Radware: flambĂ©e de DDoS hacktivistes au Moyen‑Orient aprĂšs « Operation Epic Fury »

Source et contexte — Radware. Dans un rapport couvrant la pĂ©riode du 28 fĂ©vrier au 2 mars 2026, Radware relie une vague coordonnĂ©e d’attaques DDoS hacktivistes Ă  l’offensive militaire « Operation Epic Fury » (États‑Unis/IsraĂ«l, dite « Roaring Lion » en IsraĂ«l). Les collectifs pro‑iraniens et alliĂ©s se sont mobilisĂ©s en moins de neuf heures, dĂ©clenchant une campagne de perturbation numĂ©rique Ă  grande Ă©chelle. Points clĂ©s et volumĂ©trie. Entre le 28 fĂ©vrier et le 2 mars, neuf groupes ont revendiquĂ© 107 attaques contre 81 organisations dans huit pays du Moyen‑Orient. Le paysage est trĂšs concentré : Keymous+ (35,5%) et DieNet (32,7%) totalisent prĂšs de 70% des revendications, suivis par Conquerors Electronic Army (11,2%), 313 Team (6,5%), NoName057(16) (6,5%) et Nation of Saviors (3,7%). À l’échelle mondiale sur la mĂȘme fenĂȘtre (149 revendications, 110 organisations, 16 pays, 12 groupes), Keymous+ (26,8%), DieNet (25,5%) et NoName057(16) (22,2%) cumulent 74,6% des revendications. ...

8 mars 2026 Â· 3 min

Ransomware 2025 : exigences initiales en hausse de 47 %, mais 86 % des victimes refusent de payer

Selon Coalition, dans son 2026 Cyber Claims Report, les exigences initiales de rançon formulĂ©es par les cybercriminels ont fortement augmentĂ© en 2025, mais la grande majoritĂ© des organisations ciblĂ©es ont choisi de ne pas payer. 📈 Coalition rapporte une hausse de 47 % d’une annĂ©e sur l’autre des exigences initiales de rançon en 2025. Cet indicateur met en lumiĂšre une intensification de la pression financiĂšre exercĂ©e par les opĂ©rateurs de ransomware. ...

8 mars 2026 Â· 1 min

Seedworm (Iran) actif depuis févrierxa02026xa0: backdoors Dindoor/Fakeset, exfiltration cloud et IOCs publiés

SECURITY.COM, dans un contexte d’escalade militaire entre les États‑Unis/IsraĂ«l et l’Iran fin fĂ©vrier 2026, dĂ©taille une campagne en cours depuis dĂ©but fĂ©vrier attribuĂ©e Ă  l’APT iranien Seedworm (MuddyWater/Temp Zagros/Static Kitten). Des activitĂ©s ont Ă©tĂ© observĂ©es sur les rĂ©seaux d’une banque amĂ©ricaine, d’un aĂ©roport amĂ©ricain, d’ONG aux US et au Canada, et de la filiale israĂ©lienne d’un Ă©diteur logiciel US. 🚹 DĂ©tails techniques et artifacts clĂ©s Backdoor inconnue baptisĂ©e Dindoor, basĂ©e sur le runtime Deno (JavaScript/TypeScript), repĂ©rĂ©e chez l’éditeur (cible en IsraĂ«l), une banque US et une ONG canadienne; signĂ©e avec un certificat au nom « Amy Cherne ». Tentative d’exfiltration chez l’éditeur via Rclone vers un bucket Wasabi (commande observĂ©e: rclone copy CSIDL_DRIVE_FIXED\backups wasabi:[REMOVED]:/192.168.0.x). Autre backdoor Python nommĂ©e Fakeset sur les rĂ©seaux de l’aĂ©roport US et d’une ONG US; signĂ©e avec « Amy Cherne » et « Donald Gay » (ce dernier dĂ©jĂ  liĂ© Ă  Seedworm). TĂ©lĂ©chargements depuis Backblaze B2: gitempire.s3.us-east-005.backblazeb2.com et elvenforest.s3.us-east-005.backblazeb2.com. Le certificat « Donald Gay » a aussi servi Ă  signer Stagecomp (loader) qui dĂ©ploie Darkcomp; ces familles sont associĂ©es Ă  Seedworm (Google, Microsoft, Kaspersky). 🌍 Paysage de menace Ă©largi et contexte ...

