Posts

Source : Google Cloud Blog (Google Threat Intelligence Group), 3 mars 2026. GTIG documente “Coruna”, un kit d’exploits iOS d’un haut niveau technique, comprenant 5 chaînes complètes et 23 exploits couvrant iOS 13.0 à 17.2.1. Observé en 2025, il a d’abord été employé par un client d’un vendeur de surveillance, puis par UNC6353 (groupe d’espionnage présumé russe) dans des attaques par watering hole visant des utilisateurs ukrainiens, avant d’être récupéré et déployé massivement par UNC6691 (acteur financier basé en Chine) via de faux sites crypto. Le kit n’est pas efficace contre la dernière version d’iOS, et GTIG a ajouté les domaines malveillants à Safe Browsing. ...

Selon watchTowr Labs (labs.watchtowr.com), une vulnérabilité critique CVE-2026-21902 affecte Juniper Junos OS Evolved sur les routeurs PTX et permet une exécution de code à distance non authentifiée avec les privilèges root via le framework On-Box Anomaly Detection. Vulnérabilité: « Incorrect Permission Assignment for Critical Resource » dans le framework On-Box Anomaly Detection (service REST interne) qui se retrouve exposé sur le réseau et actif par défaut, offrant une RCE pré-auth en root. Score annoncé: 9.8. ...

Selon barrack.ai (mise à jour 4 mars 2026), qui synthétise des enquêtes d’Amazon Threat Intelligence (20 fév. 2026), Team Cymru (~2 mars 2026) et le blog indépendant Cyber and Ramen (21 fév. 2026), une campagne active a compromis 600+ équipements FortiGate dans 55+ pays en cinq semaines. L’opérateur, décrit par Amazon comme russe‑parlant, motivé financièrement et de compétence faible à moyenne mais amplifiée par l’IA, a utilisé des services LLM commerciaux et une infrastructure personnalisée. Chaque affirmation est attribuée à sa source: Amazon pour l’incident et la chaîne post‑exploitation, Cyber and Ramen pour l’infrastructure exposée, Team Cymru pour le lien technique avec CyberStrikeAI et l’adoption globale. ...

Selon un communiqué de presse d’Europol (4 mars 2026), une opération internationale coordonnée par l’EC3 a démantelé « Tycoon 2FA », une plateforme de phishing-as-a-service utilisée pour contourner l’authentification multifacteur (MFA) et compromettre des comptes à grande échelle. • Ce service par abonnement fournissait un outillage conçu pour intercepter des sessions d’authentification en direct et obtenir un accès non autorisé à des comptes en ligne, y compris ceux protégés par des couches de sécurité additionnelles. Actif depuis au moins août 2023, il a permis à des milliers de cybercriminels de viser des comptes email et services cloud, touchant près de 100 000 organisations (dont des écoles, hôpitaux et institutions publiques). ✉️🔓 ...

Selon une dépêche publiée le 5 mars 2026, un Australien de 39 ans anciennement employé chez L3Harris a été condamné à un peu plus de sept ans d’emprisonnement pour la vente de huit exploits zero-day à Operation Zero, un courtier russe d’exploits, en échange de millions de dollars. ⚖️ Condamnation d’un ex-employé de L3Harris pour vente de zero-days à un courtier russe Contexte Un ancien employé du contractant de défense américain L3Harris, Peter Williams, a été condamné à plus de 7 ans de prison pour avoir vendu des exploits zero-day à un courtier russe spécialisé dans la revente de vulnérabilités. ...

Selon Malwarebytes (blog Threat Intel), une campagne de phishing de remboursement usurpe l’identité visuelle d’Avast pour pousser des utilisateurs francophones à divulguer leurs coordonnées complètes et leurs données de carte bancaire sous prétexte d’un remboursement de 499,99 €. — Le site frauduleux reproduit fidèlement l’interface d’Avast (logo servi depuis le CDN officiel) et affiche un débit du jour en insérant dynamiquement la date locale, tout en fixant le montant à -€499,99. Un bandeau d’alerte contradictoire (« 72h » vs « 48h ») crée un sentiment d’urgence, et un formulaire collecte identité, coordonnées et adresse avant d’exiger le numéro de carte, date d’expiration et CVV pour soi‑disant créditer le remboursement. ...

Selon The Cyber Express, des enquêteurs indiquent que la fermeture de LeakBase met en évidence une réalité plus large de la cybercriminalité. Démantèlement de LeakBase : opération internationale contre un marché de données volées Contexte Une opération internationale coordonnée par Europol a permis de démanteler LeakBase, un important forum cybercriminel utilisé pour vendre et échanger des données volées. La plateforme comptait : plus de 142 000 utilisateurs enregistrés des milliers d’annonces proposant des bases de données compromises et identifiants volés Les actions judiciaires ont été menées entre le 3 et le 4 mars 2026 contre : ...

Selon BleepingComputer, des clients de restaurants dont l’encaissement repose sur la plateforme de point de vente (POS) HungerRush disent avoir reçu des e‑mails d’un acteur malveillant tentant d’extorquer l’entreprise. ⚠️ Le ou les expéditeurs menacent d’exposer des données si HungerRush ne répond pas. Les messages évoquent la possible divulgation de données de restaurants et de clients. Éléments clés: Type d’attaque: tentative d’extorsion par e‑mail avec menace de divulgation de données (data leak extortion) Impact potentiel: exposition de données concernant des restaurants et leurs clients 🍽️💾 Produits/secteurs concernés: plateforme POS HungerRush et l’écosystème de restauration IOCs (Indicateurs de compromission): ...

Selon le blog officiel de LastPass (05/03/2026), l’équipe Threat Intelligence, Mitigation, and Escalation (TIME) alerte ses clients d’une campagne de phishing active débutée autour du 1er mars 2026, sans impact sur les systèmes LastPass. 🎣 Le cœur de l’attaque repose sur des fils d’e-mails factices qui simulent des échanges internes sur des actions non autorisées (export de coffre, récupération de compte, enregistrement de nouvel appareil, etc.). Les attaquants utilisent la spoofing du display name pour faire apparaître “LastPass” comme expéditeur, en pariant sur le fait que de nombreux clients mail (notamment mobiles) n’affichent que le nom et masquent l’adresse réelle. ...

Selon BleepingComputer, LexisNexis Legal & Professional a confirmé qu’un tiers non autorisé a accédé à un nombre limité de serveurs, après la mise en ligne par l’acteur FulcrumSec d’une archive de 2 Go présentée comme issue de l’entreprise. Type d’événement : violation de données et intrusion confirmées par LexisNexis L&P. L’entreprise indique que les informations dérobées seraient anciennes et majoritairement non critiques, incluant « certaines données clients et d’entreprise ». ...