Cryptomonnaies

🌐 Contexte Source : Europol (communiqué officiel), publié le 29 avril 2026. Cette annonce fait suite à une journée d’action coordonnée le 17 avril 2026, aboutissant au démantèlement d’un réseau criminel opérant des call centres frauduleux à Tirana, Albanie. 🎯 Nature de la menace Le réseau exploitait un schéma de fraude à l’investissement en ligne (investment scam) à grande échelle. Les victimes étaient attirées via de fausses publicités sur les réseaux sociaux et les moteurs de recherche, vers de fausses plateformes d’investissement. Des agents dits « retention agents » se faisaient passer pour des conseillers financiers et utilisaient des logiciels d’accès à distance pour prendre le contrôle total des appareils des victimes. ...

🔍 Contexte Arctic Wolf Labs publie le 27 avril 2026 un rapport d’analyse technique détaillé d’une intrusion active débutée le 23 janvier 2026, ciblant une entreprise Web3/cryptomonnaie nord-américaine. L’attaque est attribuée avec haute confiance à BlueNoroff, sous-groupe financièrement motivé du Lazarus Group nord-coréen (RGB/DPRK), dans le cadre de la campagne dite “fake conference” / SnatchCrypto. 🎭 Vecteur initial : ingénierie sociale sophistiquée L’attaquant a usurpé l’identité d’un responsable juridique d’un cabinet Fintech/Crypto/iGaming via Calendly, en programmant une réunion cinq mois à l’avance. L’invitation Google Meet générée a été modifiée pour substituer le lien légitime par une URL typosquattée Zoom (ex: uu03webzoom[.]us). Plus de 80 domaines typosquattés Zoom et Teams ont été identifiés sur la même infrastructure entre fin 2025 et mars 2026. ...

🌐 Contexte Publié le 28 avril 2026 par Europol (European Union Agency for Law Enforcement Cooperation), l’Internet Organised Crime Threat Assessment (IOCTA) 2026 constitue l’évaluation annuelle la plus complète des cybermenaces pesant sur l’Union européenne. Le rapport s’intitule « How encryption, proxies and AI are expanding cybercrime » et couvre les développements observés principalement en 2025. 🎯 Principaux vecteurs de menace identifiés Ransomware Plus de 120 familles de ransomware actives observées par Europol en 2025 Modèle RaaS (Ransomware-as-a-Service) dominant, avec fragmentation croissante des opérations Groupes notables : Qilin, Akira, LockBit (tentatives de rebond avec LockBit 5.0), DragonForce, BlackBasta, Cl0p, Play, Fog En septembre 2025, une coalition DragonForce + LockBit + Qilin annoncée sur le dark web Tactiques d’extorsion multi-couches : exfiltration de données, DDoS simultanés, cold-calling, pression psychologique Shift de l’extorsion : de la demande de déchiffrement vers la menace de publication des données Fraude en ligne (OFS) Fraude représentant la zone de croissance la plus rapide de la criminalité organisée Typologies principales : fraude à l’investissement (crypto), BEC, romance scam, tech support fraud, fraude aux paiements Usage massif de SIM boxes / SIM farms (ex : réseau letton de 7 individus, 1 200 dispositifs, 40 000 SIM cards, 49 millions de comptes créés) Montée des IMSI catchers et SMS blasters pour contourner les protocoles KYC Drainers de cryptomonnaies maturés en système CaaS (acquisition d’Inferno Drainer par Angel Drainer en octobre 2024) Attaques relay sur terminaux de paiement en hausse dans l’UE Adoption de l’IA générative pour personnaliser l’ingénierie sociale, scripts d’appel, chatbots de pré-sélection des victimes Infrastructure criminelle Dark web : fragmentation des marketplaces généralistes, émergence de plateformes spécialisées Démantèlement d’Archetyp Market (600 000 utilisateurs, EUR 250M de transactions, juin 2025) ; émergence de BlackOps, TorZon, Nexus Market DarkForums successeur de BreachForums Bullet-proof hosting (BPH) avec sous-location multi-juridictionnelle Proxies résidentiels pour masquer le trafic malveillant Abus DNS pour phishing, C2 de botnets, distribution de malwares Démantèlement de Cryptomixer (EUR 1,3 milliard en Bitcoin mixés depuis 2016, novembre 2025) Montée des privacy coins, chain-hopping, bridges blockchain, DEX, coinjoin pour le blanchiment Menaces hybrides et DDoS Acteurs étatiques utilisant des réseaux cybercriminels comme proxies pour des opérations de déstabilisation NoName057(16) : réseau pro-russe ciblant gouvernements et entreprises, démantelé partiellement lors de l’Opération Eastwood (juillet 2025, 19 pays impliqués) DDoS lors du Sommet OTAN de La Haye (juin 2025) Coalition Scattered LAPSUS$ Hunters (SLSH) : Scattered Spider + ShinyHunters + LAPSUS$ (annoncée août 2025) Exploitation sexuelle des enfants en ligne (CSAM) Kidflix démantelé (1,8M utilisateurs, 80 000 vidéos, 1 400 suspects identifiés, 39 enfants protégés) Hausse de 70% des signalements de sextorsion financière (NCMEC, H1 2025 vs H1 2024) CSAM généré par IA en forte progression (modèles text-to-image, text-to-video, image-to-image) Réseau The Com : communautés en ligne mêlant CSE, cyberattaques, extorsion, violence extrême Plateforme Help4U lancée par Europol en novembre 2025 pour soutenir les victimes mineures 🔧 Opérations de police majeures citées Opération Endgame : démantèlement de Smokeloader, Bumblebee, Lactrodectus, Qakbot, Hijackloader, DanaBot, Trickbot, Warmcookie, Rhadamantys, VenomRAT, Elysium botnet Phobos/8Base : arrestation de 4 ressortissants russes, avertissement de 400 entreprises Cryptomixer.io : saisie de EUR 25M en cryptomonnaies, 12 To de données Archetyp Market : arrestation de l’administrateur à Barcelone NoName057(16) : Opération Eastwood, 9 arrestations, +100 serveurs perturbés Réseau SIM box letton : 7 arrestations (octobre 2025) CSAM IA : 25 arrestations mondiales, 273 suspects identifiés 📋 Type d’article Il s’agit d’un rapport stratégique annuel publié par Europol, destiné aux décideurs stratégiques, politiques et opérationnels des autorités répressives de l’UE. Son but principal est de fournir une évaluation structurée et factuelle du paysage des cybermenaces pour orienter les priorités opérationnelles et politiques en matière de lutte contre la cybercriminalité. ...

