Rapport GRIT Q2 2026 : 2 279 victimes de ransomware, Qilin et The Gentlemen dominent

📊 Contexte : GuidePoint Security publie son rapport trimestriel GRIT Q2 2026 (avril–juin 2026), couvrant l’ensemble de l’écosystĂšme ransomware et des menaces cyber sur la pĂ©riode. Il s’appuie sur des donnĂ©es publiques issues des sites de fuite des groupes criminels. 🔱 Chiffres clĂ©s du trimestre : 2 279 victimes dĂ©clarĂ©es publiquement, soit +7% par rapport au Q1 2026 et +43% en glissement annuel 91 groupes distincts actifs, record absolu observĂ© par GRIT 108 pays ciblĂ©s (contre 97 au Q1 2026) Les États-Unis reprĂ©sentent 32% des victimes, en baisse historique par rapport aux ~50% habituels 🏆 Groupes les plus actifs : ...

17 juillet 2026 Â· 5 min

ChocoPoC : des chercheurs en vulnérabilités ciblés par des PoC CVE trojanisés via PyPI

🔍 Contexte PubliĂ© le 1er juillet 2026 par Sekoia TDR et YesWeHack, cet article dĂ©taille une campagne de supply chain ciblant les chercheurs en vulnĂ©rabilitĂ©s et pentesters via de faux dĂ©pĂŽts GitHub de preuves de concept (PoC) pour des CVE critiques. 🎯 Vecteur d’infection La chaĂźne d’infection repose sur une confusion de dĂ©pendances : les dĂ©pĂŽts malveillants incluent dans leur requirements.txt des packages PyPI malveillants (frint, skytext, slogsec, logcrypt.cryptography). L’installation via pip install dĂ©clenche le chargement d’une extension native compilĂ©e et obfusquĂ©e (gradient.so / gradient.pyd) qui exĂ©cute un dropper. ...

3 juillet 2026 Â· 4 min

đŸȘČ June 2026 — CVE les plus discutĂ©es

Cette page prĂ©sente les vulnĂ©rabilitĂ©s les plus discutĂ©es sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la pĂ©riode analysĂ©e. PĂ©riode analysĂ©e : 2026-06-01 → 2026-07-01. Les donnĂ©es sont collectĂ©es via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider Ă  la priorisation de la veille et de la remĂ©diation. 📌 LĂ©gende : CVSS : score officiel de sĂ©vĂ©ritĂ© technique. EPSS : probabilitĂ© d’exploitation observĂ©e. VLAI : estimation de sĂ©vĂ©ritĂ© basĂ©e sur une analyse IA du contenu de la vulnĂ©rabilitĂ©. CISA KEV : vulnĂ©rabilitĂ© activement exploitĂ©e selon la CISA. seen / exploited : signaux observĂ©s dans les sources publiques. CVE-2026-35273 CVSS: 9.8 EPSS: 92.33% VLAI: Critical (confidence: 0.9967) CISA: KEV ProduitOracle Corporation — PeopleSoft Enterprise PeopleTools PubliĂ©2026-06-11T02:25:15.375Z Vulnerability in the PeopleSoft Enterprise PeopleTools product of Oracle PeopleSoft (component: Updates Environment Management). Supported versions that are affected are 8.61 and 8.62. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise PeopleSoft Enterprise PeopleTools. Successful attacks of this vulnerability can result in takeover of PeopleSoft Enterprise PeopleTools. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H). ...