8 mars 2026 Â· 3 min

Sicarii redirige ses affiliés vers le RaaS BQTLock; exploitation de React2Shell (CVE-2025-55182)

Selon le Halcyon Ransomware Research Center, l’administrateur de Sicarii a appelĂ© les opĂ©rateurs pro-palestiniens et pro-rĂ©gime iranien Ă  migrer vers Baqiyat 313 Locker (BQTLock), faute de capacitĂ© Ă  traiter l’afflux d’affiliĂ©s. BQTLock ouvre un accĂšs RaaS gratuit via Telegram pour des actions idĂ©ologiques pro-palestiniennes, tandis que Sicarii annonce se recentrer sur l’influence hacktiviste. Analyse des acteurs et cibles: BQTLock, divulguĂ© publiquement en juillet 2025, serait dĂ©veloppĂ© par les hacktivistes pro-palestiniens Liwaa Mohammad et Karim Fayad (ZeroDayX/ZeroDayX1), sous l’ombrelle Cyber Islamic Resistance. BQTLock et Sicarii sont des RaaS distincts; Sicarii redirige dĂ©sormais ses affiliĂ©s vers BQTLock pour des attaques motivĂ©es idĂ©ologiquement. BQTLock pratique la double extorsion et a publiĂ© des donnĂ©es d’entitĂ©s des secteurs hĂŽtellerie et Ă©ducation aux Émirats arabes unis, États-Unis et IsraĂ«l. Des messages rĂ©cents sur les canaux Cyber Islamic Resistance montrent un intĂ©rĂȘt pour des cibles d’infrastructures critiques et militaires, incluant des assertions de fuites d’une base de donnĂ©es militaire israĂ©lienne et d’une liste d’agents du Mossad. ...

8 mars 2026 Â· 3 min

TP-Link Tapo C260 : divulgation de fichiers, RCE invité et élévation de privilÚges (CVE-2026-0651 à -0653)

Sur un billet de blog technique datĂ© du 6 mars 2026, l’auteur dĂ©crit le processus ayant menĂ© Ă  l’obtention d’un shell sur la camĂ©ra TP-Link Tapo C260, en documentant trois vulnĂ©rabilitĂ©s liĂ©es (CVE-2026-0651, CVE-2026-0652, CVE-2026-0653). Un avis de TP-Link couvre les bases, tandis que l’article expose le cheminement de dĂ©couverte et l’enchaĂźnement d’exploits. DĂ©couverte LFD (CVE-2026-0651) 🔓 L’analyse statique de /bin/main (serveur HTTP intĂ©grĂ© avec gestion SOAP/ONVIF) rĂ©vĂšle un gestionnaire GET qui concatĂšne le chemin demandĂ© Ă  « /www » aprĂšs un simple dĂ©codage d’URL, sans aucune sanitisation. Le dĂ©codage de « ../ » permet une traversĂ©e de rĂ©pertoires conduisant Ă  une divulgation de fichiers locaux (LFD). L’accĂšs nĂ©cessite une session authentifiĂ©e, mais un compte invitĂ© suffit. ...

