Espionnage

📰 Source : Politico.eu — Article de presse, publié le 1er avril 2026, par Zoya Sheftalovich, Sam Clark et Sebastian Starcevic. 🔍 Contexte général La Commission européenne a demandé à certains de ses hauts fonctionnaires (chefs de département et leurs adjoints) de supprimer un groupe Signal qu’ils utilisaient pour échanger des informations. Cette décision intervient dans un contexte de série de cyberattaques visant les communications internes de l’institution. ⚠️ Incidents identifiés ...

🔍 Contexte Publié le 31 mars 2026 par Check Point Research, ce rapport documente l’opération TrueChaos, une campagne d’espionnage ciblée contre des entités gouvernementales en Asie du Sud-Est, exploitant une vulnérabilité zero-day dans le client TrueConf, une plateforme de vidéoconférence on-premises. 🐛 Vulnérabilité : CVE-2026-3502 CVSS score : 7.8 La faille réside dans l’absence de vérification d’intégrité et d’authenticité dans le mécanisme de mise à jour du client TrueConf Un attaquant contrôlant le serveur TrueConf on-premises peut remplacer le paquet de mise à jour légitime par un exécutable arbitraire Le client fait confiance au serveur sans validation, permettant la distribution et l’exécution de fichiers malveillants sur tous les endpoints connectés Correctif disponible dans TrueConf Windows client version 8.5.3 (mars 2026) ⚔️ Déroulement de l’attaque L’attaquant compromet le serveur TrueConf on-premises d’un département IT gouvernemental Il remplace le paquet de mise à jour (trueconf_client.exe) par une version weaponisée Un lien est envoyé aux cibles pour déclencher le client TrueConf et afficher une invite de mise à jour Le paquet malveillant (construit avec Inno Setup) installe légitimement la version 8.5.2 tout en déposant : poweriso.exe (binaire bénin) 7z-x64.dll (implant malveillant) dans c:\programdata\poweriso\ DLL side-loading via poweriso.exe pour charger 7z-x64.dll 🛠️ Post-exploitation Reconnaissance : tasklist, tracert 8.8.8.8 Téléchargement via FTP depuis 47.237.15[.]197 d’un loader iscsiexe.dll dans update.7z Bypass UAC via iscsicpl.exe (SysWOW64) et DLL search-order hijacking Modification du PATH utilisateur : HKCU\environment Persistance via HKCU\Software\Microsoft\Windows\CurrentVersion\Run\UpdateCheck pointant vers PowerISO.exe Déploiement final d’un implant Havoc communiquant avec l’infrastructure C2 de l’acteur 🎯 Attribution Check Point Research attribue avec confiance modérée cette opération à un acteur à nexus chinois, sur la base de : ...

🏛️ Contexte Publié le 31 mars 2026 par l’Internet Crime Complaint Center (IC3) du FBI, ce communiqué d’intérêt public met en garde les utilisateurs américains contre les risques de sécurité liés aux applications mobiles développées par des entreprises étrangères, en particulier celles basées en Chine. 📱 Risques de collecte de données Les applications développées par des entreprises dont l’infrastructure numérique est hébergée en Chine sont soumises aux lois chinoises sur la sécurité nationale, permettant potentiellement au gouvernement chinois d’accéder aux données des utilisateurs. ...

🔍 Contexte Publié le 30 mars 2026 par Check Point Research, ce rapport détaille l’Opération TrueChaos, une campagne d’espionnage ciblée découverte début 2026. L’attaque exploite une vulnérabilité zero-day (CVE-2026-3502, CVSS 7.8) dans le client Windows de TrueConf, une plateforme de vidéoconférence déployée dans des environnements gouvernementaux, de défense et d’infrastructure critique. 🎯 Vecteur d’attaque Les attaquants ont compromis un serveur TrueConf on-premises opéré par une organisation IT gouvernementale, puis ont remplacé une mise à jour légitime du client par une mise à jour malveillante. Le client TrueConf ne vérifiait pas suffisamment l’intégrité ou l’authenticité du paquet de mise à jour avant exécution, permettant ainsi : ...

