Posts

🗓️ Contexte Source : BleepingComputer, publié le 14 mai 2026. L’article rapporte une tentative d’extorsion par le groupe cybercriminel TeamPCP à l’encontre de Mistral AI, société française spécialisée dans les grands modèles de langage (LLM). 🎯 Incident L’attaque s’inscrit dans le cadre de l’opération Mini Shai-Hulud, une attaque de la chaîne d’approvisionnement logicielle qui a débuté par la compromission de packages officiels de TanStack et Mistral AI via des identifiants CI/CD volés et des workflows légitimes détournés. ...

🔍 Contexte Le 14 mai 2026, KELA Cyber Intelligence Center publie une analyse approfondie d’une fuite de données internes concernant The Gentlemen, une opération RaaS (Ransomware-as-a-Service) active depuis septembre 2025. La fuite, initialement postée le 4 mai 2026 sur Exploit.in par l’utilisateur XxHDSandwichxX, couvre des communications internes du 7 novembre 2025 au 30 avril 2026. 📊 Ampleur et positionnement Entre janvier et mai 2026, KELA a recensé 3 349 victimes de ransomware revendiquées publiquement (+14,5% vs 2025). The Gentlemen revendique 328 victimes sur cette période, soit 10% des attaques mondiales, se positionnant en 2e place mondiale derrière Qilin (17%). ...

🔍 Contexte L’équipe de recherche de Socket a publié le 19 mai 2026 une analyse technique détaillée d’une attaque de chaîne d’approvisionnement ciblant l’écosystème Go. Le module malveillant github.com/shopsprint/decimal imite la bibliothèque légitime github.com/shopspring/decimal (38 634 importateurs connus), en ne différant que d’un seul caractère dans le nom du vendeur (shopsprint vs shopspring). 🗓️ Chronologie de l’attaque Le module typosquat a été publié pour la première fois le 2017-11-08, avec sept versions non malveillantes servant de miroir fidèle de la bibliothèque légitime. Le 2023-08-19, deux versions ont été publiées à sept minutes d’intervalle : ...

🔍 Contexte Source : Google Threat Intelligence Group (GTIG), publié le 15 mai 2026 sur le blog officiel Google Cloud. L’article présente une analyse détaillée d’une campagne d’extorsion active attribuée à UNC6671, un acteur opérant sous la marque BlackFile. 🎯 Acteur et ciblage UNC6671 est actif depuis début 2026 et a ciblé des dizaines d’organisations en Amérique du Nord, Australie et Royaume-Uni. Le GTIG le distingue formellement de ShinyHunters (UNC6240), bien qu’UNC6671 ait usurpé la marque ShinyHunters dans au moins un cas pour renforcer la crédibilité de ses menaces. ...

🏦 Contexte Source : SecurityWeek, publié le 15 mai 2026. American Lending Center (ALC) est un prêteur non bancaire basé en Californie, gérant un portefeuille de 3 milliards de dollars spécialisé dans les prêts aux petites entreprises garantis par le gouvernement américain. 🔓 Incident ALC a détecté une attaque par ransomware en juillet 2025. Une investigation forensique a établi que le threat actor a : Compromis le réseau interne de l’organisation Exécuté une attaque ransomware Accédé à des fichiers contenant des informations personnelles sensibles 📋 Données exposées Les informations potentiellement volées incluent : ...

📰 Source : BleepingComputer — Date de publication : 17 mai 2026 Un chercheur en sécurité connu sous les pseudonymes Chaotic Eclipse ou Nightmare Eclipse a publié un exploit proof-of-concept (PoC) pour une vulnérabilité zero-day Windows baptisée MiniPlasma, permettant une escalade de privilèges jusqu’au niveau SYSTEM sur des systèmes Windows 11 entièrement à jour (incluant les mises à jour Patch Tuesday de mai 2026). 🔍 Détails techniques La faille affecte le driver cldflt.sys (Cloud Filter driver) et plus précisément la routine HsmOsBlockPlaceholderAccess. Elle permet la création de clés de registre arbitraires dans la ruche .DEFAULT sans vérification d’accès appropriée, via une API non documentée CfAbortHydration. Cette vulnérabilité avait été initialement découverte et signalée à Microsoft en septembre 2020 par James Forshaw (Google Project Zero), assignée sous l’identifiant CVE-2020-17103 et supposément corrigée en décembre 2020. Le chercheur affirme que le correctif n’a jamais été réellement appliqué ou a été silencieusement révoqué. ...

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-05-10 → 2026-05-17. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2026-31431 CVSS: 7.8 EPSS: 2.57% VLAI: High (confidence: 0.9769) CISA: KEV ProduitLinux — Linux Publié2026-04-22T08:15:10.123Z In the Linux kernel, the following vulnerability has been resolved: crypto: algif_aead - Revert to operating out-of-place This mostly reverts commit 72548b093ee3 except for the copying of the associated data. There is no benefit in operating in-place in algif_aead since the source and destination come from different mappings. Get rid of all the complexity added for in-place operation and just copy the AD directly. ...

🔍 Contexte Publié le 5 mai 2026 par Trend Micro (Numaan Huq et Andre Alves), ce rapport de recherche présente les résultats d’une analyse systématique des serveurs DICOM (Digital Imaging and Communications in Medicine) exposés sur Internet, réalisée entre novembre et décembre 2025 via l’outil de scan Shodan.io. 📊 Périmètre de l’exposition L’analyse a identifié 3 627 serveurs DICOM validés (3 542 adresses IP uniques) accessibles depuis l’internet public, répartis dans plus de 100 pays : ...

📰 Source : 20 Minuten (20min.ch) — Article publié le 17 mai 2026, confirmant une information initialement rapportée par Le Temps. 🎯 Incident : Le vendredi 16 mai 2026, l’opérateur de télécommunications suisse Salt a été victime d’une attaque DDoS (Distributed Denial of Service) ciblant son infrastructure réseau fixe. L’attaque a provoqué une interruption totale des services fixes (Festnetz) à l’échelle nationale suisse. ⏱️ Durée et impact : Durée officielle de l’interruption : environ 40 minutes Pour certains clients, la durée a été plus longue en raison d’une remise en service progressive Le réseau mobile n’a pas été affecté Les services fixes sont restés indisponibles même après la fin de l’attaque 🔧 Réponse de Salt : Selon la porte-parole Ana Biljaka, les équipes techniques ont réagi immédiatement et mis en place des mesures défensives pour limiter l’impact et restaurer le service. L’entreprise indique investir en continu dans la résilience de son réseau. ...

🗓️ Contexte Analyse publiée le 12 mai 2026 par SecurityWeek, basée sur un rapport technique d’Aryaka Threat Research Labs. L’article décrit en détail la campagne malveillante CRPx0, ciblant les systèmes Windows et macOS, avec des capacités Linux en cours de développement. 🎣 Vecteur d’infection initial La campagne repose sur un leurre d’ingénierie sociale : l’offre d’un accès gratuit à OnlyFans. Les victimes téléchargent une archive OnlyfansAccounts.zip contenant : Un fichier raccourci LNK (Onlyfans Accounts.lnk) Un fichier texte apparent (Accounts.txt) affichant de faux identifiants (« 50 working Onlyfans account ») En arrière-plan, le malware s’installe, établit la persistance et contacte son C2 pour collecter des données d’environnement. Il vérifie périodiquement l’existence de mises à jour et s’auto-met à jour. ...