8 mars 2026 Â· 3 min

TriZetto (Cognizant) confirme le vol de donnĂ©es de 3,4 M de patients aprĂšs une intrusion restĂ©e invisible prĂšs d’un an

TechCrunch (6 mars 2026) rapporte que TriZetto, gĂ©ant de la health tech dĂ©tenu par Cognizant et utilisĂ© par des cabinets mĂ©dicaux pour vĂ©rifier l’éligibilitĂ© d’assurance, a confirmĂ© qu’une cyberattaque survenue en 2024 a entraĂźnĂ© une fuite de donnĂ©es concernant plus de 3,4 millions de personnes. L’incident a Ă©tĂ© dĂ©taillĂ© dans un dĂ©pĂŽt auprĂšs du procureur gĂ©nĂ©ral du Maine. 🔐 DonnĂ©es compromises extraites des « insurance eligibility transaction reports » hĂ©bergĂ©s par TriZetto : ...

8 mars 2026 Â· 2 min

Un administrateur de Phobos plaide coupable aux États-Unis pour conspiration liĂ©e au ransomware

Selon le Bureau du procureur fĂ©dĂ©ral des États-Unis pour le district du Maryland, un ressortissant russe a plaidĂ© coupable devant un tribunal fĂ©dĂ©ral Ă  Greenbelt (Maryland) dans une affaire liĂ©e au ransomware Phobos. Plaidoyer de culpabilitĂ© d’un administrateur du ransomware Phobos Contexte Un ressortissant russe, Evgenii Ptitsyn (43 ans), a plaidĂ© coupable devant un tribunal fĂ©dĂ©ral amĂ©ricain pour conspiration de fraude Ă©lectronique liĂ©e Ă  l’exploitation du ransomware Phobos. Ptitsyn administrait l’infrastructure permettant : ...

8 mars 2026 Â· 3 min

Un faux « Red Alert » diffusé par SMS installe un spyware lié à Hamas en Israël

Selon The Register, s’appuyant sur les analyses d’Acronis Threat Research Unit (TRU), une campagne de smishing en IsraĂ«l distribue depuis le 1er mars une application d’alerte aux roquettes « Red Alert » trojanisĂ©e, dĂ©guisĂ©e en mise Ă  jour urgente de « Oref Alert ». Les autoritĂ©s (Israeli National Cyber Directorate) et les grands mĂ©dias israĂ©liens ont Ă©mis des avertissements. ‱ Vecteur d’infection 🚹: des SMS usurpant « Oref Alert » avec ID d’expĂ©diteur spoofĂ© et lien bit.ly redirigeant vers un spyware Android au lieu d’une mise Ă  jour lĂ©gitime de Red Alert. ...

8 mars 2026 Â· 2 min

Une attaque par malware perturbe les systÚmes IT et les lignes téléphoniques du comté de Passaic

Cyberattaque contre les systĂšmes IT du comtĂ© de Passaic (New Jersey) Contexte Le comtĂ© de Passaic (New Jersey, États-Unis) a subi une cyberattaque impliquant un malware ayant perturbĂ© plusieurs systĂšmes informatiques et les lignes tĂ©lĂ©phoniques de l’administration locale. L’incident a Ă©tĂ© signalĂ© le 5 mars 2026, aprĂšs que les services tĂ©lĂ©phoniques ont cessĂ© de fonctionner mercredi matin. Les autoritĂ©s locales travaillent actuellement avec des agences fĂ©dĂ©rales et Ă©tatiques pour enquĂȘter sur l’incident et restaurer les services. ...

8 mars 2026 Â· 2 min

Velvet Tempest exploite ClickFix et des utilitaires Windows pour déployer DonutLoader et CastleRAT

Selon BleepingComputer, des acteurs de la menace liés au rançongiciel, suivis sous le nom Velvet Tempest, emploient la technique ClickFix et des utilitaires Windows légitimes pour déployer le malware DonutLoader et la porte dérobée CastleRAT. Velvet Tempest utilise ClickFix pour déployer DonutLoader et CastleRAT Contexte Le groupe cybercriminel Velvet Tempest (également suivi sous DEV-0504) a été observé utilisant la technique ClickFix et des outils Windows légitimes pour déployer les malwares DonutLoader et CastleRAT. ...

8 mars 2026 Â· 3 min
Derniùre mise à jour le: 3 juillet 2026 📝