Ukraine

🔍 Contexte Publié le 1er juin 2026 par l’équipe Threat Detection & Research (TDR) de Sekoia.io, cet article constitue le premier volet d’une série de trois rapports sur la chaîne d’infection du groupe Gamaredon (alias ACTINUM, Armageddon, UAC-0010, BlueAlpha), un acteur étatique russe officiellement rattaché au FSB. L’investigation a débuté en décembre 2025 via une règle YARA opportuniste, complétée par plus de 70 artefacts fournis par un partenaire de confiance. ...

🔍 Contexte WithSecure Labs publie le 28 mai 2026 une analyse approfondie d’un groupe de menace nouvellement tracké sous le nom GREYVIBE, actif depuis au moins août 2025 et ciblant principalement l’Ukraine et les entités liées à l’Ukraine dans le contexte du conflit russo-ukrainien. 🎯 Victimologie et ciblage Le groupe cible une population diverse : Entités militaires ukrainiennes (dont des combattants à Kharkiv) Entités gouvernementales (Conseil municipal de Kyiv, Service d’État des communications spéciales) Entités civiles et commerciales Secteur énergie (entreprise énergétique ukrainienne) 📦 Vecteurs d’attaque et campagnes PhantomMail : Spear-phishing par e-mail depuis août 2025, avec archives ZIP/RAR hébergées sur Google Drive et 4sync, contenant des loaders PyInstaller ou JavaScript lançant la chaîne d’infection PhantomRelay. ...

🗓️ Contexte Source : BleepingComputer, publié le 15 avril 2026. Le CERT-UA a publié un rapport détaillant une campagne d’attaques ciblant des gouvernements locaux, des hôpitaux et potentiellement des représentants des Forces de Défense ukrainiennes. La campagne est attribuée au cluster de menace UAC-0247. 🎯 Vecteur d’infection et chaîne d’attaque L’attaque débute par un email de phishing se faisant passer pour une offre d’aide humanitaire, contenant un lien malveillant. Ce lien redirige vers : ...

🗂️ Contexte Source : Bureau du Procureur général d’Ukraine (gp.gov.ua), publication du 27 avril 2026. L’opération a été conduite par les procureurs de la région de Lviv, la cyber-police et le Service de sécurité d’Ukraine (SBU). 👥 Acteurs impliqués Un groupe de trois individus a été démantelé dans la région de Lviv : Un résident de Drohobych âgé de 19 ans, organisateur du schéma Deux complices âgés de 21 et 22 ans La période d’activité documentée s’étend d’octobre 2025 à janvier 2026. ...

🗓️ Contexte Selon un rapport publié par Seqrite Labs et relayé par Security Affairs le 19 mars 2026, un groupe APT lié à la Russie — attribué avec une confiance modérée à APT28 (alias Fancy Bear, Sednit, STRONTIUM, UAC-0001) — mène une campagne d’espionnage ciblant des entités gouvernementales ukrainiennes via une vulnérabilité dans Zimbra Collaboration. 🎯 Campagne : Operation GhostMail La campagne, baptisée Operation GhostMail, exploite la vulnérabilité CVE-2025-66376 (CVSS 7.2), un stored XSS dans l’interface Classic UI de Zimbra, causé par une sanitisation insuffisante des directives CSS @import dans le contenu HTML des emails. ...

Source: CyberArk Labs — Dans un billet de recherche publié le 15 janvier 2026, les chercheurs décrivent l’exploitation d’une vulnérabilité XSS dans le panneau web de l’infostealer StealC (MaaS) qui leur a permis d’observer les opérateurs, de détourner leurs sessions via cookies non protégés et de documenter une campagne active liée à YouTube. — Contexte et vulnérabilité — • StealC, vendu en modèle MaaS depuis 2023, a connu une fuite de son panneau web au printemps 2025, peu après le passage à StealC v2, suivie d’un teardown critique de TRAC Labs. • Les chercheurs de CyberArk ont trouvé une XSS « simple » dans le panneau et, en l’exploitant, ont pu récupérer des cookies de session (absence de HttpOnly) et prendre le contrôle de sessions opérateurs — ironique pour une opération dédiée au vol de cookies 🍪. ...

Dans un billet technique publié le 14 janvier 2026, l’auteur analyse la dernière version du loader Kazuar v3 attribué à Turla, faisant écho à une campagne évoquée par ESET (étiquette d’agent AGN-RR-01). Le point d’entrée est un VBScript (8RWRLT.vbs) qui crée des répertoires sous %LOCALAPPDATA%\Programs\HP\Printer\Driver, télécharge plusieurs fichiers depuis 185.126.255[.]132, exécute un exécutable HP signé (hpbprndi.exe) pour déclencher un DLL sideloading, et établit une persistance via une clé Run. Le script collecte ensuite des infos hôte (OS, uptime, archi CPU, nom machine/utilisateur/domaine, liste des processus, inventaire du dossier créé) et les envoie en POST vers /requestor.php. ...

Selon BleepingComputer, entre octobre et décembre 2025, des officiels des Forces de défense ukrainiennes ont été visés par une campagne à thème caritatif qui a livré un malware de type backdoor, nommé PluggyApe. 🎯 Campagne PluggyApe visant les Forces de défense ukrainiennes Entre octobre et décembre 2025, des responsables des Forces de défense ukrainiennes ont été ciblés par une campagne malveillante se faisant passer pour des initiatives caritatives. Selon un rapport de :contentReference[oaicite:0]{index=0}, les attaques sont attribuées avec un niveau de confiance moyen à un groupe de menace russe connu sous les noms Void Blizzard et Laundry Bear. ...

Selon Picus Security, CABINETRAT est un malware Windows utilisé dans des campagnes d’espionnage et financières, attribuées aux opérations UAC-0245, visant principalement des organisations ukrainiennes, notamment dans les secteurs gouvernementaux et télécoms. L’objectif est de maintenir un accès durable pour la surveillance et l’exfiltration de données. Le vecteur initial s’appuie sur des fichiers XLL Excel malveillants se faisant passer pour des documents légitimes, permettant l’exécution de shellcode. La persistance est assurée via plusieurs mécanismes: clés de registre Run (HKCU\Software\Microsoft\Windows\CurrentVersion\Run), dossier Démarrage et tâches planifiées. ...

Selon The Record, des parlementaires en Ukraine envisagent de regrouper les capacités cyber offensives et cyber défensives du pays sous un commandement unique intégré aux Forces armées. ️ L’Ukraine prépare la création d’une Cyber Force dédiée aux opérations offensives Le parlement ukrainien a franchi une étape majeure vers la création d’une Cyber Force militaire, en approuvant en première lecture un projet de loi visant à unifier les capacités cyber offensives et défensives du pays sous un commandement unique. Si le texte est adopté en seconde lecture et signé par le président, cette nouvelle branche relèvera directement du commandant en chef des Forces armées, Oleksandr Syrskyi. ...