Posts

🕵️ Contexte Publié le 6 mai 2026 par l’équipe OpenSourceMalware, cet article documente une évolution tactique de la campagne Contagious Interview / TaskJacker attribuée au groupe nord-coréen Lazarus Group (DPRK). La source est un blog de threat intelligence communautaire spécialisé dans les menaces open source. 🔄 Évolution de la technique Les opérateurs ont abandonné leurs vecteurs habituels (.vscode/tasks.json, scripts postinstall dans package.json, faux fichiers .woff2) au profit de Git hooks malveillants placés dans .githooks/pre-commit. Le hook se déclenche automatiquement lorsque la victime tente de committer du code, soit exactement au moment où le faux recruteur lui demande de “corriger un bug et committer”. ...

🌐 Contexte Source : Rapid7 Blog, publié le 6 mai 2026. L’article présente une analyse forensique d’une intrusion détectée début 2026, initialement identifiée comme une attaque Chaos ransomware-as-a-service (RaaS), mais réévaluée comme une opération étatique sous faux drapeau. 🎭 Attribution et faux drapeau L’analyse forensique attribue l’activité avec confiance modérée à MuddyWater (Seedworm), un groupe APT iranien affilié au Ministry of Intelligence and Security (MOIS). Les artefacts techniques ayant conduit à cette attribution incluent : ...

🏛️ Contexte Publié le 1er mai 2026 par l’Office fédéral de la cybersécurité (OFCS) suisse sur son site officiel, ce document présente une évaluation institutionnelle de la situation concernant l’utilisation des systèmes d’intelligence artificielle (IA) dans le domaine de la cybersécurité, en réponse à une hausse des demandes d’information émanant de l’administration, du secteur économique et du grand public. 🤖 Rôle de l’IA dans les cybermenaces L’OFCS souligne que les modèles avancés d’IA jouent un rôle à double tranchant : ...

🗓️ Contexte Article publié le 6 mai 2026 par Cloudflare (blog.cloudflare.com), rédigé par Sebastiaan Neuteboom, Christian Elmerot et Max Worsley. Il s’agit d’un post-mortem technique détaillant la réponse de Cloudflare à une panne majeure du TLD .de causée par une misconfiguration DNSSEC chez l’opérateur de registre DENIC. ⚠️ Incident Le 5 mai 2026 à 19h30 UTC, DENIC a commencé à publier des signatures DNSSEC incorrectes pour la zone .de. Tout résolveur DNS validant recevant ces signatures était contraint, conformément à la spécification DNSSEC, de rejeter les réponses et de retourner SERVFAIL aux clients. Le résolveur public 1.1.1.1 de Cloudflare a été immédiatement affecté. ...

🔍 Contexte Publié le 7 mai 2026 par SentinelLABS (Alex Delamotte), cet article présente l’analyse technique complète de PCPJack, un framework de vol d’identifiants cloud découvert le 28 avril 2026 via une règle de chasse VirusTotal orientée Kubernetes. 🎯 Description de la menace PCPJack est un framework modulaire en Python conçu pour se propager en ver sur l’infrastructure cloud exposée. Sa première action distinctive est d’évincer et supprimer les artefacts associés au groupe TeamPCP (PCPCat), avant d’installer ses propres outils. L’acteur derrière PCPJack est potentiellement un ancien opérateur de TeamPCP ou quelqu’un de très familier avec leurs outils. ...

🗂️ Contexte Source : The Record (Recorded Future News), publié le 7 mai 2026. L’Agence de Sécurité Intérieure polonaise (ABW) a publié son premier rapport public d’activité depuis 2014, couvrant les menaces cyber et d’espionnage auxquelles la Pologne a fait face en 2024 et 2025. 🎯 Incidents ciblant les infrastructures d’eau Des attaquants ont compromis des stations de traitement d’eau dans cinq communes polonaises : Jabłonna Lacka Szczytno Małdyty Tolkmicko Sierakowo Dans certains cas, les attaquants ont obtenu un accès aux systèmes de contrôle industriel (ICS), leur permettant de modifier les paramètres techniques des équipements, créant un risque direct sur la continuité de l’approvisionnement en eau. Selon CyberDefence24, dans au moins un établissement, des paramètres liés aux pompes et aux alarmes ont été modifiés après compromission d’un compte administrateur. ...

