Posts

🎯 Contexte Publié le 11 juin 2026 sur SuspectFile.com par Marco A. De Felice (alias amvinfe), cet article présente une interview exclusive du groupe cybercriminel Everest, actif depuis au moins 2020. Il s’agit d’un échange direct entre le journaliste et les opérateurs du groupe, offrant une perspective rare sur leur évolution opérationnelle sur six ans. 🕰️ Évolution opérationnelle Everest a initialement opéré selon un modèle basé exclusivement sur l’exfiltration de données et l’extorsion par menace de publication, sans chiffrement. Le groupe a ensuite adopté la double extorsion (vol + chiffrement) après avoir constaté que le chiffrement des systèmes génère une pression financière plus efficace sur les victimes. ...

🗓️ Contexte Source : BleepingComputer, publié le 10 juin 2026. L’article rapporte l’exploitation active d’une vulnérabilité haute sévérité dans Langflow, une plateforme open-source de développement d’applications IA très populaire (149 000 étoiles GitHub, 9 200 forks). 🔍 Vulnérabilité CVE-2026-5027 est une faille de path traversal dans la fonctionnalité d’upload de fichiers de Langflow. L’endpoint POST /api/v2/files ne sanitise pas le paramètre filename des données multipart, permettant à un attaquant d’écrire des fichiers à des emplacements arbitraires du système de fichiers via des séquences ../. ...

📰 Contexte Source : Sportstar (The Hindu), publiée le 10 juin 2026. L’incident survient lors d’un match amical de préparation à la Coupe du Monde 2026 entre l’Argentine et l’Islande, disputé au Jordan-Hare Stadium en Alabama (États-Unis). 🔓 Nature de l’incident Un défaut de redaction (absence de floutage) sur la feuille de match officielle a entraîné la divulgation publique des numéros de passeport de l’intégralité du groupe de joueurs argentins. Ce document, qui aurait dû être anonymisé avant diffusion, a été distribué tel quel aux médias et au public. ...

🔍 Contexte Source : BleepingComputer, publié le 10 juin 2026. L’article s’appuie sur un rapport de SafeDep concernant la fuite du code source du framework Miasma sur GitHub. 🦠 Description du malware Miasma est un framework de vol de credentials évoluant à partir du ver Shai-Hulud, dont le code avait également été précédemment leaké sur GitHub. Il partage avec son prédécesseur de nombreuses fonctionnalités, techniques et portions de code. Le malware opère selon un cycle autonome de propagation de type ver : ...

🔍 Contexte Publié le 9 juin 2026 par Lucas Dodgson, Tobias Oberdörfer et Robin Hilber (InfoGuard Labs), cet article de recherche offensive décrit une vulnérabilité de configuration baptisée Ghost-Sender, affectant Microsoft Exchange Online utilisé en combinaison avec un enregistrement MX externe (solution de filtrage tiers ou anti-spam). ⚠️ Description de la vulnérabilité Ghost-Sender exploite le comportement par défaut d’Exchange Online qui accepte tout email entrant directement adressé au tenant, indépendamment des résultats des contrôles SPF, DKIM et DMARC. Lorsqu’un enregistrement MX externe est configuré (ex : Mailgun, solution anti-spam tierce), un attaquant peut contourner ce filtrage en envoyant directement au endpoint Exchange Online (*.mail.protection.outlook.com), livrant des emails usurpés depuis n’importe quel expéditeur interne ou externe. ...

📅 Source : Gen Digital Blog (gendigital.com), publié le 10 juin 2026, par Vojtěch Krejsa, Threat Researcher at Gen. Contexte GoFlateLoader est un loader écrit en Go (Golang), suivi activement par Gen Threat Labs depuis début avril 2026. Malgré une conception technique simple, il est largement distribué : plus de 33 000 utilisateurs uniques ont été protégés depuis avril 2026, principalement au Brésil, Inde, Argentine, Mexique, Turquie et Espagne. Mécanisme technique Le loader réalise un chargement manuel de PE en mémoire selon le flux suivant : ...

📰 Source : Neowin | Date : 9 juin 2026 (mise à jour 11 juin 2026) | Contexte : Fin de la transition Manifest V2 → Manifest V3 dans l’écosystème Chromium Contexte Depuis plusieurs années, Google Chrome opère une transition de Manifest V2 (MV2) vers Manifest V3 (MV3) pour les extensions de navigateur. Cette transition entre dans sa phase finale avec la suppression des flags de contrôle MV2 dans les versions récentes de Chromium. ...

🔍 Contexte Publié le 8 juin 2026 sur The Raven File, cet article constitue une analyse technique approfondie de Grixba, l’outil de reconnaissance interne développé par le groupe Play Ransomware (actif depuis 2022, 1200+ victimes). L’analyse couvre quatre échantillons compilés entre septembre 2022 et novembre 2024, soit une période de 26 mois. 🎯 Présentation de Grixba Grixba est un infostealer/scanner réseau personnalisé développé en .NET avec Costura pour l’intégration des dépendances. Il est utilisé en phase de pré-chiffrement pour cartographier l’environnement cible : ...

🗓️ Contexte Le 11 juin 2026, Dataminr a émis une alerte Flash détectant une revendication de compromission par le groupe Handala contre California Water Service (Cal Water), l’un des plus grands services d’eau aux États-Unis, desservant environ deux millions de clients dans 100 communautés californiennes. L’analyse a été publiée le 13 juin 2026. 🎯 Nature de l’incident Handala a publié un package de preuve de concept de 5 Go via son blog, cohérent avec son modèle opérationnel de hack-and-leak. L’analyse de Dataminr identifie une double compromission : ...

🔍 Contexte Publié le 10 juin 2026 par WatchTowr Labs, cet article présente l’analyse technique de deux vulnérabilités découvertes dans Ivanti Sentry (anciennement MobileIron Sentry), une passerelle inline gérant le trafic entre appareils mobiles et systèmes d’entreprise. 🚨 Vulnérabilités identifiées CVE-2026-10520 (CVSS 10/10) : Injection de commandes OS pré-authentifiée dans Ivanti Sentry avant les versions R10.5.2, R10.6.2 et R10.7.1. Permet à un attaquant distant non authentifié d’obtenir une exécution de code à distance avec privilèges root. CVE-2026-10523 : Contournement d’authentification (CWE-288) dans les mêmes versions, permettant la création de comptes administrateurs arbitraires et l’obtention d’un accès administratif complet. Découvert par Bryan Lam. 🛠️ Analyse technique L’analyse porte sur la comparaison entre les versions Ivanti/MobileIron Sentry 10.5.1 (vulnérable) et 10.5.2 (corrigée). ...