Espionnage

🏛️ Contexte Le 10 juin 2026, le Département de la Justice américain (DOJ) et le FBI ont annoncé la saisie de 13 domaines internet utilisés dans le cadre d’une opération d’espionnage attribuée aux services de renseignement du gouvernement chinois. L’opération visait des détenteurs actuels et anciens d’habilitations de sécurité américaines ayant accès à des informations classifiées ou sensibles. 🎯 Mode opératoire Depuis novembre 2023, les conspirateurs ont créé au moins 13 fausses sociétés de conseil dont les sites web et offres d’emploi ciblaient des employés gouvernementaux et militaires américains. Les techniques employées incluent : ...

🎯 Contexte Cet article est publié le 3 juin 2026 par la Threat Hunter Team de Symantec et Carbon Black (Broadcom). Il documente une campagne d’espionnage ciblée de cinq mois visant le compte email d’un cadre supérieur d’une grande bourse mondiale, observée entre octobre 2025 et mars 2026. 🕵️ Déroulement de l’attaque La première activité malveillante détectée remonte au 10 octobre 2025, avec deux binaires masqués déjà installés et exécutés en tant que SYSTEM : ...

🗞️ Contexte Article publié le 7 mai 2026 par The Guardian, dans le cadre d’une enquête exclusive menée par un consortium de six médias (Guardian, Der Spiegel, Le Monde, The Insider, Delfi, VSquare), basée sur plus de 2 000 documents internes de l’université Bauman de Moscou couvrant plusieurs années d’activité jusqu’en 2025. 🏫 Le programme secret : Département 4 Au sein de l’université Bauman Moscow State Technical University, un département confidentiel baptisé Département 4 (ou « Special Training ») forme discrètement des étudiants sélectionnés pour intégrer le GRU (Direction du renseignement militaire russe). Ce département est divisé en trois filières spécialisées, dont la principale porte le code 093400 intitulée « Special Reconnaissance Service ». ...

🌐 Contexte Source : The Register (exclusivité), publié le 30 avril 2026. Rapport d’investigation de TrendAI partagé en exclusivité. L’activité malveillante a débuté en décembre 2024 et des traces ont été détectées aussi récemment qu’avril 2026. 🎯 Acteurs de la menace Deux nouveaux groupes liés à la Chine ont été identifiés : Shadow-Earth-053 : groupe principal, ciblant gouvernements, contractants de défense, entreprises technologiques et secteur des transports. Shadow-Earth-054 : groupe connexe, partageant les mêmes vulnérabilités exploitées, hashes d’outils identiques et techniques similaires. Présente des chevauchements réseau avec CL-STA-0049 (Unit 42 / Palo Alto Networks), REF7707 (Elastic Security Labs) et Earth Alux. Tom Kellermann (TrendAI) compare ces groupes à Salt Typhoon et Volt Typhoon, les qualifiant de « jeunes frères et sœurs des campagnes Typhoon ». ...

🗓️ Contexte Source : UNN (unn.ua), publié le 28 avril 2026. L’Agence de cybersécurité de Moldavie a signalé une attaque de grande envergure contre la principale base de données médicale nationale du pays. 🎯 Nature de l’attaque Les attaquants ont ciblé la plateforme pendant environ un mois avant que l’incident ne soit rapporté. La base de données constitue un hub central collectant les données des hôpitaux régionaux et centraux, incluant : ...

🗓️ Contexte Article publié le 28 avril 2026 sur Malwarebytes par Danny Bradbury. Il couvre une affaire d’espionnage industriel et militaire menée par un ressortissant chinois contre des institutions américaines sur une période de quatre ans. 👤 Acteur de la menace Song Wu, ingénieur de jour à l’Aviation Industry Corporation of China (AVIC), conglomérat aérospatial et de défense détenu par l’État chinois, basé à Pékin, comptant plus de 400 000 employés. AVIC et plusieurs de ses filiales figurent sur la liste des sanctions américaines. Song Wu est inscrit sur la liste des personnes recherchées par le FBI depuis septembre 2024, inculpé de 14 chefs de fraude électronique et 14 chefs de vol d’identité aggravé. Il est toujours en fuite. ...

🔍 Contexte Publié le 23 avril 2026 par Cisco Talos, cet article constitue une analyse technique détaillée d’une campagne active menée par le groupe UAT-4356, précédemment attribué à la campagne étatique ArcaneDoor (début 2024), ciblant les équipements réseau périmètriques à des fins d’espionnage. 🎯 Vecteur d’accès initial UAT-4356 a exploité deux vulnérabilités n-day affectant le système d’exploitation Cisco FXOS (Firepower eXtensible Operating System) : CVE-2025-20333 CVE-2025-20362 Ces vulnérabilités ont permis un accès non autorisé aux équipements Cisco Firepower, ASA et FTD. ...

🔍 Contexte Publié le 22 avril 2026 par la Threat Hunter Team de Symantec et Carbon Black (Broadcom), cet article présente l’analyse technique d’un nouveau backdoor Linux attribué au groupe APT Harvester, actif depuis au moins 2021 et considéré comme soutenu par un État. 🎯 Campagne et ciblage Bien qu’aucune victime directe n’ait été observée, les soumissions initiales sur VirusTotal proviennent d’Inde et d’Afghanistan, régions historiquement ciblées par Harvester pour des opérations d’espionnage en Asie du Sud. Les documents leurres utilisés sont adaptés au contexte régional (références à Zomato, au pèlerinage Umrah, au ministère des Affaires étrangères indien). ...

📅 Source et contexte : Rapport publié le 21 avril 2026 par l’Acronis Threat Research Unit (TRU), documentant une nouvelle campagne d’espionnage attribuée avec une confiance modérée au groupe Mustang Panda. 🎯 Ciblage : La campagne cible le secteur bancaire indien, marquant un pivot géographique et sectoriel par rapport aux précédentes opérations visant des entités gouvernementales américaines. Une déviation secondaire vers la géopolitique coréenne est également mentionnée. 🔗 Chaîne d’attaque : ...

🔍 Contexte Rapport technique publié le 6 avril 2026 par JUMPSEC, basé sur l’analyse d’un serveur C2 mal configuré, de 15 échantillons de malware et d’un nouveau payload PE. L’analyse s’inscrit dans la continuité des travaux de Symantec, Check Point, Malwarebytes et Recorded Future sur MuddyWater et CastleRAT. 🎯 Acteurs et relation MuddyWater (alias Seedworm, Mango Sandstorm, TA450, Static Kitten), groupe d’espionnage iranien opérant sous le Ministry of Intelligence and Security (MOIS), est identifié comme client de la plateforme MaaS TAG-150, développée par des cybercriminels russophones. Cette relation est confirmée par trois chaînes de preuves indépendantes. ...