1 juillet 2026 Â· 36 min

Cartographie de l'infrastructure C2 en Europe de l'Est : 3 900+ serveurs sur 302 fournisseurs

🌍 Contexte PubliĂ© le 24 juin 2026 par Hunt.io sur son blog de recherche, cet article prĂ©sente les rĂ©sultats d’une cartographie systĂ©matique de l’infrastructure malveillante en Europe de l’Est, couvrant 10 pays (BiĂ©lorussie, Bulgarie, RĂ©publique tchĂšque, Hongrie, Pologne, Moldavie, Roumanie, Russie, Slovaquie, Ukraine) sur une fenĂȘtre de trois mois (12 mars – 12 juin 2026). 📊 Chiffres clĂ©s 4 331 dĂ©tections malveillantes totales chez 302 fournisseurs distincts 3 923 serveurs C2 (~90,6% des dĂ©tections) 146 posts IOC Hunter, 111 rĂ©pertoires ouverts malveillants, 90 sites de phishing, 61 IOCs publics Friendhosting LTD (Bulgarie) : 2 100 serveurs C2, soit 53,5% de toute l’infrastructure C2 rĂ©gionale Top 5 fournisseurs : Friendhosting (BG, 2100), TimeWeb (RU, 277), PQ Hosting (MD, 175), Neterra (BG, 137), AlexHost (MD, 120) 🩠 Distribution des familles de malwares Keitaro : 1 277 IPs C2 uniques (TDS abusĂ© pour malvertising/phishing) Tactical RMM : 232 C2s (outil lĂ©gitime dĂ©tournĂ©) Acunetix : 173 C2s (infrastructure de reconnaissance) Gophish : 122 C2s Hajime : 106, Mozi : 82 (botnets IoT) Cobalt Strike : 35 vĂ©rifiĂ©s + 44 non vĂ©rifiĂ©s Sliver : 35 🎯 Acteurs de menace et campagnes identifiĂ©s Cloud Atlas APT : IP 146.70.53[.]171 (M247, AS9009, Bulgarie) et plusieurs IPs sur Baxet (AS51659) — ciblage d’entitĂ©s gouvernementales/diplomatiques en Russie et BiĂ©lorussie, exploitation de CVE-2018-0802, phishing ZIP avec LNK/PowerShell INJ3CTOR3 : IP 146.70.129[.]114 (AS9009, RĂ©publique tchĂšque) — campagne de fraude tĂ©lĂ©phonique FreePBX, dropper Bash multi-Ă©tapes, webshell JOMANGY, outil ZenharR JINX-0164 : IP 89.36.224[.]5 (AS9009, Roumanie) — package npm malveillant @velora-dex/sdk v9.4.1, RAT Go minirat, ciblage dĂ©veloppeurs macOS DeFi/Web3 ShinyHunters : IP 176.120.22[.]24 (Proton66 OOO, AS198953, Russie) — exploitation de CVE-2026-35273 (RCE Oracle PeopleSoft 8.61/8.62), ~300 instances ciblĂ©es dans 100+ organisations dont universitĂ©s Nemesys ransomware : IP 141.98.83[.]86 (FlyServers, AS209588) — Mimikatz, LaZagne, outils NirSoft, persistance via clĂ© Run HKCU Ollama Honeypot / CVE-2026-7482 : IP 78.85.31[.]182 (Rostelecom, AS12389) — coinminer, LLMjacking WantToCry ransomware : IP 87.225.105[.]217 (Rostelecom, AS12389) Fluffy Wolf : IP 195.2.67[.]129 (VDSina, AS48282) — phishing ciblant des organisations russes Black Basta : IP 109.172.88[.]38 (VDSina, AS48282) — vishing Teams, spam de registration-bombing, installation AnyDesk Gremlin Stealer (variant Ă©voluĂ©) : IP 194.87.92[.]109 (MTW/JSC Mediasoft, AS48347) — exfiltration, payload XOR dans ressource .NET Pink Extortion Group : IP 185.178.208[.]153 (DDoS-Guard, AS57724) — vol de donnĂ©es Microsoft 365, exfiltration via Microsoft Graph API Silent Ransom Group (SRG) : IP 130.204.1[.]83 (A1 Bulgaria) — infrastructure DNS fast-flux DevilNFC (Android) : IP 185.203.116[.]18 (Belcloud) XenoRAT / Gentlemen Ransomware : IP 92.39.211[.]142 (MTS) Pioneer Kitten (probable) : IP 83.168.110[.]191 (SkyPass Solutions) — exploitation CVE-2026-0257 (Palo Alto GlobalProtect bypass) ProxyCB botnet / TeamSpy : IP 195.62.53[.]253 (IPServer) đŸ—ș RĂ©partition gĂ©ographique des C2 Russie : 929 IPs uniques (45,7%) Pologne : 438 IPs (21,5%) — dispersĂ©es sur de nombreux petits fournisseurs Bulgarie : 298 IPs (14,7%) Roumanie : 199 IPs (9,8%) Ukraine : 170 IPs (8,4%) 📋 Type d’article Publication de recherche CTI Ă  visĂ©e analytique, prĂ©sentant une cartographie systĂ©matique de l’infrastructure malveillante rĂ©gionale via la plateforme Host Radar de Hunt.io, avec des requĂȘtes HuntSQL reproductibles et des exemples d’acteurs actifs. ...

