Posts

🏛️ Contexte Le 10 juin 2026, le Département de la Justice américain (DOJ) et le FBI ont annoncé la saisie de 13 domaines internet utilisés dans le cadre d’une opération d’espionnage attribuée aux services de renseignement du gouvernement chinois. L’opération visait des détenteurs actuels et anciens d’habilitations de sécurité américaines ayant accès à des informations classifiées ou sensibles. 🎯 Mode opératoire Depuis novembre 2023, les conspirateurs ont créé au moins 13 fausses sociétés de conseil dont les sites web et offres d’emploi ciblaient des employés gouvernementaux et militaires américains. Les techniques employées incluent : ...

🗓️ Contexte Source : DataBreachToday.eu — Article publié le 8 juin 2026. L’incident s’est produit le vendredi précédant la publication. Les chercheurs de StepSecurity ont documenté et suivi l’attaque. 🎯 Nature de l’attaque Une attaque de chaîne d’approvisionnement (supply-chain) baptisée Miasma a frappé l’écosystème de développement Microsoft. Les attaquants ont utilisé un compte contributeur préalablement compromis pour injecter du code malveillant dans les dépôts Azure de Microsoft. ⚡ Propagation et impact 73 dépôts GitHub compromis en moins de 2 minutes Dépôts affectés : Azure, Azure-Samples et Microsoft, incluant des projets liés à Azure Functions et au framework Durable Task GitHub a temporairement désactivé les dépôts concernés avant leur restauration après investigation Les dépôts ont été rétablis après suppression du code malveillant par Microsoft et GitHub 🛠️ Mécanisme technique Les attaquants ont planté des fichiers de configuration malveillants conçus pour s’exécuter automatiquement lorsque les dépôts étaient ouverts via des outils de codage assistés par IA : ...

🌐 Contexte Publié le 10 juin 2026 par Flashpoint sur son blog officiel, cet article accompagne la sortie d’un guide intitulé Identity Is the New Attack Surface: A Guide to Infostealers and Proactive Defense. Il s’appuie sur les données de la Primary Source Collection (PSC) de Flashpoint et sur le rapport 2026 Global Threat Intelligence Report. 📊 Chiffres clés 11,1 millions d’appareils infectés par des infostealers au cours de la dernière année 3,3 milliards de credentials, cookies de session, tokens cloud et artefacts d’identité en circulation sur les marchés illicites 30+ souches d’infostealers actives identifiées dans les écosystèmes underground 48+ milliards de credentials dans la base de données Flashpoint, dont plus d’1 milliard liés à des infostealers 4,2% des credentials exposés via infostealers sont associés à des cookies de navigateur pouvant faciliter le détournement de session Une base de données publiquement exposée début 2026 contenait plus de 149 millions de credentials volés 🦠 Familles de malwares identifiées Flashpoint identifie les souches d’infostealers les plus actives : ...

🔍 Contexte Publié le 4 juin 2026 par la Sansec Forensics Team, cet article de recherche documente une famille Magecart inédite qui détourne deux services cloud légitimes — Google Tag Manager (GTM) et Stripe — comme infrastructure de commande et d’exfiltration, rendant la détection par CSP ou filtres réseau quasi impossible. ⚙️ Mécanisme d’attaque L’attaque se décompose en trois phases : Livraison du code : Un loader est injecté dans un vrai conteneur GTM (GTM-P6KZMF63 et autres). Sur les pages de checkout, il récupère le skimmer depuis les métadonnées d’un client Stripe (cus_TfFjAAZQNOYENR) et l’exécute via new Function() (RCE arbitraire côté client). Collecte : Le skimmer se greffe sur le bouton de checkout Magento/Adobe Commerce, capture les champs de carte (numéro, expiration, CVV), l’adresse de facturation et le total de commande, encode les données en XOR avec la clé EGAU3X9PAMJ8RYRNJSPV, et les stocke dans localStorage sous la clé cus_customer_id. Exfiltration : 1 seconde après chaque chargement de page, puis toutes les 60 secondes, les données sont envoyées à l’API Stripe (api.stripe.com/v1/customers) sous forme de faux client, avec les données volées réparties dans les champs metadata[customer_id] et metadata[device_id]. 🗝️ Clé Stripe exposée Chaque loader embarque une clé secrète Stripe en clair (sk_test_51Shuxz4fAPbvfTkr[...]) dans le JavaScript côté client. Le préfixe sk_test_ indique l’utilisation du mode test Stripe, exploité comme infrastructure gratuite et durable. ...

