open-source. 🎯 Acteur de la menace TeamPCP est attribué par Google à un opérateur principal unique, dont les connexions IP résidentielles et mobiles ont été tracées en Afrique du Sud. Palo Alto Networks identifie le handle principal : ResoluteXBF, ainsi que deux membres supplémentaires : diencracked et Shinigami. Le groupe a collaboré ponctuellement avec des entités telles que Lapsus$, ShinyHunters, DragonForce, BreachForums et HasanBroker. La motivation principale est la notoriété underground et le chaos, non le gain financier (environ 90 000 USD d’extorsions revendiquées). ⚙️ Méthodes d’attaque Injection de code malveillant dans des packages open-source sur npm, PyPI, GitHub et d’autres registres. Ciblage des pipelines CI/CD (CI runners) pour propager le malware à tous les utilisateurs en aval qui tirent automatiquement les dernières versions. Vol de credentials pour des environnements Kubernetes, AWS, Microsoft Azure, Google Cloud. Développement de payloads en JavaScript et Python, extension vers les APIs Kubernetes et les SDKs. Vol de credentials via protocoles personnalisés. Infections récurrentes dues à une rotation insuffisante des secrets par les victimes. 📦 Packages et victimes notables Première attaque documentée : Trivy (février 2026). Victimes revendiquées : Checkmarx, Bitwarden, LiteLLM, Telnyx, Mercor AI, PyTorch Lightning, AntV, SAP, GitHub, TanStack, UiPath, MistralAI, Microsoft DurableTask, Red Hat, Nx Console. Volume combiné : environ 500 millions de téléchargements hebdomadaires pour l’ensemble des packages compromis. Plus de 10 000 victimes revendiquées par TeamPCP. Environ 4 000 dépôts de code privés mis en vente sur un forum darkweb pour 95 000 USD. 🦠 Malware notable Mini Shai-Hulud : malware auto-répliquant ayant infecté des centaines de packages open-source. Son code source complet a été publié sur GitHub par un affilié de TeamPCP pour encourager d’autres cybercriminels à l’utiliser. 📊 Facteurs aggravants Utilisation croissante de l’IA par les développeurs réduisant la supervision humaine sur les packages installés. Confiance aveugle dans les registres open-source sans vérification de l’intégrité du code. Délai de détection variable : certains packages compromis ont été actifs jusqu’à 13 heures, d’autres retirés en 15 minutes. Le groupe infecte de nouveaux packages quasi quotidiennement et valide les compromissions en moins de 24 heures. 📌 Type d’article Analyse de menace approfondie à destination des professionnels de la cybersécurité et de la threat intelligence, visant à documenter les TTPs, l’attribution et l’impact de la campagne TeamPCP sur l’écosystème open-source. ...