AnyDesk

🔍 Contexte Publié le 17 juin 2026 par CloudSEK, ce rapport documente l’Opération Escaneo, une campagne d’intrusion coordonnée et multi-étapes découverte lors d’une analyse de routine d’infrastructure malveillante. Un serveur de staging exposé hébergé sur 62.171.185.97 a permis de cartographier l’ensemble des capacités offensives du groupe. 🎯 Attribution et ciblage La campagne est attribuée avec une confiance moyenne au groupe MexicanMafia aka PanchoVilla, un acteur connu pour des attaques antérieures contre des institutions mexicaines (2024). Les secteurs ciblés incluent : ...

🔍 Contexte Publié le 17 juin 2026 par l’Acronis Threat Research Unit (TRU), ce rapport constitue une analyse technique et stratégique approfondie du groupe INC Ransomware, opération RaaS découverte mi-2023 et désormais classée parmi les cinq groupes ransomware les plus actifs mondialement en 2026. 📈 Évolution et historique INC Ransomware a émergé en 2023 comme une opération semi-privée basée sur un modèle d’affiliation. Le groupe a rapidement développé des variantes Windows et Linux/ESXi, ciblant notamment les hyperviseurs VMware. En 2024, le code source (Windows + Linux/ESXi) a été mis en vente sur des forums underground par un utilisateur nommé “salfetka” (lié aux alias “rinc” et “farnetwork”, associé aux opérations Nokoyawa, JSWORM, Nefilim, Karma et Nemty) pour 300 000 USD (limité à trois acheteurs). Cette vente a conduit à l’émergence des familles Lynx et Sinobi avec un chevauchement de code significatif. ...

🗓️ Contexte Rapport publié le 7 juin 2026 par BleepingComputer, basé sur une analyse de Mandiant et un avis FBI FLASH récent. L’article détaille les tactiques du groupe Silent Ransom Group (aussi suivi sous les noms UNC3753, Luna Moth, Chatty Spider) dans des campagnes actives entre janvier et mai 2026. 🎯 Cibles et motivations Le groupe cible principalement : Cabinets juridiques (law firms) Services financiers Services professionnels Ces organisations sont visées pour leurs dépôts concentrés de données sensibles : dossiers de transactions clients, plans de fusions-acquisitions, secrets commerciaux, rapports réglementaires. Leur exposition réglementaire et réputationnelle les rend particulièrement vulnérables à l’extorsion. ...

🔍 Contexte Publié le 3 juin 2026 par l’équipe Proofpoint Threat Research, cet article présente une analyse détaillée de TA4922, un acteur cybercriminel sinophone nouvellement désigné, actif depuis le printemps 2025 et dont l’activité s’est fortement intensifiée entre mars et avril 2026. 🎭 Profil de l’acteur TA4922 est évalué comme financièrement motivé, ciblant principalement les organisations en Asie de l’Est (Japon, Taïwan, Corée, Singapour, Inde, Malaisie, Indonésie) avec une expansion récente vers l’Europe (Royaume-Uni, Allemagne, Italie) et l’Afrique du Sud. L’acteur présente des chevauchements d’outillage et d’infrastructure avec les clusters Silver Fox et Void Arachne, mais Proofpoint le suit comme un cluster distinct à orientation cybercriminelle. ...

🔍 Contexte Publié le 22 mai 2026 par Kazuki Fujisawa (Trend Micro), cet article documente l’évolution technique du malware InvisibleFerret utilisé par Void Dokkaebi (alias Famous Chollima), un groupe d’intrusion aligné avec la Corée du Nord. 🎯 Acteur et cibles Void Dokkaebi cible systématiquement les développeurs de logiciels détenant des credentials de wallets cryptomonnaies, des clés de signature, et des accès aux pipelines CI/CD et infrastructures de production. Le vecteur initial historique repose sur de fausses offres d’emploi dans des entreprises crypto et IA, incitant les développeurs à cloner et exécuter des dépôts de code. ...

🕵️ Contexte Source : Picus Security (blog), publié le 23 mai 2026. L’article présente une analyse technique de la chaîne d’attaque, des outils et des tactiques du groupe ransomware NightSpire, identifié pour la première fois début 2025. 🎯 Campagne et victimologie NightSpire a frappé au moins 64 organisations dans 33 pays entre mars et juin 2025. Les États-Unis arrivent en tête des victimes, suivis par la Turquie, Hong Kong, le Japon, Taïwan, le Mexique, l’Espagne et l’Égypte. ...

🔍 Contexte Ce document est un Flash FBI (FLASH-20260526-01), publié le 26 mai 2026, coordonné avec DHS/CISA, classifié TLP:CLEAR. Il porte sur les activités récentes du groupe Silent Ransom Group (SRG), également connu sous les alias Luna Moth, Chatty Spider et UNC3753. 🎯 Acteur de menace SRG est actif depuis au moins 2022. Le groupe se spécialise dans le vol de données et l’extorsion sans chiffrement (pas de ransomware traditionnel). Depuis le printemps 2023, il cible de manière persistante les cabinets d’avocats américains, tout en ayant également victimisé des entreprises dans les secteurs de l’assurance, de la finance et de la santé. ...

🎯 Contexte Publié le 15 mai 2026 par Guardsix (anciennement Logpoint), cet article constitue une analyse de menace approfondie sur le groupe ransomware Qilin, initialement connu sous le nom Agenda lors de son émergence en mi-2022. 🕵️ Profil du groupe Qilin est un groupe cybercriminel basé en Russie opérant sous un modèle Ransomware-as-a-Service (RaaS). Les opérateurs développent et maintiennent la plateforme tandis que des affiliés conduisent les intrusions en échange d’un pourcentage des rançons. Le groupe a connu une montée en puissance significative en 2023, s’accélérant en 2024 et 2025. ...

🔍 Contexte Publié le 30 avril 2026 par Trend Micro (Daniel Lunghi, Lucas Silva), cet article présente une analyse technique approfondie d’une campagne de cyberespionnage désignée SHADOW-EARTH-053, active depuis au moins décembre 2024 et alignée avec les intérêts stratégiques de la Chine. 🎯 Ciblage Le groupe a ciblé des entités gouvernementales et des infrastructures critiques dans au moins huit pays d’Asie du Sud, de l’Est et du Sud-Est, ainsi qu’un État membre de l’OTAN en Europe. Dans près de la moitié des environnements compromis, des chevauchements significatifs ont été observés avec un second cluster, SHADOW-EARTH-054, partageant des hachages d’outils identiques et des TTPs similaires. ...

🌐 Contexte Source : The Register (exclusivité), publié le 30 avril 2026. Rapport d’investigation de TrendAI partagé en exclusivité. L’activité malveillante a débuté en décembre 2024 et des traces ont été détectées aussi récemment qu’avril 2026. 🎯 Acteurs de la menace Deux nouveaux groupes liés à la Chine ont été identifiés : Shadow-Earth-053 : groupe principal, ciblant gouvernements, contractants de défense, entreprises technologiques et secteur des transports. Shadow-Earth-054 : groupe connexe, partageant les mêmes vulnérabilités exploitées, hashes d’outils identiques et techniques similaires. Présente des chevauchements réseau avec CL-STA-0049 (Unit 42 / Palo Alto Networks), REF7707 (Elastic Security Labs) et Earth Alux. Tom Kellermann (TrendAI) compare ces groupes à Salt Typhoon et Volt Typhoon, les qualifiant de « jeunes frères et sœurs des campagnes Typhoon ». ...