🗓️ Contexte Article publié le 23 avril 2026 par The Register (Jessica Lyons), relatant le témoignage exclusif de Boris Vujičić, développeur web basé en Serbie, victime d’une arnaque à l’emploi hautement sophistiquée attribuée à des acteurs liés au gouvernement nord-coréen. 🎭 Déroulement de l’attaque L’attaque a débuté par un message LinkedIn d’un faux recruteur prétendant représenter une entreprise blockchain fictive nommée Genusix Labs. L’infrastructure de la campagne comprenait : Un site web d’apparence légitime avec photos de l’équipe dirigeante Un profil LinkedIn cohérent Des interviews Zoom caméra activée avec des personnages convaincants (dont une RH nommée Zam Villalon) Des ingénieurs fictifs correspondant aux photos du site Lors du second entretien technique, les attaquants ont proposé un test de codage en direct via un dépôt GitHub. Après avoir rassuré la victime (« Feel free to look for backdoors »), ils l’ont amenée à exécuter le code. ...

📰 Source : TechCrunch — Date : 20 avril 2026 Au cours du week-end précédant la publication, des hackers ont dérobé plus de 290 millions de dollars en cryptomonnaies à Kelp DAO, un protocole de rendement sur actifs crypto inactifs. Il s’agit du plus grand vol de cryptomonnaies de l’année 2026 à ce jour, dépassant le précédent record établi lors du hack de l’exchange Drift en avril 2026 (~285 M$). ...

🗓️ Contexte Source : The Record Media, publié le 20 avril 2026. L’article couvre un incident majeur survenu le week-end précédent, impliquant le vol de près de 290 millions de dollars en cryptomonnaies sur la plateforme Kelp, attribué au groupe nord-coréen TraderTraitor, une composante de l’opération Lazarus. 🎯 Déroulement de l’attaque L’attaque a débuté un samedi après-midi, détectée par des sociétés de sécurité blockchain. La chaîne d’attaque est la suivante : ...

🌐 Contexte Publié le 21 avril 2026 par Marcus Hutchins sur le blog d’Expel, cet article présente les résultats d’une investigation approfondie sur un groupe APT nord-coréen (DPRK) nouvellement nommé Expel-TA-0001 / HexagonalRodent, actif depuis au moins octobre 2025 et évalué avec haute confiance comme étant un sous-groupe de Famous Chollima (CrowdStrike). 🎯 Ciblage et modus operandi HexagonalRodent cible principalement les développeurs Web3 dans le but de voler des cryptomonnaies et des NFTs. La chaîne d’infection repose sur : ...

📰 Contexte Source : KrebsOnSecurity, publié le 21 avril 2026. L’article couvre le plaidoyer de culpabilité de Tyler Robert Buchanan, ressortissant britannique de 24 ans originaire de Dundee (Écosse), membre senior du groupe cybercriminel Scattered Spider. 👤 Profil de l’acteur Buchanan, connu sous le pseudonyme Tylerb, figurait à la 65e place d’un classement Telegram de SIM-swappers. Il est actuellement en détention fédérale américaine depuis avril 2025, après avoir été arrêté par les autorités espagnoles en juin 2024 alors qu’il tentait de prendre un vol vers l’Italie, puis extradé vers les États-Unis. ...

🔍 Contexte Le 16 avril 2026, la Microsoft Defender Security Research Team publie une analyse technique détaillée d’une campagne macOS attribuée à Sapphire Sleet, un acteur étatique nord-coréen actif depuis au moins mars 2020, ciblant principalement le secteur financier, les cryptomonnaies, le capital-risque et les plateformes blockchain. 🎯 Vecteur d’accès initial L’attaque repose sur de l’ingénierie sociale et non sur des vulnérabilités logicielles. L’acteur crée de faux profils de recruteurs sur les réseaux sociaux et professionnels, engage les cibles dans des conversations sur des opportunités d’emploi, puis les dirige vers le téléchargement d’un fichier malveillant nommé Zoom SDK Update.scpt — un AppleScript compilé s’ouvrant dans Script Editor, application Apple de confiance. ...

📰 Source : 9to5Mac, publié le 14 avril 2026 (mise à jour le 15 avril 2026). L’article rapporte deux incidents distincts ayant conduit Apple à retirer des applications frauduleuses de l’App Store le même jour. 🪙 Incident 1 : Fausse application Ledger Live Entre le 7 et le 13 avril 2026, une application malveillante nommée Ledger Live (également appelée « Ledger Lite » dans l’article) a réussi à passer la revue de l’App Store et a drainé les fonds d’au moins 50 utilisateurs. Les pertes les plus importantes documentées sont : ...