FortiBleed : infrastructure d'un courtier d'accĂšs initial ciblant Fortinet, Synology, Sophos et MSSQL

🔍 Contexte PubliĂ© le 19 juin 2026 par SpyCloud Labs, cet article prĂ©sente une analyse technique approfondie de l’infrastructure opĂ©rationnelle du groupe Ă  l’origine du dataset « FortiBleed », initialement dĂ©couvert par le chercheur Volodymyr « Bob » Diachenko. SpyCloud a obtenu une copie des donnĂ©es et les a analysĂ©es contre son schĂ©ma de brĂšches. 🎯 Nature de la campagne La campagne, active depuis le 19 mai 2026, est opĂ©rĂ©e par un courtier d’accĂšs initial (IAB) russophone utilisant des techniques de mass-scanning et brute-force (spray-and-pray) contre des Ă©quipements exposĂ©s sur Internet : ...

29 juin 2026 Â· 4 min

DarkMoon : moteur open source de pentest autonome avec agents IA et orchestration Docker

📰 Source : LinuxFR — Article publiĂ© le 20 juin 2026 par Mehdi, Ă©ditĂ© par BenoĂźt Sibaud. 🔍 Contexte gĂ©nĂ©ral DarkMoon est un moteur de pentest automatisĂ© open source publiĂ© sous licence GNU GPLv3. Le projet est rĂ©cent : premier commit en novembre 2025, dĂ©pĂŽt rendu public en mai 2026, avec environ 500 clonages et 1300 tĂ©lĂ©chargements d’images Docker au moment de la publication. ⚙ Architecture et fonctionnement L’outil repose sur trois composants principaux : ...

21 juin 2026 Â· 3 min

FortiBleed : anatomie d'une campagne industrielle de vol de credentials Fortinet FortiGate

🔍 Contexte Le 20 juin 2026, la sociĂ©tĂ© ZenoX publie une analyse technique approfondie de la campagne FortiBleed, aprĂšs avoir reçu le 19 juin 2026 l’accĂšs Ă  un rĂ©pertoire de travail laissĂ© exposĂ© sur internet par les opĂ©rateurs eux-mĂȘmes. Ce rĂ©pertoire contenait environ 318 fichiers constituant l’intĂ©gralitĂ© de l’infrastructure offensive : outils, scripts, listes de cibles, journaux opĂ©rationnels et donnĂ©es volĂ©es. 🎯 PĂ©rimĂštre de la campagne La campagne FortiBleed est une opĂ©ration de vol de credentials Ă  l’échelle industrielle ciblant les firewalls et concentrateurs SSL-VPN Fortinet FortiGate. Les chiffres clĂ©s : ...

21 juin 2026 Â· 5 min

Opération Escaneo : campagne d'intrusion avancée contre des agences fédérales mexicaines

🔍 Contexte PubliĂ© le 17 juin 2026 par CloudSEK, ce rapport documente l’OpĂ©ration Escaneo, une campagne d’intrusion coordonnĂ©e et multi-Ă©tapes dĂ©couverte lors d’une analyse de routine d’infrastructure malveillante. Un serveur de staging exposĂ© hĂ©bergĂ© sur 62.171.185.97 a permis de cartographier l’ensemble des capacitĂ©s offensives du groupe. 🎯 Attribution et ciblage La campagne est attribuĂ©e avec une confiance moyenne au groupe MexicanMafia aka PanchoVilla, un acteur connu pour des attaques antĂ©rieures contre des institutions mexicaines (2024). Les secteurs ciblĂ©s incluent : ...

21 juin 2026 Â· 6 min

Un acteur malveillant utilise l'IA (Claude Opus) pour développer et tester des techniques d'évasion EDR

🔍 Contexte PubliĂ© le 2 juin 2026 par la Sophos Counter Threat Unit (CTU), cet article dĂ©crit la dĂ©couverte d’un acteur malveillant utilisant des technologies d’intelligence artificielle pour accĂ©lĂ©rer le dĂ©veloppement de malwares et tester des techniques d’évasion EDR. L’activitĂ© a Ă©tĂ© dĂ©tectĂ©e via l’enregistrement d’un endpoint anormal dans un tenant client, dĂ©clenchant des alertes sur des payloads issus du rĂ©pertoire C:\Users\User\Documents\test. đŸ§© Infrastructure et outils dĂ©couverts Plusieurs fichiers malveillants ont Ă©tĂ© identifiĂ©s dans ce rĂ©pertoire, rĂ©vĂ©lant un framework d’attaque complet : ...

