Operation Endgame démantèle SocGholish : plus de 100 serveurs saisis, 14 971 sites assainis

🌐 Contexte Publié le 17 juin 2026 par l’équipe Proofpoint Threat Research, cet article détaille les résultats de l’Operation Endgame ciblant le groupe cybercriminel TA569, opérateur du malware SocGholish (alias FakeUpdates), suivi par Proofpoint depuis 2018. 🚔 Action de forces de l’ordre Le 18 juin 2026, une action coordonnée impliquant les Pays-Bas (NHCTU), le Canada (RCMP), les États-Unis (FBI) et l’Allemagne (BKA), avec le soutien d’Europol, a permis : La saisie de plus de 100 serveurs et domaines dans le monde entier L’assainissement de 14 971 sites web compromis La perturbation du botnet SocGholish Proofpoint a contribué en fournissant des informations aux autorités. ...

19 juin 2026 · 4 min

DriveSurge : un nouvel acteur IAB exploitant ClickFix et FakeUpdates via des milliers de sites compromis

🔍 Contexte Publié le 30 mai 2026 par Silent Push, cet article de recherche présente la découverte et l’analyse d’un nouvel acteur de la menace baptisé DriveSurge, opérant comme Initial Access Broker (IAB) selon un modèle Pay-Per-Install (PPI). 🎯 Acteur et mode opératoire DriveSurge a compromis des milliers de sites web légitimes en y injectant du code JavaScript malveillant. Ces sites redirigent silencieusement les visiteurs via un Traffic Distribution System (TDS) open-source appelé zTDS (version 1.0.3, disponible depuis 2015 sur ztds[.]info). Le TDS profile les visiteurs et leur sert l’une des deux attaques suivantes : ...

1 juin 2026 · 5 min

VIPERTUNNEL : analyse approfondie du backdoor Python SOCKS5 lié à UNC2165/EvilCorp

🔍 Contexte Publié le 9 avril 2026 par Evgen Blohm (InfoGuard Labs), cet article est issu d’une investigation de réponse à incident liée à une attaque DragonForce ransomware. Lors de la revue de persistance, un artefact inhabituel a été identifié : une tâche planifiée nommée 523135538 exécutant C:\ProgramData\cp49s\pythonw.exe sans arguments. 🧩 Mécanisme de persistance et chargement La persistance repose sur sitecustomize.py, un module Python auto-importé au démarrage. Ce fichier utilise ctypes pour appeler Py_GetArgcArgv et vérifier le contexte d’exécution. Si argc == 1, il charge et exécute b5yogiiy3c.dll (un script Python déguisé en DLL) via runpy.run_path(). ...

14 avril 2026 · 6 min
Dernière mise à jour le: 18 juillet 2026 📝