🗞️ Contexte Article publié le 7 mai 2026 par The Guardian, dans le cadre d’une enquête exclusive menée par un consortium de six médias (Guardian, Der Spiegel, Le Monde, The Insider, Delfi, VSquare), basée sur plus de 2 000 documents internes de l’université Bauman de Moscou couvrant plusieurs années d’activité jusqu’en 2025. 🏫 Le programme secret : Département 4 Au sein de l’université Bauman Moscow State Technical University, un département confidentiel baptisé Département 4 (ou « Special Training ») forme discrètement des étudiants sélectionnés pour intégrer le GRU (Direction du renseignement militaire russe). Ce département est divisé en trois filières spécialisées, dont la principale porte le code 093400 intitulée « Special Reconnaissance Service ». ...

🌐 Contexte Publié le 6 mai 2026 par CBC News, cet article rapporte les conclusions d’un rapport intitulé National Unity Under Threat, produit par DisinfoWatch, le Canadian Digital Media Research Network et CASiLabs. Le rapport documente des opérations d’influence étrangères ciblant le débat sur la séparation de l’Alberta au Canada. 🎯 Acteurs et méthodes identifiés Trois catégories d’acteurs sont distinguées : Storm-1516 : réseau d’influence russe covert, associé à l’Internet Research Agency (IRA) basée à Saint-Pétersbourg. Il a créé le site fictif albertaseparatist.com ainsi que des comptes TikTok et YouTube associés, partageant une infrastructure commune avec des centaines d’autres faux sites étrangers documentés par Insikt Group. Acteurs pro-Trump américains : opèrent de manière ouverte et publique (influenceurs, officiels de l’administration Trump, secrétaire au Trésor Scott Bessent), amplifiant les narratifs séparatistes et le concept d’annexion comme « 51e État ». Créateurs de contenu néerlandais : producteurs de vidéos de « slopaganda » générées par IA, qualifiés d’« opportunistes économiques ». 📊 Éléments factuels clés Le site albertaseparatist.com a été actif jusqu’en mars 2026 avant d’être supprimé. L’agence pro-Kremlin Pravda News Network a publié 67 articles sur l’Alberta depuis décembre 2025, soit près de 5 fois plus que sur l’Ontario. Des influenceurs liés à Tenet Media — financée selon un acte d’accusation américain par le gouvernement russe — ont promu le séparatisme albertain. Insikt Group avait documenté le lien entre albertaseparatist.com et Storm-1516 dans un rapport à l’automne 2025. 🗓️ Projection Le rapport anticipe une intensification des campagnes de désinformation si un référendum sur l’indépendance est organisé le 19 octobre 2026, incluant de fausses allégations sur la vérification des votes et la fraude électorale. ...

🔍 Contexte Publié le 7 mai 2026 par Valter Santos (Principal Threat Researcher, Bitsight), cet article présente les résultats d’une investigation empirique menée sur 55 jours (19 janvier – 15 mars 2026) portant sur l’écosystème mondial des services de proxies résidentiels (RESIP). 📊 Échelle observée L’étude a ciblé 30 services de proxies parmi plus de 150, sélectionnés pour leur faible vérification KYC. Les chiffres clés : 989 686 388 événements d’énumération totaux 53 346 368 IPs uniques globales 36 842 328 IPs uniques sur les 30 derniers jours Pics journaliers : Netnut (2,3M nœuds), LunaProxy (1,85M), 711Proxy (1,65M), 922Proxy (1,64M), ThunderProxy (1,47M) 🦠 Taux d’infection et symbiose malware La corrélation entre les IPs de sortie des proxies et les datasets de systèmes compromis de Bitsight révèle : ...

📰 Source : U.S. Department of Justice (justice.gov) — Date : 4 mai 2026 Un ressortissant letton, Deniss Zolotarjovs, a été condamné à 102 mois de prison pour son rôle au sein d’un important groupe ransomware d’origine russe. La condamnation a été prononcée dans le cadre d’une procédure judiciaire fédérale américaine. 🎯 Victimes et impact : Plus de 54 entreprises ciblées et extorquées Une entité gouvernementale dont le système 911 a été mis hors ligne Utilisation de données de santé d’enfants volées comme levier d’extorsion pour augmenter la pression sur les victimes 🌐 Contexte opérationnel : Zolotarjovs aurait opéré depuis un pays sans traité d’extradition, en utilisant des outils d’anonymisation et des schémas complexes de cryptomonnaies pour dissimuler ses activités. Son arrestation et sa poursuite judiciaire illustrent la portée internationale des forces de l’ordre américaines. ...