📰 Source : Help Net Security — Date : 8 juin 2026 Meta déclare avoir perturbé des tentatives de spear-phishing attribuées au groupe NSO, spécialiste du spyware commercial, ciblant des utilisateurs de WhatsApp. Ces actions auraient été détectées à la suite de signalements d’utilisateurs. ⚖️ Meta demande à un tribunal fédéral américain de déclarer NSO Group en outrage au tribunal, estimant que le vendeur de spyware a violé une injonction judiciaire lui interdisant de cibler WhatsApp et ses utilisateurs. ...

🔍 Contexte Le 9 juin 2026, Zscaler ThreatLabz publie une analyse technique approfondie d’une nouvelle famille de malware baptisée MLTBackdoor, identifiée pour la première fois en mai 2026. Ce malware est vraisemblablement utilisé par un acteur lié aux ransomwares pour établir un point d’ancrage et faciliter le mouvement latéral. 🎯 Vecteur d’infection L’infection débute par une chaîne ClickFix hébergée sur une page web à thème automobile. La victime est incitée à copier-coller et exécuter une commande qui : ...

📰 Source : BleepingComputer | Date : 10 juin 2026 GitHub a annoncé plusieurs changements de sécurité majeurs prévus dans npm v12, attendu le mois prochain, visant à bloquer les vecteurs d’attaque exploitant la commande npm install. 🔒 Changements introduits dans npm v12 Scripts de cycle de vie (preinstall, install, postinstall) : ne s’exécuteront plus automatiquement depuis les dépendances sans approbation explicite. Cela inclut les builds de modules natifs via node-gyp et les scripts prepare depuis des dépendances Git, locales ou liées. Dépendances Git : npm install ne récupérera plus automatiquement des dépendances depuis des dépôts Git (directes ou transitives), supprimant un vecteur où un fichier .npmrc malveillant pouvait altérer l’exécutable Git utilisé. Dépendances URL distantes (tarballs HTTPS) : ne seront plus résolues automatiquement sans permission explicite, qu’elles soient directes ou transitives. 🎯 Attaques historiques concernées Ces changements auraient neutralisé plusieurs campagnes documentées : ...