5 juin 2026 Â· 4 min

Vibe Hacking : deux campagnes augmentées par IA ciblent gouvernements et finances en Amérique latine

🔍 Contexte PubliĂ© le 11 mai 2026 par TrendAI Research (Trend Micro), cet article prĂ©sente deux campagnes de cyberattaques Ă©mergentes exploitant des agents IA agentiques pour automatiser des opĂ©rations d’intrusion de bout en bout contre des cibles gouvernementales et financiĂšres en AmĂ©rique latine. 🎯 Campagne SHADOW-AETHER-040 Active depuis fin 2025, cette campagne a ciblĂ© principalement des entitĂ©s gouvernementales mexicaines (6 compromises entre le 27 dĂ©cembre 2025 et le 4 janvier 2026), ainsi que des organisations des secteurs financier, aĂ©rien et retail en AmĂ©rique latine. ...

12 mai 2026 Â· 5 min

QEMU détourné pour masquer des activités malveillantes et déployer le ransomware PayoutsKing

🔍 Contexte PubliĂ© le 16 avril 2026 par Sophos, cet article documente l’abus actif de QEMU (Ă©mulateur open-source) par des acteurs malveillants pour dissimuler leurs activitĂ©s au sein d’environnements virtualisĂ©s, contournant ainsi les contrĂŽles de sĂ©curitĂ© des endpoints. 🎯 Campagne STAC4713 (depuis novembre 2025) AssociĂ©e au groupe GOLD ENCOUNTER et au ransomware PayoutsKing, cette campagne utilise QEMU comme backdoor SSH inversĂ© covert : Persistance : tĂąche planifiĂ©e nommĂ©e TPMProfiler lançant qemu-system-x86_64.exe sous le compte SYSTEM DĂ©guisement : image disque masquĂ©e en vault.db puis en bisrv.dll (janvier 2026) Port forwarding vers les ports 32567, 22022 → port 22 (SSH) VM Alpine 3.22.0 contenant : AdaptixC2 (tinker2), wg-obfuscator, BusyBox, Chisel, Rclone Vol de credentials : copie de NTDS.dit, ruches SAM et SYSTEM via VSS et commande print sur SMB AccĂšs initial : VPN SonicWall exposĂ©s sans MFA, puis exploitation de CVE-2025-26399 (SolarWinds Web Help Desk) Évolution en fĂ©vrier 2026 : abandon de QEMU, accĂšs via VPN Cisco SSL, ingĂ©nierie sociale via Microsoft Teams/QuickAssist, sideloading d’un payload Havoc C2 (vcruntime140_1.dll) via ADNotificationManager.exe, exfiltration via Rclone vers SFTP. ...

16 avril 2026 Â· 4 min

Akira Ransomware : compromission complĂšte en moins d'une heure via CVE-2024-40766

🔍 Contexte Cette analyse technique est publiĂ©e par le Halcyon Ransomware Research Center le 2 avril 2026. Elle documente les tactiques, techniques et procĂ©dures (TTPs) du groupe Akira, actif depuis mars 2023 en tant qu’opĂ©ration Ransomware-as-a-Service (RaaS) Ă  motivation financiĂšre. 🎯 Profil du groupe Akira Actif depuis mars 2023, avec des liens de code et de transactions crypto vers le syndicat Conti dĂ©funt A accumulĂ© environ 244 millions USD de rançons jusqu’en septembre 2025 Cibles : entreprises et infrastructures critiques en AmĂ©rique du Nord, Europe et Australie ModĂšle de double extorsion : exfiltration de donnĂ©es avant chiffrement, publication sur un site dark web en cas de non-paiement ⚡ RapiditĂ© d’exĂ©cution Akira est capable de mener l’intĂ©gralitĂ© du cycle d’attaque — de l’accĂšs initial au chiffrement — en moins d’une heure, et dans la majoritĂ© des cas en moins de quatre heures. Cette vitesse a permis de compromettre des centaines de victimes sur les 12 derniers mois. ...