26 juin 2026 Â· 5 min

đŸȘČ Semaine 25 — CVE les plus discutĂ©es

Cette page prĂ©sente les vulnĂ©rabilitĂ©s les plus discutĂ©es sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la pĂ©riode analysĂ©e. PĂ©riode analysĂ©e : 2026-06-14 → 2026-06-21. Les donnĂ©es sont collectĂ©es via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider Ă  la priorisation de la veille et de la remĂ©diation. 📌 LĂ©gende : CVSS : score officiel de sĂ©vĂ©ritĂ© technique. EPSS : probabilitĂ© d’exploitation observĂ©e. VLAI : estimation de sĂ©vĂ©ritĂ© basĂ©e sur une analyse IA du contenu de la vulnĂ©rabilitĂ©. CISA KEV : vulnĂ©rabilitĂ© activement exploitĂ©e selon la CISA. seen / exploited : signaux observĂ©s dans les sources publiques. CVE-2026-20253 CVSS: 9.8 EPSS: 10.04% VLAI: Critical (confidence: 0.8499) CISA: KEV ProduitSplunk — Splunk Enterprise PubliĂ©2026-06-10T17:16:21.242Z In Splunk Enterprise 10.2 versions below 10.2.4 and 10 versions below 10.0.7, an unauthenticated user could create or truncate arbitrary files through a PostgreSQL sidecar service endpoint. The vulnerability exists because the PostgreSQL sidecar service endpoint lacks authentication controls, allowing any network-reachable user to invoke file operations without credentials. Splunk Enterprise versions 9.4 and earlier are not affected. If you cannot immediately upgrade to a fixed version, you can mitigate this vulnerability by disabling the PostgreSQL sidecar service. ...

22 juin 2026 Â· 21 min

đŸȘČ Semaine 23 — CVE les plus discutĂ©es

Cette page prĂ©sente les vulnĂ©rabilitĂ©s les plus discutĂ©es sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la pĂ©riode analysĂ©e. PĂ©riode analysĂ©e : 2026-05-31 → 2026-06-07. Les donnĂ©es sont collectĂ©es via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider Ă  la priorisation de la veille et de la remĂ©diation. 📌 LĂ©gende : CVSS : score officiel de sĂ©vĂ©ritĂ© technique. EPSS : probabilitĂ© d’exploitation observĂ©e. VLAI : estimation de sĂ©vĂ©ritĂ© basĂ©e sur une analyse IA du contenu de la vulnĂ©rabilitĂ©. CISA KEV : vulnĂ©rabilitĂ© activement exploitĂ©e selon la CISA. seen / exploited : signaux observĂ©s dans les sources publiques. CVE-2026-0257 CVSS: N/A EPSS: 52.85% VLAI: Medium (confidence: 0.8983) CISA: KEV ProduitPalo Alto Networks — Cloud NGFW PubliĂ©2026-05-13T18:15:10.172Z Authentication bypass vulnerabilities in the GlobalProtect portal and gateway of Palo Alto Networks PAN-OSÂź software allows the attacker to bypass security restrictions and establish an unauthorized VPN connection. Panorama and Cloud NGFW are not impacted by these issues. ...