📅 Source : BleepingComputer — Date : 9 juin 2026 Microsoft a publié son Patch Tuesday de juin 2026, corrigeant 200 vulnérabilités dont 6 zero-days sur l’ensemble de son écosystème logiciel. Ce bulletin massif couvre des dizaines de composants Windows, des produits cloud Azure, des applications Office, Exchange Server, Visual Studio Code et bien d’autres. 🔴 Vulnérabilités critiques notables CVE-2026-45648 — Windows Active Directory Domain Services Remote Code Execution (Critical) CVE-2026-45476 — Microsoft Azure Network Adapter (Linux MANA Driver) Elevation of Privilege (Critical) CVE-2026-33828 — Windows Device Health Attestation Elevation of Privilege (Critical) CVE-2026-32193 — Azure Kubernetes Service Remote Code Execution (Critical) CVE-2026-45463 / CVE-2026-45474 / CVE-2026-45472 / CVE-2026-45458 / CVE-2026-47635 / CVE-2026-45456 / CVE-2026-45461 — Microsoft Office Remote Code Execution multiples (Critical) CVE-2026-42985 / CVE-2026-47289 / CVE-2026-47654 / CVE-2026-42992 / CVE-2026-44801 / CVE-2026-44799 / CVE-2026-48563 — Remote Desktop Client Remote Code Execution multiples (Critical) CVE-2026-47288 — Windows Kerberos KDC Remote Code Execution (Critical) CVE-2026-47291 — HTTP.sys Remote Code Execution (Critical) CVE-2026-45641 / CVE-2026-47652 / CVE-2026-45607 — Windows Hyper-V Remote Code Execution (Critical) CVE-2026-44812 / CVE-2026-44803 — Windows Graphics Component Remote Code Execution (Critical) CVE-2026-44815 — DHCP Client Service Remote Code Execution (Critical) CVE-2026-42987 — Windows Deployment Services Remote Code Execution (Critical) CVE-2026-44810 — Microsoft Cryptographic Services Elevation of Privilege (Critical) CVE-2026-45657 — Windows Kernel Remote Code Execution (Critical) CVE-2026-48574 — Windows Media Remote Code Execution (Critical) CVE-2025-10263 — ARM kernel vulnerability (Critical) CVE-2026-26142 — Nuance PowerScribe Remote Code Execution (Critical) 🟠 Composants les plus impactés Microsoft Office : ~15 CVE dont plusieurs RCE critiques (Outlook, Word, Excel, SharePoint) Remote Desktop Client : 11 CVE dont 7 critiques RCE Windows DWM Core Library : 11 CVE (EoP, Info Disclosure) Microsoft SharePoint : ~20 CVE (Spoofing, RCE) Windows Ancillary Function Driver for WinSock : 7 CVE EoP Windows Secure Boot : 8 CVE Security Feature Bypass Windows Push Notifications : 8 CVE (EoP, Info Disclosure) Azure Stack Edge : 2 CVE (RCE, Spoofing) Visual Studio Code : 6 CVE (EoP, Info Disclosure, Tampering, SFB) Exchange Server : 7 CVE (Spoofing, Info Disclosure, EoP, RCE) 📋 Types de vulnérabilités Remote Code Execution (RCE) : majoritaire, nombreuses failles critiques Elevation of Privilege (EoP) : très répandu sur les composants Windows Security Feature Bypass : BitLocker, Secure Boot, UEFI, MOTW Spoofing : Exchange, SharePoint, Bing, NTLM Information Disclosure : Office, RDP, Push Notifications Denial of Service : HTTP.sys, ASP.NET Core, Kerberos 📌 Type d’article : Patch de sécurité — bulletin mensuel Microsoft. But principal : documenter l’ensemble des correctifs publiés lors du Patch Tuesday de juin 2026 pour permettre aux équipes de sécurité de prioriser les mises à jour. ...

🔍 Contexte Publié le 9 juin 2026 par PRODAFT (Threat Intelligence), ce rapport TLP:CLEAR présente une analyse approfondie de l’opération Phantom Mantis, un groupe cybercriminel à motivation financière actif depuis mars 2025. 🧑‍💻 Acteur de la menace Le groupe a évolué sous plusieurs identités : ArmCorp (mars 2025 – juillet 2025) : affilié à d’autres groupes RaaS The Gentlemen (depuis juillet 2025) : programme de partenariat indépendant, ne dépendant plus d’autres opérateurs RaaS L’acteur principal, suivi sous le nom LARVA-368 par PRODAFT, utilise les pseudonymes hastalamuerte, ArmCorp, zeta88, nobody0 et santamuerte. Il est évalué avec haute confiance comme le fondateur et administrateur du groupe. ...

🗓️ Contexte Source : BleepingComputer, publié le 10 juin 2026. L’article rapporte des attaques en cours ciblant des serveurs Oracle PeopleSoft (cloud et on-premises), revendiquées par le groupe d’extorsion ShinyHunters. 🎯 Nature de l’attaque ShinyHunters affirme avoir compromis 300 instances réparties sur plus de 100 organisations, en utilisant une “gadget chain” combinant des vulnérabilités connues et des zero-days. Le groupe précise que l’exploitation n’est pas systématique et dépend de la configuration des instances ciblées. ...