5 avril 2026 Â· 4 min

Attaque RBCD cross-domaine et cross-forĂȘt Active Directory : analyse technique et implĂ©mentation Impacket

🔍 Contexte PubliĂ© le 23/03/2026 par Simon Msika de Synacktiv, cet article prĂ©sente une recherche approfondie sur l’exploitation de la dĂ©lĂ©gation contrainte basĂ©e sur les ressources (RBCD) dans des environnements Active Directory multi-domaines et multi-forĂȘts, un scĂ©nario peu documentĂ© jusqu’alors. ⚙ MĂ©canisme de l’attaque L’attaque RBCD repose sur la modification de l’attribut msDS-AllowedToActOnBehalfOfOtherIdentity d’un compte machine pour permettre l’usurpation d’identitĂ© d’utilisateurs. Dans un contexte cross-domaine, le workflow Kerberos implique plusieurs Ă©tapes supplĂ©mentaires : ...

29 mars 2026 Â· 2 min

Ransomware 2025 : TTPs, tendances et déclin de la rentabilité selon Google GTIG

🔍 Contexte PubliĂ© le 16 mars 2026 par le Google Threat Intelligence Group (GTIG), ce rapport analyse les tactiques, techniques et procĂ©dures (TTPs) observĂ©es lors des incidents ransomware traitĂ©s par Mandiant Consulting en 2025. Il couvre des victimes situĂ©es en Asie-Pacifique, Europe, AmĂ©rique du Nord et du Sud, dans presque tous les secteurs d’activitĂ©. 📊 Paysage ransomware 2025 Record historique de posts sur les Data Leak Sites (DLS) en 2025, dĂ©passant 2024 de prĂšs de 50% La rentabilitĂ© globale est en dĂ©clin : taux de paiement de rançon au plus bas historique en Q4 2025 (Coveware), demande moyenne rĂ©duite d’un tiers Ă  1,34 M$ en 2025 contre 2 M$ en 2024 (Sophos) PrĂšs de la moitiĂ© des victimes ont pu restaurer depuis des sauvegardes en 2024 (contre 28% en 2023 et 11% en 2022) LockBit, ALPHV, Basta et RansomHub ont Ă©tĂ© perturbĂ©s ou ont disparu ; Qilin et Akira ont comblĂ© le vide REDBIKE (Akira) est la famille ransomware la plus dĂ©ployĂ©e : ~30% des incidents MontĂ©e en puissance des opĂ©rations de data theft extortion seule (sans chiffrement) Ciblage croissant des petites organisations (moins de 200 employĂ©s) Adoption de technologies Web3 (ICP blockchain, Polygon smart contracts) pour la rĂ©silience des infrastructures IntĂ©gration de l’IA dans les opĂ©rations (nĂ©gociations, analyse des victimes) Doublement des familles ransomware cross-platform (Windows + Linux) 🎯 Vecteurs d’accĂšs initial Exploitation de vulnĂ©rabilitĂ©s : 1/3 des incidents (VPNs et firewalls principalement) Fortinet : CVE-2024-21762, CVE-2024-55591, CVE-2019-6693 SonicWall : CVE-2024-40766 Palo Alto : CVE-2024-3400 Citrix : CVE-2023-4966 Microsoft SharePoint : CVE-2025-53770, CVE-2025-53771 (zero-day par UNC6357) SAP NetWeaver : CVE-2025-31324 CrushFTP : CVE-2025-31161 CVE-2025-8088 exploitĂ© en zero-day par UNC2165 CVE-2025-61882 exploitĂ© contre Oracle EBS (CL0P) Credentials volĂ©s : 21% des incidents identifiĂ©s (VPN, RDP) Malvertising / SEO poisoning : UNC6016 (→ NITROGEN, RHYSIDA), UNC2465 (→ SMOKEDHAM) Bruteforce : attaques prolongĂ©es sur VPNs (ex. Daixin sur prĂšs d’un an) AccĂšs via subsidiaires ou tiers (rĂ©seaux intermĂ©diaires) IngĂ©nierie sociale : UNC5833 via Microsoft Teams + Quick Assist 🔧 TTPs post-compromission Établissement de foothold : ...

25 mars 2026 Â· 7 min
Derniùre mise à jour le: 14 juillet 2026 📝