Posts

🗓️ Contexte Source : HivePro Threat Advisory, publié le 25 mai 2026. Cet article documente l’escalade majeure de la campagne de supply chain du groupe TeamPCP (alias PCPcat, ShellForce, DeadCatx3, CipherForce, Persy_PCP, UNC6780) au cours du mois de mai 2026. 🎯 Acteur de menace TeamPCP est un groupe à motivation financière, actif depuis fin 2025, initialement documenté comme un crew d’exploitation cloud-native ciblant des APIs Docker et clusters Kubernetes exposés. En mars 2026, il a pivoté vers une campagne de supply chain en cascade ciblant Trivy, Checkmarx KICS, LiteLLM, Telnyx et des dizaines de packages npm. ...

🔍 Contexte Publié le 19 mai 2026 par Imran Azad sur le blog de HUMAN Security, cet article présente les conclusions de l’équipe Satori Threat Intelligence and Research Team concernant l’opération Trapdoor, une campagne de fraude publicitaire Android de grande envergure détectée et neutralisée par HUMAN. 🎯 Description de l’opération Trapdoor Trapdoor est un schéma Android multi-étapes qui fusionne malvertising (distribution) et fraude publicitaire (monétisation) en un système auto-entretenu : 455 applications Android malveillantes impliquées 183 domaines C2 contrôlés par les acteurs de la menace 659 millions de bid requests par jour au pic de l’activité 24 millions de téléchargements d’applications liées à l’opération ⚙️ Mécanisme en deux étapes Étape 1 – Distribution via malvertising : L’utilisateur télécharge une application utilitaire légitime en apparence (ex : lecteur PDF) depuis le Google Play Store. Après installation, l’app lance des campagnes de malvertising affichant une fausse alerte de mise à jour. Si l’utilisateur clique, une seconde application malveillante est installée. ...

📰 Source : Hackread.com — Date : 25 mai 2026 Un acteur malveillant opérant sous l’alias “Euphoric_Reply_5727” a mis en vente sur un forum cybercriminel connu une base de données présentée comme contenant 340 millions d’enregistrements liés à des utilisateurs OnlyFans (créateurs et abonnés). Le prix affiché est de 0,313 BTC (environ 24 007 USD au moment de la publication). 🔍 Nature de la base de données Contrairement aux affirmations initiales du listing évoquant des « bases de données internes OnlyFans », le vendeur a confirmé à Hackread.com via Telegram qu’aucune intrusion directe ni scraping de la plateforme n’a eu lieu. La base aurait été constituée par corrélation de données issues de fuites antérieures (Twitter, Instagram, Spotify) et de profils publics, afin d’identifier et lier des comptes OnlyFans réels. ...

📉 171 revendications cette semaine (-87, -33.7% par rapport à S20) Période : 18.05.2026 au 24.05.2026 Analyse Ransomware — Semaine 21 (18 au 24 mai 2026) Vue d’ensemble La semaine 21 enregistre 171 revendications d’attaques par rançongiciel, soit une baisse de 87 revendications par rapport à la semaine précédente (258 revendications), représentant un recul de 33,7 %. Cette diminution significative est toutefois à relativiser : la semaine S20 était marquée par une activité exceptionnellement élevée portée en grande partie par le groupe Stormous, qui avait revendiqué à lui seul 67 incidents. En l’absence de ce pic ponctuel, le volume de la semaine 21 s’inscrit dans une fourchette cohérente avec les tendances observées sur les semaines précédentes. ...

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-05-17 → 2026-05-24. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2026-42945 CVSS: 8.1 EPSS: 0.86% VLAI: Critical (confidence: 0.6420) ProduitF5 — NGINX Plus Publié2026-05-13T14:12:43.971Z NGINX Plus and NGINX Open Source have a vulnerability in the ngx_http_rewrite_module module. This vulnerability exists when the rewrite directive is followed by a rewrite, if, or set directive and an unnamed Perl-Compatible Regular Expression (PCRE) capture (for example, $1, $2) with a replacement string that includes a question mark (?). An unauthenticated attacker along with conditions beyond its control can exploit this vulnerability by sending crafted HTTP requests. This may cause a heap buffer overflow in the NGINX worker process leading to a restart. Additionally, attackers can execute code on systems with Address Space Layout Randomization (ASLR) disabled or when the attacker can bypass ASLR. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated. ...

🗓️ Contexte Source : HaveIBeenPwned (https://haveibeenpwned.com/Breach/7-Eleven), publié le 24 mai 2026. L’incident concerne une violation de données survenue en avril 2026 chez 7-Eleven, enseigne internationale de commerce de détail. 🎯 Nature de l’attaque Le groupe cybercriminel ShinyHunters a conduit une campagne d’extorsion de type « pay or leak » (payer ou les données seront publiées). Face au refus ou à l’absence de paiement, les données ont été publiées dans le courant du mois d’avril 2026. ...

🏥 Contexte Publié le 21 mai 2026 par Tagesschau (SWR), cet article rapporte une violation de données massique touchant des établissements hospitaliers universitaires du Land de Bade-Wurtemberg, en Allemagne. L’information a été communiquée officiellement par les Unikliniken Freiburg et Ulm le même jour. 🎯 Nature de l’incident Des cybercriminels ont compromis un prestataire de services externe commun à plusieurs cliniques universitaires. Cette attaque de type supply chain / tiers de confiance a permis l’exfiltration de données sensibles sans que les systèmes internes des hôpitaux soient directement ciblés. ...

🔍 Contexte Source : BleepingComputer — Article publié le 22 mai 2026. Les autorités américaines et canadiennes ont conjointement procédé à l’arrestation et à l’inculpation d’un homme de nationalité canadienne, suspecté d’avoir administré le botnet KimWolf. 🎯 Nature de la menace Le botnet KimWolf est un réseau de type DDoS (Distributed Denial-of-Service) ayant infecté près de deux millions d’appareils à travers le monde. Les tags associés à l’article mentionnent une composante IoT, suggérant que les dispositifs compromis incluaient des équipements connectés. ...

🔍 Contexte Source : BleepingComputer, publié le 23 mai 2026. Des firmes de sécurité StepSecurity, Aikido Security et Socket ont alerté simultanément d’une attaque de type supply chain ciblant les packages de localisation Laravel Lang, distribués via le gestionnaire de dépendances PHP Composer. ⚙️ Mécanisme d’attaque Les attaquants n’ont pas modifié le code source des projets, mais ont réécrit les tags Git existants dans quatre dépôts pour les faire pointer vers des commits malveillants hébergés dans un fork contrôlé par l’attaquant. Cette technique exploite une fonctionnalité GitHub permettant aux tags de référencer des commits dans des forks. ...

🗓️ Contexte Publié le 24 mai 2026 sur BleepingComputer, cet article s’appuie sur les recherches de XLab, équipe de threat intelligence de la société chinoise Qianxin, ainsi que sur des travaux antérieurs de SentinelOne (publiés le 27 février 2026). 🎯 Vulnérabilité exploitée CVE-2026-26980 est une injection SQL critique affectant Ghost CMS versions 3.24.0 à 6.19.0. Elle permet à des attaquants non authentifiés de lire des données arbitraires depuis la base de données, notamment les clés API admin. Un correctif a été publié le 19 février 2026 dans la version Ghost CMS 6.19.1, mais de nombreux sites n’ont pas appliqué la mise à jour. ...