Cryptomonnaies

🎯 Contexte Source : BleepingComputer, publié le 20 juin 2026. Microsoft a officiellement attribué, dans une mise à jour du 19 juin 2026, une attaque de type supply chain ciblant l’écosystème npm du framework Mastra AI au groupe nord-coréen Sapphire Sleet, également connu sous le nom de BlueNoroff. 🔓 Vecteur d’attaque initial Les attaquants ont compromis le compte npm du mainteneur “ehindero”, qui disposait de droits de publication sur l’ensemble de l’environnement de packages Mastra. Ce compte a été utilisé pour publier des mises à jour malveillantes sur plus de 140 packages dans le scope @mastra. ...

🔍 Contexte Check Point Research publie le 17 juin 2026 une analyse technique d’une campagne de distribution de clipboard hijacker ciblant les propriétaires de cryptomonnaies et les joueurs de crash-games en ligne. L’acteur exploite un écosystème multi-plateformes de fausse légitimité pour maximiser la portée de ses outils malveillants. 🎯 Vecteurs de distribution et ingénierie sociale L’acteur opère via plusieurs canaux coordonnés : Site WordPress de phishing servant de hub central, promouvant des outils comme des Solana/Pump.fun sniper bots, Aviator Predictor et des crash-game predictors GitHub : au moins 6 comptes (Decryptor-j, crash-predictor1, roblox-script1, hack-scripts, stake-mines) avec plus de 5 000 téléchargements dont 1 250+ pour la version macOS SourceForge : 44 485 téléchargements dont 37 460 depuis des appareils Android (probablement une ferme Android pour gonfler les statistiques) YouTube : chaîne avec narrateurs générés par IA, pics de vues suspects, commentaires coordonnés positifs Sites d’actualités légitimes : posts publiés le 27 avril 2026 (depuis retirés), potentiellement via des posts sponsorisés ou des médias compromis BitcoinTalk.org et forums de hacking : présence documentée depuis 2019, post de 2022 intitulé BLACKHAT | Bitcoin Stealer | Advanced Builder | Tutorial | Clipper [Address Changer]+Re-Fud method 🦠 Payload technique Les binaires livrés sont des clipboard hijackers écrits en Rust, disponibles pour Windows et macOS. Leurs fonctionnalités : ...

🏛️ Contexte Source : BleepingComputer, publié le 3 juin 2026. L’OFAC (Office of Foreign Assets Control) du Trésor américain a annoncé des sanctions contre Nobitex, le plus grand exchange de cryptomonnaies iranien, ainsi que contre trois autres plateformes : Wallex, Bitpin et Ramzinex. Ces mesures s’inscrivent dans la campagne gouvernementale américaine dénommée « Economic Fury ». 🎯 Motifs des sanctions Nobitex est accusé d’avoir : Traité plus de 50 % de l’ensemble des flux entrants d’actifs numériques iraniens en 2025 Facilité des paiements liés aux activités terroristes de l’Iran Permis des transactions associées à l’IRGC (Corps des Gardiens de la Révolution Islamique), incluant des acteurs ransomware affiliés Aidé la Banque centrale d’Iran à accéder à des centaines de millions de dollars en stablecoins pour soutenir le rial iranien Permis à des initiés du régime d’accéder à des exchanges internationaux et d’éluder les sanctions dans plusieurs juridictions 👤 Individus désignés L’OFAC a également désigné des dirigeants de Nobitex : ...

🔍 Contexte Publié le 22 mai 2026 par Kazuki Fujisawa (Trend Micro), cet article documente l’évolution technique du malware InvisibleFerret utilisé par Void Dokkaebi (alias Famous Chollima), un groupe d’intrusion aligné avec la Corée du Nord. 🎯 Acteur et cibles Void Dokkaebi cible systématiquement les développeurs de logiciels détenant des credentials de wallets cryptomonnaies, des clés de signature, et des accès aux pipelines CI/CD et infrastructures de production. Le vecteur initial historique repose sur de fausses offres d’emploi dans des entreprises crypto et IA, incitant les développeurs à cloner et exécuter des dépôts de code. ...