8 juin 2026 Â· 21 min

đŸȘČ Semaine 22 — CVE les plus discutĂ©es

Cette page prĂ©sente les vulnĂ©rabilitĂ©s les plus discutĂ©es sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la pĂ©riode analysĂ©e. PĂ©riode analysĂ©e : 2026-05-24 → 2026-05-31. Les donnĂ©es sont collectĂ©es via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider Ă  la priorisation de la veille et de la remĂ©diation. 📌 LĂ©gende : CVSS : score officiel de sĂ©vĂ©ritĂ© technique. EPSS : probabilitĂ© d’exploitation observĂ©e. VLAI : estimation de sĂ©vĂ©ritĂ© basĂ©e sur une analyse IA du contenu de la vulnĂ©rabilitĂ©. CISA KEV : vulnĂ©rabilitĂ© activement exploitĂ©e selon la CISA. seen / exploited : signaux observĂ©s dans les sources publiques. CVE-2026-0257 CVSS: N/A EPSS: 41.50% VLAI: Medium (confidence: 0.9436) CISA: KEV ProduitPalo Alto Networks — Cloud NGFW PubliĂ©2026-05-13T18:15:10.172Z Authentication bypass vulnerabilities in the GlobalProtect portal and gateway of Palo Alto Networks PAN-OSÂź software allows the attacker to bypass security restrictions and establish an unauthorized VPN connection. Panorama and Cloud NGFW are not impacted by these issues. ...

1 juin 2026 Â· 20 min

đŸȘČ May 2026 — CVE les plus discutĂ©es

Cette page prĂ©sente les vulnĂ©rabilitĂ©s les plus discutĂ©es sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la pĂ©riode analysĂ©e. PĂ©riode analysĂ©e : 2026-05-01 → 2026-06-01. Les donnĂ©es sont collectĂ©es via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider Ă  la priorisation de la veille et de la remĂ©diation. 📌 LĂ©gende : CVSS : score officiel de sĂ©vĂ©ritĂ© technique. EPSS : probabilitĂ© d’exploitation observĂ©e. VLAI : estimation de sĂ©vĂ©ritĂ© basĂ©e sur une analyse IA du contenu de la vulnĂ©rabilitĂ©. CISA KEV : vulnĂ©rabilitĂ© activement exploitĂ©e selon la CISA. seen / exploited : signaux observĂ©s dans les sources publiques. CVE-2026-31431 CVSS: 7.8 EPSS: 2.23% VLAI: High (confidence: 0.9602) CISA: KEV ProduitLinux — Linux PubliĂ©2026-04-22T08:15:10.123Z In the Linux kernel, the following vulnerability has been resolved: crypto: algif_aead - Revert to operating out-of-place This mostly reverts commit 72548b093ee3 except for the copying of the associated data. There is no benefit in operating in-place in algif_aead since the source and destination come from different mappings. Get rid of all the complexity added for in-place operation and just copy the AD directly. ...

1 juin 2026 Â· 38 min

Exploitation active de CVE-2026-0257 : contournement d'authentification GlobalProtect VPN

