🏦 Contexte

Source : dépôt SEC (Form 8-K) publié le 10 juillet 2026 par SR Bancorp, Inc. L’incident concerne Mercadien, P.C. CPAs, un cabinet comptable fournissant des services d’audit interne à SR Bancorp, Inc. et à sa filiale Somerset Regal Bank.

🔓 Nature de l’incident

Un acteur non autorisé a accédé aux serveurs informatiques de Mercadien et a acquis des fichiers contenant des données clients de la banque. Il s’agit d’une attaque de type tiers (supply chain / third-party breach) ciblant le prestataire d’audit plutôt que la banque elle-même.

📋 Données compromises

Les informations exposées incluent :

  • Noms des clients
  • Numéros de sécurité sociale
  • Numéros de compte bancaire
  • Documents d’identité
  • Dates de naissance

🏢 Périmètre de l’impact

  • Les systèmes informatiques de Somerset Regal Bank n’ont pas été directement impliqués ni impactés.
  • Aucune perturbation des opérations bancaires, de l’accès aux comptes, des systèmes de paiement ou de l’infrastructure IT centrale n’a été constatée.

📄 Type d’article

Il s’agit d’une annonce d’incident réglementaire publiée via la SEC (dépôt EDGAR), visant à informer les investisseurs et le public d’une violation de données affectant un prestataire tiers de la banque.

🧠 TTPs et IOCs détectés

TTP

  • T1078 — Valid Accounts (Initial Access)
  • T1005 — Data from Local System (Collection)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)

🔴 Indice de vérification factuelle : 20/100 (basse)

  • ⬜ sec.gov — source non référencée (0pts)
  • ✅ 798 chars — extrait court (5pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 3 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.sec.gov/ix?doc=/Archives/edgar/data/0001951276/000094337426000261/srbk-20260706.htm