🌐 Contexte Article de presse généraliste publié le 28 mars 2026 par RTS, basé sur une enquête de l’émission Temps Présent. Il documente une accumulation de menaces hybrides visant la Suisse, selon les déclarations du Service de renseignement de la Confédération (SRC) et d’autorités cantonales. 🕵️ Espionnage physique en Argovie La police cantonale argovienne a intercepté des agents étrangers sur sol suisse. Sur une douzaine d’incidents recensés ces deux dernières années, huit sont qualifiés d’activités de renseignement, attribuées principalement à des services russes ou chinois. Les cibles d’intérêt incluent : ...

📰 Source : Politico.eu, article de Zoya Sheftalovich publié le 25 mars 2026. 🔍 Contexte : POLITICO a lancé une revue de sécurité interne après qu’un enregistrement audio d’une conversation téléphonique privée entre l’un de ses journalistes et un officiel de l’UE a été intercepté et publié en ligne. L’appel portait sur des sujets liés à la Hongrie et à l’Ukraine. 📅 Chronologie des faits : 3 mars 2026 : L’appel téléphonique privé a lieu 16 mars 2026 : L’enregistrement de 9 minutes est mis en ligne sur YouTube 25 mars 2026 : POLITICO communique officiellement à ses employés L’enregistrement a été écouté 5 100 fois selon les données YouTube 🏢 Réponse de POLITICO : Les éditeurs Kate Day et Carrie Budoff Brown ont indiqué dans un email interne que la revue interne n’a trouvé aucune preuve de compromission d’appareils, réseaux ou systèmes. ...

🔍 Contexte Le 18 mars 2026, le Google Threat Intelligence Group (GTIG) a publié une analyse détaillée d’une nouvelle chaîne d’exploit iOS baptisée DarkSword, identifiée depuis au moins novembre 2025. Cette recherche est publiée en coordination avec Lookout et iVerify. 🎯 Description de la menace DarkSword est une chaîne d’exploit iOS full-chain exploitant 6 vulnérabilités zero-day pour compromettre complètement des appareils sous iOS 18.4 à 18.7. Elle utilise exclusivement du JavaScript pour toutes les étapes de l’exploitation, éliminant le besoin de contourner PPL ou SPTM. ...

🗓️ Contexte Selon un rapport publié par Seqrite Labs et relayé par Security Affairs le 19 mars 2026, un groupe APT lié à la Russie — attribué avec une confiance modérée à APT28 (alias Fancy Bear, Sednit, STRONTIUM, UAC-0001) — mène une campagne d’espionnage ciblant des entités gouvernementales ukrainiennes via une vulnérabilité dans Zimbra Collaboration. 🎯 Campagne : Operation GhostMail La campagne, baptisée Operation GhostMail, exploite la vulnérabilité CVE-2025-66376 (CVSS 7.2), un stored XSS dans l’interface Classic UI de Zimbra, causé par une sanitisation insuffisante des directives CSS @import dans le contenu HTML des emails. ...

🔍 Contexte Le 20 mars 2026, le FBI et la CISA ont publié conjointement une annonce de service public (PSA) via l’Internet Crime Complaint Center (IC3) pour alerter sur une campagne de phishing active attribuée à des acteurs liés aux Services de renseignement russes (RIS). 🎯 Cibles La campagne cible des individus à haute valeur de renseignement, notamment : Fonctionnaires américains actuels et anciens Personnel militaire Personnalités politiques Journalistes ⚙️ Mode opératoire Les acteurs RIS envoient des messages de phishing se faisant passer pour des comptes de support automatisé d’applications de messagerie (CMA). Les victimes sont incitées à : ...

Le groupe iranien MuddyWater a mené en février-mars 2026 une campagne d’espionnage ciblée utilisant deux nouveaux malwares, Dindoor et Fakeset, contre des organisations financières, aéroportuaires et de défense aux États-Unis, en Israël et au Canada. 🌐 Contexte Rapport publié le 20 mars 2026 par Krypt3ia, analysant une campagne d’intrusion conduite entre février et mars 2026 par le groupe iranien MuddyWater (aussi connu sous les alias Seedworm, MERCURY, Static Kitten, MOIST KEYCHAIN, Mango Sandstorm), aligné avec le Ministère du Renseignement et de la Sécurité iranien (MOIS). ...