Operation Poisson : analyse complète d'une opération cybercriminelle francophone sur 33 jours

🔍 Contexte : Le 16 juin 2026, Cato CTRL (Vitaly Simonovich) publie une analyse post-incident détaillée de l’opération « Poisson », couvrant la période du 30 mars au 1er mai 2026. L’analyse repose sur l’historique complet des commandes et la télémétrie capturée en temps réel. 🎯 Cibles : Une petite entreprise française du secteur automobile et quatre individus français. Les victimes sont localisées en Alsace (département 68) et en Val-d’Oise (département 95). ...

18 juin 2026 · 4 min

QEMU détourné pour masquer des activités malveillantes et déployer le ransomware PayoutsKing

🔍 Contexte Publié le 16 avril 2026 par Sophos, cet article documente l’abus actif de QEMU (émulateur open-source) par des acteurs malveillants pour dissimuler leurs activités au sein d’environnements virtualisés, contournant ainsi les contrôles de sécurité des endpoints. 🎯 Campagne STAC4713 (depuis novembre 2025) Associée au groupe GOLD ENCOUNTER et au ransomware PayoutsKing, cette campagne utilise QEMU comme backdoor SSH inversé covert : Persistance : tâche planifiée nommée TPMProfiler lançant qemu-system-x86_64.exe sous le compte SYSTEM Déguisement : image disque masquée en vault.db puis en bisrv.dll (janvier 2026) Port forwarding vers les ports 32567, 22022 → port 22 (SSH) VM Alpine 3.22.0 contenant : AdaptixC2 (tinker2), wg-obfuscator, BusyBox, Chisel, Rclone Vol de credentials : copie de NTDS.dit, ruches SAM et SYSTEM via VSS et commande print sur SMB Accès initial : VPN SonicWall exposés sans MFA, puis exploitation de CVE-2025-26399 (SolarWinds Web Help Desk) Évolution en février 2026 : abandon de QEMU, accès via VPN Cisco SSL, ingénierie sociale via Microsoft Teams/QuickAssist, sideloading d’un payload Havoc C2 (vcruntime140_1.dll) via ADNotificationManager.exe, exfiltration via Rclone vers SFTP. ...

16 avril 2026 · 4 min
Dernière mise à jour le: 18 juillet 2026 📝