Opération Escaneo : campagne d'intrusion avancée contre des agences fédérales mexicaines

🔍 Contexte PubliĂ© le 17 juin 2026 par CloudSEK, ce rapport documente l’OpĂ©ration Escaneo, une campagne d’intrusion coordonnĂ©e et multi-Ă©tapes dĂ©couverte lors d’une analyse de routine d’infrastructure malveillante. Un serveur de staging exposĂ© hĂ©bergĂ© sur 62.171.185.97 a permis de cartographier l’ensemble des capacitĂ©s offensives du groupe. 🎯 Attribution et ciblage La campagne est attribuĂ©e avec une confiance moyenne au groupe MexicanMafia aka PanchoVilla, un acteur connu pour des attaques antĂ©rieures contre des institutions mexicaines (2024). Les secteurs ciblĂ©s incluent : ...

21 juin 2026 Â· 6 min

DragonForce : profil complet du groupe RaaS Ă  double extorsion (CCB, avril 2026)

đŸ›ïž Contexte Le Centre for Cybersecurity Belgium (CCB), dĂ©partement CyTRIS, a publiĂ© le 29 avril 2026 un rapport de threat intelligence (version 1.0, TLP:CLEAR) consacrĂ© au groupe DragonForce, avec une date de coupure renseignement au 16 avril 2026. Ce rapport constitue un profil complet de l’acteur, couvrant sa motivation, son attribution, ses victimes, ses capacitĂ©s techniques et son infrastructure. 🎯 PrĂ©sentation de l’acteur DragonForce est un opĂ©rateur Ransomware-as-a-Service (RaaS) Ă  double extorsion apparu en dĂ©cembre 2023. Le groupe a compromis plus de 400 victimes Ă  ce jour, dont deux organisations belges (secteurs construction et services aux entreprises). Sa motivation est exclusivement financiĂšre, sans affiliation politique ni sponsoring Ă©tatique identifiĂ©. ...

25 mai 2026 Â· 6 min

Qilin (ex-Agenda) : analyse complĂšte d'un groupe RaaS en pleine expansion mondiale

🎯 Contexte PubliĂ© le 15 mai 2026 par Guardsix (anciennement Logpoint), cet article constitue une analyse de menace approfondie sur le groupe ransomware Qilin, initialement connu sous le nom Agenda lors de son Ă©mergence en mi-2022. đŸ•”ïž Profil du groupe Qilin est un groupe cybercriminel basĂ© en Russie opĂ©rant sous un modĂšle Ransomware-as-a-Service (RaaS). Les opĂ©rateurs dĂ©veloppent et maintiennent la plateforme tandis que des affiliĂ©s conduisent les intrusions en Ă©change d’un pourcentage des rançons. Le groupe a connu une montĂ©e en puissance significative en 2023, s’accĂ©lĂ©rant en 2024 et 2025. ...

19 mai 2026 Â· 4 min

Ransomware 2025 : TTPs, tendances et déclin de la rentabilité selon Google GTIG

🔍 Contexte PubliĂ© le 16 mars 2026 par le Google Threat Intelligence Group (GTIG), ce rapport analyse les tactiques, techniques et procĂ©dures (TTPs) observĂ©es lors des incidents ransomware traitĂ©s par Mandiant Consulting en 2025. Il couvre des victimes situĂ©es en Asie-Pacifique, Europe, AmĂ©rique du Nord et du Sud, dans presque tous les secteurs d’activitĂ©. 📊 Paysage ransomware 2025 Record historique de posts sur les Data Leak Sites (DLS) en 2025, dĂ©passant 2024 de prĂšs de 50% La rentabilitĂ© globale est en dĂ©clin : taux de paiement de rançon au plus bas historique en Q4 2025 (Coveware), demande moyenne rĂ©duite d’un tiers Ă  1,34 M$ en 2025 contre 2 M$ en 2024 (Sophos) PrĂšs de la moitiĂ© des victimes ont pu restaurer depuis des sauvegardes en 2024 (contre 28% en 2023 et 11% en 2022) LockBit, ALPHV, Basta et RansomHub ont Ă©tĂ© perturbĂ©s ou ont disparu ; Qilin et Akira ont comblĂ© le vide REDBIKE (Akira) est la famille ransomware la plus dĂ©ployĂ©e : ~30% des incidents MontĂ©e en puissance des opĂ©rations de data theft extortion seule (sans chiffrement) Ciblage croissant des petites organisations (moins de 200 employĂ©s) Adoption de technologies Web3 (ICP blockchain, Polygon smart contracts) pour la rĂ©silience des infrastructures IntĂ©gration de l’IA dans les opĂ©rations (nĂ©gociations, analyse des victimes) Doublement des familles ransomware cross-platform (Windows + Linux) 🎯 Vecteurs d’accĂšs initial Exploitation de vulnĂ©rabilitĂ©s : 1/3 des incidents (VPNs et firewalls principalement) Fortinet : CVE-2024-21762, CVE-2024-55591, CVE-2019-6693 SonicWall : CVE-2024-40766 Palo Alto : CVE-2024-3400 Citrix : CVE-2023-4966 Microsoft SharePoint : CVE-2025-53770, CVE-2025-53771 (zero-day par UNC6357) SAP NetWeaver : CVE-2025-31324 CrushFTP : CVE-2025-31161 CVE-2025-8088 exploitĂ© en zero-day par UNC2165 CVE-2025-61882 exploitĂ© contre Oracle EBS (CL0P) Credentials volĂ©s : 21% des incidents identifiĂ©s (VPN, RDP) Malvertising / SEO poisoning : UNC6016 (→ NITROGEN, RHYSIDA), UNC2465 (→ SMOKEDHAM) Bruteforce : attaques prolongĂ©es sur VPNs (ex. Daixin sur prĂšs d’un an) AccĂšs via subsidiaires ou tiers (rĂ©seaux intermĂ©diaires) IngĂ©nierie sociale : UNC5833 via Microsoft Teams + Quick Assist 🔧 TTPs post-compromission Établissement de foothold : ...

25 mars 2026 Â· 7 min

Exploitation de vulnérabilités Fortinet par le ransomware Qilin

Selon une alerte privĂ©e de PRODAFT partagĂ©e avec BleepingComputer, l’opĂ©ration de ransomware Qilin a rĂ©cemment intĂ©grĂ© des attaques utilisant deux vulnĂ©rabilitĂ©s Fortinet permettant de contourner l’authentification sur des appareils vulnĂ©rables et d’exĂ©cuter du code malveillant Ă  distance. Phantom Mantis a lancĂ© une campagne d’intrusion coordonnĂ©e ciblant plusieurs organisations entre mai et juin 2025. Cette campagne repose sur l’exploitation de plusieurs vulnĂ©rabilitĂ©s FortiGate, notamment CVE-2024-21762 et CVE-2024-55591. Les vulnĂ©rabilitĂ©s exploitĂ©es permettent aux attaquants de contourner les mesures de sĂ©curitĂ© sur les appareils Fortinet, facilitant ainsi l’accĂšs non autorisĂ© et l’exĂ©cution de code malveillant. Cette mĂ©thode d’attaque souligne l’importance de maintenir les systĂšmes Ă  jour avec les derniers correctifs de sĂ©curitĂ©. ...

7 juin 2025 Â· 1 min
Derniùre mise à jour le: 4 juillet 2026 📝