Posts

🌐 Contexte Publié le 21 avril 2026 par Marcus Hutchins sur le blog d’Expel, cet article présente les résultats d’une investigation approfondie sur un groupe APT nord-coréen (DPRK) nouvellement nommé Expel-TA-0001 / HexagonalRodent, actif depuis au moins octobre 2025 et évalué avec haute confiance comme étant un sous-groupe de Famous Chollima (CrowdStrike). 🎯 Ciblage et modus operandi HexagonalRodent cible principalement les développeurs Web3 dans le but de voler des cryptomonnaies et des NFTs. La chaîne d’infection repose sur : ...

🔍 Contexte Publié le 22 avril 2026 par Team Cymru, ce rapport fait suite à une divulgation du chercheur en sécurité crypto ZachXBT, qui a identifié le domaine luckyguys[.]site comme lié à des paiements associés à des faux travailleurs IT nord-coréens (DPRK). L’analyse porte sur 30 jours d’activité réseau autour de cette infrastructure. 🌐 Infrastructure identifiée Le domaine luckyguys[.]site résolvait vers l’IP 163.245.219[.]19 au moment de l’analyse Une seconde IP, 216.158.225[.]144, a été découverte via l’analyse de certificats X509 portant le même nom de domaine Les deux IPs ont montré une chute brutale de trafic après le 8 avril, date de l’exposition publique par ZachXBT, cohérente avec l’abandon rapide d’infrastructure post-attribution 🔒 Patterns VPN observés Les connexions VPN vers l’IP identifiée se répartissent ainsi : ...

📰 Source : SuspectFile — Date : 22 avril 2026 — Interview directe accordée par le groupe DragonForce à la plateforme d’investigation SuspectFile. 🎯 Présentation du groupe DragonForce se décrit comme un écosystème RaaS (Ransomware-as-a-Service) basé sur un modèle de partenariat ouvert. Le groupe se positionne comme un régulateur chargé de faire respecter des règles internes, tandis que les affiliés (« partenaires ») conduisent les attaques de manière autonome. Cette structure décentralisée complexifie l’attribution technique. ...

🔍 Contexte Publié le 21 avril 2026 par Cisco Talos Intelligence, cet article de recherche documente des techniques Living-Off-The-Land (LOTL) natives à macOS, comblant un manque documentaire significatif par rapport aux équivalents Windows. Il s’adresse aux défenseurs et chercheurs en sécurité opérant dans des environnements macOS d’entreprise. 🎯 Surface d’attaque ciblée macOS représente désormais plus de 45 % des postes en entreprise, notamment chez les développeurs, ingénieurs DevOps et administrateurs systèmes. Ces machines constituent des points de pivot critiques vers des dépôts de code source, des credentials cloud et des clés SSH de production. ...

🌐 Contexte Source : South China Morning Post, publié le 20 avril 2026. Cet article rapporte une démarche diplomatique et commerciale officielle de la Chine en réponse à un projet de règlement cybersécurité de l’Union européenne annoncé en janvier 2026. 📄 Contenu de la démarche chinoise Le ministère du Commerce chinois a soumis un document de 30 pages à la Commission européenne en réponse à une consultation publique sur le projet de loi. Dans ce document, Pékin avertit explicitement que des mesures de rétorsion réciproques seront prises si l’UE : ...

