Posts

🔍 Contexte Publié le 28 mai 2026 par Yair Balilti (Token Security Research Team), cet article détaille une chaîne d’attaque en 5 étapes baptisée Zapocalypse, découverte sur la plateforme d’automatisation Zapier. La recherche a débuté le 10 février 2026 et a été divulguée le 12 février 2026 via HackerOne. Zapier a confirmé la remédiation complète le 5 mars 2026. 🧱 Chaîne d’exploitation Étape 1 — Évasion du sandbox Python : La fonctionnalité “Code by Zapier” exécute du Python arbitraire dans une Lambda AWS (python3.11, us-east-1). L’appel os.system('env') révèle l’environnement Lambda. Le code utilisateur est injecté via exec() dans le même processus que celui ayant détenu les credentials AWS. ...

🗓️ Contexte Source : Tagesschau / SWR, publié le 22 mai 2026. L’article rapporte une violation de données touchant la plateforme Portraitbox, un service en ligne utilisé par des photographes professionnels en Rhénanie-Palatinat (Allemagne) pour permettre aux parents de consulter et commander des photos scolaires et de crèches. 🎯 Nature de l’incident Des cybercriminels ont compromis la plateforme Portraitbox et ont exfiltré les données suivantes : Photos d’enfants (issues de contextes scolaires et de crèches) Adresses e-mail des familles Adresses de livraison Mots de passe 💰 Extorsion Selon l’autorité de protection des données (Datenschutzbehörde), les attaquants tentent d’extorquer de l’argent à l’entreprise en menaçant de publier les photos d’enfants sur le darknet. À la date de publication, aucune photo n’avait encore été diffusée sur le darknet. ...

🔍 Contexte Source : DarkAtlas (https://darkatlas.io/blog/behind-payload-in-depth-technical-analysis-of-payload-ransomware), publiée le 25 mai 2026. Il s’agit d’une analyse technique approfondie du ransomware Payload, un groupe apparu publiquement en février 2026 avec une empreinte mondiale de victimes. 🌍 Victimologie Au 24 mars 2026, le groupe avait revendiqué 50 victimes sur son site de fuite. Les pays impactés incluent : Égypte Mexique Pologne Autres régions non précisées ⚙️ Mécanisme de chiffrement Le ransomware utilise une combinaison cryptographique robuste : ...

🎯 Contexte Source : BleepingComputer, publié le 27 mai 2026. Microsoft a découvert et analysé une campagne de cryptojacking active ciblant spécifiquement les systèmes équipés de GPU haute performance, diffusée via une opération coordonnée de SEO poisoning et de manipulation de recommandations de chatbots IA. 🔗 Vecteur d’infection initial Les victimes sont attirées vers des pages de téléchargement malveillantes imitant des utilitaires légitimes populaires : CrystalDiskInfo HWMonitor Display Driver Uninstaller FurMark K-Lite Codec Pack PDFgear Les liens malveillants sont boostés dans les résultats de recherche via SEO poisoning. En avril, des cas ont également été signalés où des chatbots IA (dont ChatGPT) ont redirigé des utilisateurs vers des domaines contrôlés par les attaquants dans leurs réponses générées. ...

🔍 Contexte Publié le 26 mai 2026 par Microsoft Defender Experts et Microsoft Defender Security Research Team, ce rapport détaille une campagne active de cryptojacking sophistiquée identifiée depuis mars 2026, combinant SEO poisoning, abus de chatbots IA, et accès distant persistant via ScreenConnect. 🎯 Ciblage et vecteur initial La campagne cible délibérément les utilisateurs possédant des GPU haute performance, en usurpant des utilitaires populaires : CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack et PDFgear. ...

🗓️ Contexte Source : TechCrunch, publié le 27 mai 2026. CrowdStrike, en collaboration avec Google et l’organisation à but non lucratif Shadowserver, a annoncé le démantèlement d’un botnet baptisé Glassworm, utilisé par des cybercriminels pour distribuer des malwares et voler des identifiants auprès de développeurs de logiciels open source. 🎯 Acteurs et cibles Le groupe derrière Glassworm opère depuis deux ans et cible spécifiquement les développeurs open source ainsi que la chaîne d’approvisionnement logicielle. L’objectif est de compromettre des postes de travail de développeurs pour propager des logiciels malveillants vers des milliers d’organisations en aval. ...

🔍 Contexte Le 25 mai 2026, BleepingComputer relaie une alerte du FBI concernant la plateforme Kali365, un service de phishing-as-a-service (PhaaS) apparu en avril 2026 et distribué via Telegram. Cette alerte s’appuie également sur des recherches publiées par Arctic Wolf. ⚙️ Mécanisme d’attaque Kali365 exploite le flux OAuth 2.0 Device Authorization Grant de Microsoft, conçu à l’origine pour les appareils à capacités d’entrée limitées (TV connectées, imprimantes, IoT). Le processus d’attaque se déroule ainsi : ...

🕵️ Contexte Source : Picus Security (blog), publié le 23 mai 2026. L’article présente une analyse technique de la chaîne d’attaque, des outils et des tactiques du groupe ransomware NightSpire, identifié pour la première fois début 2025. 🎯 Campagne et victimologie NightSpire a frappé au moins 64 organisations dans 33 pays entre mars et juin 2025. Les États-Unis arrivent en tête des victimes, suivis par la Turquie, Hong Kong, le Japon, Taïwan, le Mexique, l’Espagne et l’Égypte. ...

🗓️ Contexte Article publié le 25 mai 2026 sur KrebsOnSecurity, relatant une opération judiciaire néerlandaise menée le 18 mai 2026 contre deux hébergeurs liés à l’infrastructure cyber russe. 🚔 Opération judiciaire Le 18 mai 2026, l’agence néerlandaise de lutte contre la criminalité financière FIOD a arrêté deux individus : Andrey Nesterenko, 39 ans, ressortissant russe, fondateur de MIRhosting, basé aux Pays-Bas Youssef Zinad, 57 ans, d’Amsterdam, co-dirigeant de WorkTitans BV Les deux suspects sont inculpés de violation de la législation sur les sanctions pour avoir mis des ressources économiques à disposition d’entités sanctionnées par l’UE. ...

📌 Contexte Source : CERT.at — Publication du 27 mai 2026. Le CERT autrichien publie une alerte concernant une collaboration observée entre la campagne de phishing ZipLine et le groupe Qilin, opérant sous un modèle Ransomware-as-a-Service (RaaS). 🔗 Chaîne d’attaque Le CERT.at indique que Qilin acquiert des accès initiaux (Initial Access) auprès des opérateurs de la campagne ZipLine, puis les réutilise pour ses propres opérations de chiffrement et d’extorsion. Des cas confirmés ont été recensés en Autriche, et un incident en Suisse a également identifié la chaîne ZipLine comme cause racine. ...