Posts

🎯 Contexte Publié le 18 juin 2026 par Cato CTRL (Vitaly Simonovich), cet article constitue un profil de threat actor consacré à ShinyHunters, groupe cybercriminel actif depuis 2020. Il couvre six années d’activité, les fusions avec d’autres groupes, et l’évolution tactique observée en 2025-2026. 🏗️ Résilience organisationnelle ShinyHunters a survécu à des perturbations majeures : Saisie de RaidForums Deux saisies de BreachForums Extradition et condamnation du fondateur Sébastien Raoult Arrestations de plusieurs administrateurs en France en 2025 Le groupe réapparaît systématiquement en quelques jours ou semaines. Sa résilience est organisationnelle plutôt que technique : ShinyHunters est devenu une identité réutilisable résistant aux arrestations et aux pertes de plateformes. ...

🗞️ Contexte Source : The Register, publié le 15 juin 2026. L’article rapporte une campagne d’intrusion massive menée par le groupe cybercriminel ShinyHunters, exploitant une vulnérabilité zero-day dans Oracle PeopleSoft (CVE-2026-35273) pour compromettre plus de 100 organisations à travers le monde. 🎯 Victime principale et données volées Le Conseil de l’Europe est la dernière victime confirmée de cette campagne. ShinyHunters revendique le vol de 297 Go de données représentant 429 000 fichiers, incluant : ...

📰 Contexte Article publié le 18 juin 2026 par CyberScoop (Matt Kapko). Il s’agit d’une analyse approfondie de la campagne du groupe TeamPCP, actif depuis fin 2025, qui mène une attaque de grande envergure contre l’écosystème open-source. 🎯 Acteur de la menace TeamPCP est attribué par Google à un opérateur principal unique, dont les connexions IP résidentielles et mobiles ont été tracées en Afrique du Sud. Palo Alto Networks identifie le handle principal : ResoluteXBF, ainsi que deux membres supplémentaires : diencracked et Shinigami. Le groupe a collaboré ponctuellement avec des entités telles que Lapsus$, ShinyHunters, DragonForce, BreachForums et HasanBroker. La motivation principale est la notoriété underground et le chaos, non le gain financier (environ 90 000 USD d’extorsions revendiquées). ⚙️ Méthodes d’attaque Injection de code malveillant dans des packages open-source sur npm, PyPI, GitHub et d’autres registres. Ciblage des pipelines CI/CD (CI runners) pour propager le malware à tous les utilisateurs en aval qui tirent automatiquement les dernières versions. Vol de credentials pour des environnements Kubernetes, AWS, Microsoft Azure, Google Cloud. Développement de payloads en JavaScript et Python, extension vers les APIs Kubernetes et les SDKs. Vol de credentials via protocoles personnalisés. Infections récurrentes dues à une rotation insuffisante des secrets par les victimes. 📦 Packages et victimes notables Première attaque documentée : Trivy (février 2026). Victimes revendiquées : Checkmarx, Bitwarden, LiteLLM, Telnyx, Mercor AI, PyTorch Lightning, AntV, SAP, GitHub, TanStack, UiPath, MistralAI, Microsoft DurableTask, Red Hat, Nx Console. Volume combiné : environ 500 millions de téléchargements hebdomadaires pour l’ensemble des packages compromis. Plus de 10 000 victimes revendiquées par TeamPCP. Environ 4 000 dépôts de code privés mis en vente sur un forum darkweb pour 95 000 USD. 🦠 Malware notable Mini Shai-Hulud : malware auto-répliquant ayant infecté des centaines de packages open-source. Son code source complet a été publié sur GitHub par un affilié de TeamPCP pour encourager d’autres cybercriminels à l’utiliser. 📊 Facteurs aggravants Utilisation croissante de l’IA par les développeurs réduisant la supervision humaine sur les packages installés. Confiance aveugle dans les registres open-source sans vérification de l’intégrité du code. Délai de détection variable : certains packages compromis ont été actifs jusqu’à 13 heures, d’autres retirés en 15 minutes. Le groupe infecte de nouveaux packages quasi quotidiennement et valide les compromissions en moins de 24 heures. 📌 Type d’article Analyse de menace approfondie à destination des professionnels de la cybersécurité et de la threat intelligence, visant à documenter les TTPs, l’attribution et l’impact de la campagne TeamPCP sur l’écosystème open-source. ...

🔍 Contexte Publié le 18 juin 2026 par l’équipe PS (Paradigm Shift Technology) sur leur blog, cet article présente usbliter8, un exploit BootROM inédit ciblant les SoC Apple A12, S4/S5 et A13, avec divulgation coordonnée auprès d’Apple Product Security avant publication. 🐛 Vulnérabilité Le bug réside dans le contrôleur USB DWC2 de Synopsys intégré aux SoC Apple. Le contrôleur stocke jusqu’à trois Setup packets consécutifs en mémoire via DMA. Lors de la réception d’un quatrième paquet, il décrémente le registre DOEPDMA de 24 octets pour revenir au début du buffer. Cependant, si des paquets plus petits sont reçus (stockés en chunks de 4 octets), l’incrément ne correspond pas au décrément fixe, produisant un primitif de buffer underflow par pas de 12 octets. ...