🔍 Contexte Source : BleepingComputer, publiĂ© le 30 mai 2026. Palo Alto Networks a mis Ă  jour son advisory pour signaler l’exploitation active de CVE-2026-0257, une vulnĂ©rabilitĂ© de contournement d’authentification affectant PAN-OS GlobalProtect (portail et passerelle VPN). 🐛 VulnĂ©rabilitĂ© CVE-2026-0257 : contournement des restrictions de sĂ©curitĂ© permettant d’établir des connexions VPN non autorisĂ©es SĂ©vĂ©ritĂ© initialement Medium, rehaussĂ©e Ă  High suite Ă  l’exploitation active Condition d’exploitation : dispositifs configurĂ©s avec les authentication override cookies activĂ©s et une configuration de certificat spĂ©cifique La faille rĂ©side dans la validation des cookies d’override : PAN-OS dĂ©chiffre ces cookies avec une clĂ© privĂ©e configurĂ©e et fait confiance au contenu dĂ©chiffrĂ© sans vĂ©rification de signature Si le mĂȘme certificat est rĂ©utilisĂ© pour les services HTTPS et les cookies d’override, un attaquant peut rĂ©cupĂ©rer la clĂ© publique via la session HTTPS et forger des cookies valides 📅 Chronologie des attaques 17 mai 2026 : premiĂšre exploitation observĂ©e (selon Rapid7) 18 mai 2026 : premiĂšre vague dĂ©tectĂ©e depuis une infrastructure hĂ©bergĂ©e par Vultr 21 mai 2026 : deuxiĂšme vague dĂ©tectĂ©e, originaire de Dromatics Systems 29 mai 2026 : ajout au catalogue CISA KEV 1er juin 2026 : date limite imposĂ©e aux agences fĂ©dĂ©rales amĂ©ricaines pour mitiger la faille 🎯 MĂ©thode d’attaque Authentification aux passerelles GlobalProtect via des cookies d’override forgĂ©s ciblant le compte administrateur local Dans certains cas, connexion VPN Ă©tablie avec succĂšs, donnant accĂšs aux rĂ©seaux internes Dans d’autres cas, le cookie forgĂ© est acceptĂ© mais la session VPN complĂšte ne peut ĂȘtre Ă©tablie Aucun mouvement latĂ©ral observĂ© par Rapid7 depuis les dispositifs compromis Rapid7 a dĂ©veloppĂ© un proof-of-concept dĂ©montrant la rĂ©cupĂ©ration des certificats publics, la gĂ©nĂ©ration de cookies forgĂ©s et l’authentification sans credentials valides 🏱 Impact Exploitation confirmĂ©e contre de nombreux clients de Rapid7 MDR Cible : rĂ©seaux d’entreprise utilisant GlobalProtect VPN non patchĂ© 📄 Type d’article Alerte de sĂ©curitĂ© combinant un rapport d’exploitation active. But principal : informer les organisations de l’exploitation en cours de CVE-2026-0257 et documenter les conditions techniques de la vulnĂ©rabilitĂ©. ...

1 juin 2026 Â· 3 min

CVE-2026-0257 : contournement d'authentification GlobalProtect VPN activement exploité

🔍 Contexte Source : BleepingComputer, publiĂ© le 30 mai 2026 par Lawrence Abrams. Palo Alto Networks a mis Ă  jour son advisory pour confirmer l’exploitation active de CVE-2026-0257, une vulnĂ©rabilitĂ© de contournement d’authentification affectant le composant GlobalProtect (portal et gateway) de PAN-OS. đŸ›Ąïž Description de la vulnĂ©rabilitĂ© La faille rĂ©side dans la validation des cookies d’authentification override par PAN-OS. Le mĂ©canisme dĂ©faillant est le suivant : Le dispositif dĂ©chiffre les cookies d’override avec une clĂ© privĂ©e configurĂ©e Il fait confiance au contenu dĂ©chiffrĂ© sans vĂ©rification de signature Si le mĂȘme certificat est rĂ©utilisĂ© pour les services HTTPS et les cookies d’override, un attaquant peut rĂ©cupĂ©rer la clĂ© publique via la session HTTPS Il peut alors forger des cookies d’authentification valides pour n’importe quel utilisateur, sans connaĂźtre les identifiants Conditions requises : authentication override cookies activĂ©s + configuration de certificat spĂ©cifique. ...

31 mai 2026 Â· 3 min
Derniùre mise à jour le: 18 juillet 2026 📝