🗓️ Contexte Source : Il Sole 24 Ore, 22 mai 2026. La Guardia di Finanza (GdF) italienne annonce le démantèlement d’un vaste réseau de piraterie audiovisuelle organisé autour de l’application Cinemagoal, à l’issue d’une opération coordonnée depuis Ravenne. 🔍 Description du système Cinemagoal Cinemagoal était une application permettant d’accéder illicitement aux contenus payants des plateformes suivantes : Sky, DAZN, Netflix, Disney+, Spotify Le fonctionnement technique reposait sur plusieurs mécanismes : Connexion des appareils clients à un serveur étranger pour décrypter les contenus Utilisation de machines virtuelles distribuées sur le territoire national, actives 24h/24, capturant et retransmettant en temps réel les codes d’abonnements légitimes souscrits au nom de sujets fictifs Envoi d’un signal en clair aux utilisateurs finaux Absence d’adresse IP directement associable à la connexion, afin de réduire la traçabilité des utilisateurs L’abonnement annuel était proposé entre 40 et 130 euros selon le forfait choisi. Plus de 70 personnes assuraient la distribution du service. ...

📰 Source : SecurityAffairs — Date de publication : 11 mai 2026 🔍 Contexte Crimenetwork était l’une des principales marketplaces cybercriminelles germanophones, active depuis 2012 et démantelée une première fois en décembre 2024 par les autorités allemandes. Quelques jours après ce premier démantèlement, une version relancée de la plateforme avait émergé sur une nouvelle infrastructure. ⚙️ Déroulement de l’opération L’opération a été conduite conjointement par : Le Parquet de Francfort-sur-le-Main Le ZIT (Zentralstelle zur Bekämpfung der Internetkriminalität — Bureau central de lutte contre la cybercriminalité) Le BKA (Bundeskriminalamt — Police criminelle fédérale allemande) Un suspect de 35 ans, ressortissant allemand, présumé administrateur de la plateforme relancée, a été arrêté à Majorque par les autorités espagnoles dans le cadre de cette opération. ...

🔍 Contexte Publié le 14 avril 2026 par Elastic Security Labs (auteurs : Salim Bitam, Samir Bousseaden, Daniel Stepanic), cet article détaille la campagne REF6598, une opération d’ingénierie sociale sophistiquée ciblant des individus dans les secteurs financier et des cryptomonnaies. 🎯 Vecteur d’accès initial Les attaquants se font passer pour une société de capital-risque et contactent leurs cibles via LinkedIn, puis migrent la conversation vers Telegram. Ils invitent la victime à utiliser Obsidian comme base de données partagée, en lui fournissant des identifiants pour se connecter à un vault cloud contrôlé par l’attaquant. ...

🌐 Contexte Source : Europol (communiqué officiel), publié le 29 avril 2026. Cette annonce fait suite à une journée d’action coordonnée le 17 avril 2026, aboutissant au démantèlement d’un réseau criminel opérant des call centres frauduleux à Tirana, Albanie. 🎯 Nature de la menace Le réseau exploitait un schéma de fraude à l’investissement en ligne (investment scam) à grande échelle. Les victimes étaient attirées via de fausses publicités sur les réseaux sociaux et les moteurs de recherche, vers de fausses plateformes d’investissement. Des agents dits « retention agents » se faisaient passer pour des conseillers financiers et utilisaient des logiciels d’accès à distance pour prendre le contrôle total des appareils des victimes. ...

🔍 Contexte Arctic Wolf Labs publie le 27 avril 2026 un rapport d’analyse technique détaillé d’une intrusion active débutée le 23 janvier 2026, ciblant une entreprise Web3/cryptomonnaie nord-américaine. L’attaque est attribuée avec haute confiance à BlueNoroff, sous-groupe financièrement motivé du Lazarus Group nord-coréen (RGB/DPRK), dans le cadre de la campagne dite “fake conference” / SnatchCrypto. 🎭 Vecteur initial : ingénierie sociale sophistiquée L’attaquant a usurpé l’identité d’un responsable juridique d’un cabinet Fintech/Crypto/iGaming via Calendly, en programmant une réunion cinq mois à l’avance. L’invitation Google Meet générée a été modifiée pour substituer le lien légitime par une URL typosquattée Zoom (ex: uu03webzoom[.]us). Plus de 80 domaines typosquattés Zoom et Teams ont été identifiés sur la même infrastructure entre fin 2025 et mars 2026. ...