📰 Source : CybersecurityNews.com — Date de publication : 16 juin 2026 🔍 Contexte Horizon3.ai a découvert une vulnérabilité critique dans la plateforme SimpleHelp RMM (Remote Monitoring and Management) via son initiative de recherche autonome « Sua Sponte » utilisant l’analyse pilotée par IA. La faille est référencée CVE-2026-48558. ⚠️ Nature de la vulnérabilité La faille résulte d’une validation incorrecte des assertions du fournisseur d’identité lors du processus d’authentification OpenID Connect (OIDC), notamment dans les intégrations avec Azure Active Directory. Elle est exploitable lorsque : ...

🔍 Contexte Cet article est un post-mortem publié le 18 juin 2026 par l’équipe Huntress sur leur blog officiel. Il détaille une attaque de type supply chain ayant compromis Klue, une plateforme d’intelligence marché, et impacté plusieurs de ses clients dont Huntress. 🗓️ Chronologie de l’incident 11 juin 2026 : Début de la compromission de Klue via un comportement anomal sur un système d’intégration 12 juin : Klue détecte des connexions réseau inhabituelles vers des IPs malveillantes 13 juin : Klue désactive les accès distants, supprime le code de vol de tokens et émet une alerte générale aux clients 16 juin : Des emails d’extorsion avec l’objet “top secret email” arrivent dans les boîtes de certains employés Huntress 17 juin : Huntress confirme la compromission de ses données Salesforce et Gong ⚙️ Vecteur et mécanisme d’attaque Le threat actor a exploité un credential longtemps inutilisé mais toujours actif, créé à l’origine par Klue pour prototyper une intégration tierce abandonnée. À partir de ce point d’entrée, l’acteur a : ...

🔍 Contexte Publié le 17 juin 2026 par Zscaler ThreatLabz (chercheurs Shruti Dixit et Manisha Ramcharan Prajapati), cet article documente une campagne ClickFix observée en mars 2026 utilisant des sites web générés par IA pour distribuer un nouveau RAT bancaire nommé SmartRAT. Trend Micro a également analysé ce malware sous le nom Banana RAT avec un vecteur d’attaque différent. 🎯 Vecteur d’infection Les acteurs malveillants ont enregistré le domaine typosquatté cartaobb[.]com imitant le domaine légitime cartaobrb[.]com[.]br d’une banque brésilienne populaire. La page frauduleuse, vraisemblablement générée par un outil de création de sites web IA, présente : ...

🔍 Contexte Le 12 juin 2026, watchTowr Labs (Piotr Bazydlo et Yordan Ganchev) publie une analyse technique approfondie de CVE-2026-20253, une vulnérabilité critique (CVSS 9.8) affectant Splunk Enterprise et permettant une exécution de code à distance sans authentification préalable. 🎯 Vulnérabilité La faille réside dans le PostgreSQL Sidecar Service de Splunk Enterprise, un composant installé et activé par défaut sur les déploiements Splunk Enterprise sur AWS (versions 10 et supérieures). Ce service expose une API HTTP interne (127.0.0.1:5435) accessible via proxy depuis l’interface web principale de Splunk (port 8000), sans aucun contrôle d’authentification. ...

🎯 Contexte Source : Symantec (security.com), publiée le 16 juin 2026. L’article rapporte une attaque ransomware menée par le groupe DragonForce contre une grande entreprise de services américaine, avec une présence sur le réseau estimée entre un et deux mois. 🛠️ Technique d’attaque principale Les attaquants ont utilisé un backdoor personnalisé baptisé Backdoor.Turn, développé en Go, qui constitue selon Symantec la première utilisation connue de l’infrastructure TURN de Microsoft Teams pour masquer du trafic C2 dans la nature. ...

📰 Source : BleepingComputer — Date de publication : 17 juin 2026 Le chercheur en sécurité Bob Diachenko a découvert un serveur exposé contenant une base de données massive de credentials Fortinet/FortiGate VPN, incluant noms d’utilisateur, adresses e-mail et mots de passe en clair. L’ensemble, baptisé “FortiBleed”, couvre 73 932 URLs de firewalls répartis dans 194 pays et 21 632 domaines uniques. 🎯 Organisations impactées : parmi les entités identifiées figurent Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Sinopec, State Grid, Siemens, Lenovo, PwC, Accenture, Oracle, ainsi que des agences gouvernementales et des opérateurs d’infrastructures critiques. ...