Japon

📅 Contexte : Le 15 juin 2026, le média spécialisé GBHackers rapporte une revendication d’intrusion visant Nintendo, détectée via des canaux de surveillance underground et relayée par la plateforme de threat intelligence Hackmanac. 🎯 Revendication : L’acteur malveillant se faisant appeler SHADOWBYT3$ affirme avoir compromis des systèmes internes de Nintendo et procédé à une exfiltration de données sensibles. La revendication a été publiée le 13 juin 2026. ⚠️ Statut de vérification : Au moment de la publication de l’article, l’incident est non vérifié. Aucune confirmation officielle de Nintendo n’est mentionnée. ...

📰 Source : BleepingComputer — Date de publication : 5 juin 2026 Contexte En 2024, le domaine polyfill[.]io — un CDN JavaScript destiné à assurer la compatibilité des sites web avec les navigateurs anciens — avait été racheté par une entité chinoise non identifiée qui y avait injecté du code malveillant, impactant plus de 100 000 sites web. Le créateur du projet open source, Andrew Betts, avait alors recommandé de retirer le service et migré vers de nouveaux domaines (polyfill.com, puis polyfill.top). ...

🔍 Contexte Fin 2025, Mandiant (Google Threat Intelligence Group) a répondu à un incident de sécurité impliquant un serveur web compromis exécutant KnowledgeDeliver, un système de gestion de l’apprentissage (LMS) développé par Digital Knowledge, largement utilisé au Japon. L’analyse a été publiée le 25 mai 2026. 🎯 Vulnérabilité exploitée La vulnérabilité, désormais suivie sous CVE-2026-5426, résulte de l’utilisation de valeurs machineKey ASP.NET identiques et codées en dur dans le fichier web.config fourni par le vendeur, partagées entre tous les déploiements clients. Cette configuration standardisée permettait à un acteur malveillant ayant obtenu les clés d’un déploiement de compromettre n’importe quelle instance KnowledgeDeliver exposée sur Internet. ...

📰 Source : TechCrunch, publié le 15 mai 2026, par Zack Whittaker. Contexte Le chercheur indépendant en sécurité Anurag Sen a découvert que le système de check-in hôtelier Tabiq, développé par la startup japonaise Reqrea, exposait publiquement des données sensibles de clients. Il a alerté TechCrunch, qui a notifié l’entreprise et le JPCERT (équipe japonaise de coordination en cybersécurité). Nature de l’incident Type d’exposition : Mauvaise configuration d’un bucket Amazon S3 rendu publiquement accessible sans mot de passe Données exposées : passeports, permis de conduire, photos de selfie de vérification d’identité Volume estimé : plus d’1 million de documents clients Période couverte : fichiers datant de début 2020 jusqu’à mai 2026 Accès : tout utilisateur connaissant le nom du bucket (tabiq) pouvait consulter les données via un navigateur web Vecteur de compromission La cause est une misconfiguration : le bucket S3, privé par défaut, a été rendu public. Amazon a pourtant ajouté des avertissements supplémentaires après une série d’incidents similaires, rendant ce type d’erreur difficile à commettre accidentellement. ...

📰 Source : Kyodo News via Mainichi Shimbun — Date : 20 avril 2026 — Contexte : Résultats d’une enquête menée en janvier 2026 par le Japan Institute for Promotion of Digital Economy and Community (JIPDEC) auprès de 1 107 entreprises japonaises. 📊 Chiffres clés de l’enquête : 507 entreprises sur 1 107 interrogées ont déclaré avoir été victimes d’une attaque par ransomware 222 entreprises ont choisi de payer la rançon aux attaquants Parmi celles ayant payé : 83 ont pu restaurer leurs systèmes et données, 139 n’ont pas pu les récupérer (soit environ 62,6% d’échec) 141 entreprises ont refusé de payer et ont néanmoins réussi à restaurer leurs systèmes et données 💥 Impact : L’enquête met en évidence l’inefficacité fréquente du paiement de rançon comme moyen de récupération des données, avec une majorité des entreprises ayant payé qui n’ont pas obtenu la restauration promise. ...

🔍 Contexte Source : Breakglass Intelligence (intel.breakglass.tech), publiée le 17 avril 2026. L’analyse fait suite à la détection d’un pull de configuration malveillante en direct le 16 avril 2026, pointant vers un serveur C2 à 137.220.153.175:886. L’investigation a permis de reconstituer l’intégralité de la chaîne d’infection en quelques heures. 🎯 Acteur et ciblage Silver Fox APT (alias Void Arachne / CL-STA-0048 / UTG-Q-1000) est un groupe chinois principalement connu pour le déploiement de ValleyRAT (aussi classifié Winos 4.0), un dérivé de Gh0st RAT. Historiquement centré sur les victimes sinophones, le groupe a étendu ses opérations au Japon, à la Malaisie et à l’Asie du Sud-Est depuis décembre 2025. Cette campagne cible spécifiquement des victimes japonaises via un leurre de facture Rakuten en langue japonaise. ...

Selon des données publiées jeudi par la National Police Agency (NPA) du Japon, le pays a enregistré en 2025 un volume élevé d’attaques par ransomware, marquant une progression par rapport à 2024. 📈 Bilan 2025: 226 cas confirmés de ransomware, soit le deuxième total annuel le plus élevé et +4 par rapport à l’année précédente. 🏢 Victimes: Environ 60 % des victimes sont des petites et moyennes entreprises (PME). Des grandes entreprises ont également subi des dommages graves, notamment Asahi Group Holdings Ltd. (agroalimentaire/boissons) et Askul Corp. (fournitures de bureau et ménagères). ...

Selon The Cyber Express, Advantest a confirmé une cyberattaque après la détection d’un ransomware le 15 février, et mène actuellement une enquête pour évaluer l’ampleur de l’incident. Type d’attaque: ransomware Date de détection: 15 février Statut: enquête en cours Axes d’investigation: accès réseau, exposition de données, impact potentiel sur l’organisation 🔎 L’entreprise examine comment le réseau a pu être accédé, si des données ont été exposées, et l’impact opérationnel associé. ...

Selon Trend Micro (US), une attaque de type watering hole a compromis la page de téléchargement d’EmEditor fin 2025 afin de distribuer un installeur MSI modifié qui déploie un malware multi‑étapes. • Contexte et cible. EmEditor, éditeur de texte populaire (notamment au sein des communautés de développeurs japonaises), a publié un avis de sécurité fin décembre 2025 signalant la compromission de sa page de téléchargement. L’objectif des attaquants: diffuser un installeur altéré déclenchant discrètement une chaîne d’infection post‑installation, augmentant la dwell time et les risques de perturbation opérationnelle. ...

Source: JPCERT/CC — Alerte JPCERT-AT-2025-0024 (ouverte le 2025-12-03, mise à jour le 2025-12-05). Le CERT japonais décrit une vulnérabilité d’injection de commandes affectant la fonctionnalité DesktopDirect des appliances Array AG d’Array Networks, permettant l’exécution de commandes arbitraires. Aucun CVE n’est attribué au moment de la publication. Produits et versions concernés: ArrayOS AG 9.4.5.8 et antérieurs lorsque la fonction DesktopDirect est activée. État et impact: JPCERT/CC a confirmé des attaques survenues depuis août 2025 au Japon, menant à l’implantation de webshells, la création de nouveaux comptes utilisateurs et des intrusions internes via l’équipement ciblé. Dans les cas observés, des commandes tentaient de déposer un webshell PHP sous le chemin incluant /webapp/. Un IOC IP d’émission des communications d’attaque est fourni: 194.233.100[.]138. ...