🌐 Contexte Publié le 28 avril 2026 par Europol (European Union Agency for Law Enforcement Cooperation), l’Internet Organised Crime Threat Assessment (IOCTA) 2026 constitue l’évaluation annuelle la plus complète des cybermenaces pesant sur l’Union européenne. Le rapport s’intitule « How encryption, proxies and AI are expanding cybercrime » et couvre les développements observés principalement en 2025. 🎯 Principaux vecteurs de menace identifiés Ransomware Plus de 120 familles de ransomware actives observées par Europol en 2025 Modèle RaaS (Ransomware-as-a-Service) dominant, avec fragmentation croissante des opérations Groupes notables : Qilin, Akira, LockBit (tentatives de rebond avec LockBit 5.0), DragonForce, BlackBasta, Cl0p, Play, Fog En septembre 2025, une coalition DragonForce + LockBit + Qilin annoncée sur le dark web Tactiques d’extorsion multi-couches : exfiltration de données, DDoS simultanés, cold-calling, pression psychologique Shift de l’extorsion : de la demande de déchiffrement vers la menace de publication des données Fraude en ligne (OFS) Fraude représentant la zone de croissance la plus rapide de la criminalité organisée Typologies principales : fraude à l’investissement (crypto), BEC, romance scam, tech support fraud, fraude aux paiements Usage massif de SIM boxes / SIM farms (ex : réseau letton de 7 individus, 1 200 dispositifs, 40 000 SIM cards, 49 millions de comptes créés) Montée des IMSI catchers et SMS blasters pour contourner les protocoles KYC Drainers de cryptomonnaies maturés en système CaaS (acquisition d’Inferno Drainer par Angel Drainer en octobre 2024) Attaques relay sur terminaux de paiement en hausse dans l’UE Adoption de l’IA générative pour personnaliser l’ingénierie sociale, scripts d’appel, chatbots de pré-sélection des victimes Infrastructure criminelle Dark web : fragmentation des marketplaces généralistes, émergence de plateformes spécialisées Démantèlement d’Archetyp Market (600 000 utilisateurs, EUR 250M de transactions, juin 2025) ; émergence de BlackOps, TorZon, Nexus Market DarkForums successeur de BreachForums Bullet-proof hosting (BPH) avec sous-location multi-juridictionnelle Proxies résidentiels pour masquer le trafic malveillant Abus DNS pour phishing, C2 de botnets, distribution de malwares Démantèlement de Cryptomixer (EUR 1,3 milliard en Bitcoin mixés depuis 2016, novembre 2025) Montée des privacy coins, chain-hopping, bridges blockchain, DEX, coinjoin pour le blanchiment Menaces hybrides et DDoS Acteurs étatiques utilisant des réseaux cybercriminels comme proxies pour des opérations de déstabilisation NoName057(16) : réseau pro-russe ciblant gouvernements et entreprises, démantelé partiellement lors de l’Opération Eastwood (juillet 2025, 19 pays impliqués) DDoS lors du Sommet OTAN de La Haye (juin 2025) Coalition Scattered LAPSUS$ Hunters (SLSH) : Scattered Spider + ShinyHunters + LAPSUS$ (annoncée août 2025) Exploitation sexuelle des enfants en ligne (CSAM) Kidflix démantelé (1,8M utilisateurs, 80 000 vidéos, 1 400 suspects identifiés, 39 enfants protégés) Hausse de 70% des signalements de sextorsion financière (NCMEC, H1 2025 vs H1 2024) CSAM généré par IA en forte progression (modèles text-to-image, text-to-video, image-to-image) Réseau The Com : communautés en ligne mêlant CSE, cyberattaques, extorsion, violence extrême Plateforme Help4U lancée par Europol en novembre 2025 pour soutenir les victimes mineures 🔧 Opérations de police majeures citées Opération Endgame : démantèlement de Smokeloader, Bumblebee, Lactrodectus, Qakbot, Hijackloader, DanaBot, Trickbot, Warmcookie, Rhadamantys, VenomRAT, Elysium botnet Phobos/8Base : arrestation de 4 ressortissants russes, avertissement de 400 entreprises Cryptomixer.io : saisie de EUR 25M en cryptomonnaies, 12 To de données Archetyp Market : arrestation de l’administrateur à Barcelone NoName057(16) : Opération Eastwood, 9 arrestations, +100 serveurs perturbés Réseau SIM box letton : 7 arrestations (octobre 2025) CSAM IA : 25 arrestations mondiales, 273 suspects identifiés 📋 Type d’article Il s’agit d’un rapport stratégique annuel publié par Europol, destiné aux décideurs stratégiques, politiques et opérationnels des autorités répressives de l’UE. Son but principal est de fournir une évaluation structurée et factuelle du paysage des cybermenaces pour orienter les priorités opérationnelles et politiques en matière de lutte contre la cybercriminalité. ...