🔍 Contexte Publié en avril 2026 sur morganrobertson.net, cet article de recherche en sécurité documente une investigation menée entre mars et mai 2025 sur les instances Perforce Helix Core (P4) accessibles publiquement sur Internet. Le chercheur a identifié 6 121 instances contactables présentant des failles critiques liées aux configurations par défaut non sécurisées. 📊 Statistiques d’exposition 72% des serveurs autorisent un accès en lecture aux fichiers internes 21% (1 334 serveurs) permettent un accès en lecture/écriture 4% (223 serveurs) disposent de comptes « super » non sécurisés permettant une compromission complète via injection de commandes (RCE) 32% des serveurs sous licence (268/829) présentent une configuration non sécurisée 🛠️ Misconfigurations identifiées Création automatique de comptes utilisateurs (dm.user.noautocreate non configuré) Listage d’utilisateurs non authentifié — permet l’énumération et le brute-force Comptes sans mot de passe — accès direct en usurpant l’identité d’un utilisateur Auto-définition du mot de passe initial — permet à un attaquant de s’approprier un compte inactif Synchronisation non authentifiée via Remote Depot — l’utilisateur caché remote (activé par défaut jusqu’à la version 2025.1) permet la lecture de tous les fichiers sans authentification si le niveau de sécurité est ≤ 3 💥 Impact et vecteurs d’attaque Exfiltration de code source : dépôts de jeux AAA, logiciels médicaux, bancaires, gouvernementaux, automobiles RCE via triggers P4 : un compte super sans mot de passe permet d’injecter des scripts exécutés côté serveur Mouvement latéral : présence de certificats PEM, clés privées, fichiers .env, configurations Okta/SAML dans des dépôts exposés Attaques supply chain : un seul serveur vendeur exposait le code source de dizaines de clients en aval 🏭 Secteurs impactés Jeux vidéo (AAA, indie), santé/dispositifs médicaux, services financiers (core banking, PoS), gouvernement/défense, automobile (ECU, schémas électriques), éducation, industrie/ICS, Web3/crypto, aérospatiale, VFX/animation. ...

📰 Source : BleepingComputer, article de Sergiu Gatlan, publié le 22 avril 2026. Contexte Microsoft a corrigé la vulnérabilité CVE-2026-32201 dans le cadre du Patch Tuesday d’avril 2026 (14 avril 2026), qui adressait au total 167 vulnérabilités dont deux zero-days. Cette faille affecte les versions on-premises de SharePoint : SharePoint Enterprise Server 2016, SharePoint Server 2019 et SharePoint Server Subscription Edition. Nature de la vulnérabilité Type : Spoofing réseau par validation d’entrée incorrecte (improper input validation) Complexité : Faible, sans interaction utilisateur requise, sans privilèges nécessaires Impact : Confidentialité : lecture de certaines informations sensibles Intégrité : modification des informations divulguées Disponibilité : non affectée Statut : Exploitée en zero-day avant la publication du patch ; exploitation active toujours en cours Exposition et état du patching Selon Shadowserver, au moment de la publication de l’article : ...

📰 Contexte Source : KrebsOnSecurity, publié le 21 avril 2026. L’article couvre le plaidoyer de culpabilité de Tyler Robert Buchanan, ressortissant britannique de 24 ans originaire de Dundee (Écosse), membre senior du groupe cybercriminel Scattered Spider. 👤 Profil de l’acteur Buchanan, connu sous le pseudonyme Tylerb, figurait à la 65e place d’un classement Telegram de SIM-swappers. Il est actuellement en détention fédérale américaine depuis avril 2025, après avoir été arrêté par les autorités espagnoles en juin 2024 alors qu’il tentait de prendre un vol vers l’Italie, puis extradé vers les États-Unis. ...

🗓️ Contexte Article publié le 16 avril 2026 par Omroep Gelderland (source néerlandaise), relatant une enquête journalistique sur les vulnérabilités de sécurité physique et opérationnelle au sein de la marine néerlandaise. 🔍 Faits établis Un journaliste d’Omroep Gelderland a réussi à suivre en temps réel la position de la frégate Zr.Ms. Evertsen — un navire de guerre de 500 millions d’euros en mission active de protection d’un porte-avions français — en utilisant : ...

🔍 Contexte Publié le 21 avril 2026 par FalconFeeds.io, cet article constitue une analyse de menace détaillée du collectif hacktivist Dark Storm Team, actif depuis le 27 août 2023, dans le cadre du conflit cyber Iran–Israël et de la menace pesant sur les infrastructures critiques du Moyen-Orient. 🎭 Profil de l’acteur Dark Storm Team est un collectif hacktivist pro-palestinien, décentralisé, sans attribution étatique confirmée. Il opère principalement via un canal Telegram (t.me/Dark_StormTeam) comptant 617 abonnés. Le groupe a maintenu un rythme opérationnel soutenu sur 20 mois, ciblant 60 pays et 74 secteurs industriels. Aucune couverture par les grands fournisseurs commerciaux de threat intelligence n’a été identifiée à la date de publication. ...