Ingénierie Sociale

🔍 Contexte Source : Help Net Security, publié le 4 mai 2026. DigiCert est une autorité de certification (CA) mondiale spécialisée dans les services de confiance numérique, notamment les certificats TLS/SSL, la gestion PKI et la sécurité IoT. 🎯 Nature de l’attaque Un acteur malveillant non identifié a mené une attaque d’ingénierie sociale ciblée contre le canal de support de DigiCert. L’attaquant a contacté l’équipe de support via un canal de chat client et a transmis un fichier ZIP malveillant déguisé en capture d’écran client. ...

📅 Source et contexte : Analyse publiée le 4 mai 2026 par la Microsoft Defender Security Research Team et Microsoft Threat Intelligence, documentant une campagne de phishing à grande échelle observée entre le 14 et le 16 avril 2026. 🎯 Portée de la campagne : La campagne a ciblé plus de 35 000 utilisateurs répartis dans plus de 13 000 organisations dans 26 pays, avec une concentration majoritaire aux États-Unis (92%). Les secteurs les plus touchés sont : ...

🗓️ Contexte Article publié le 28 avril 2026 sur Malwarebytes par Danny Bradbury. Il couvre une affaire d’espionnage industriel et militaire menée par un ressortissant chinois contre des institutions américaines sur une période de quatre ans. 👤 Acteur de la menace Song Wu, ingénieur de jour à l’Aviation Industry Corporation of China (AVIC), conglomérat aérospatial et de défense détenu par l’État chinois, basé à Pékin, comptant plus de 400 000 employés. AVIC et plusieurs de ses filiales figurent sur la liste des sanctions américaines. Song Wu est inscrit sur la liste des personnes recherchées par le FBI depuis septembre 2024, inculpé de 14 chefs de fraude électronique et 14 chefs de vol d’identité aggravé. Il est toujours en fuite. ...

🔍 Contexte Publié le 23 avril 2026 par Mandiant / Google Threat Intelligence Group (GTIG), cet article documente une campagne d’intrusion multistade attribuée à un nouveau groupe de menace, UNC6692, détectée fin décembre 2025. 🎯 Vecteur initial et chaîne d’infection L’attaque débute par une campagne d’emails massifs destinée à saturer la boîte de réception de la victime, créant un sentiment d’urgence. L’attaquant contacte ensuite la victime via Microsoft Teams, en se faisant passer pour un employé du helpdesk IT, et l’incite à cliquer sur un lien de « patch anti-spam ». ...

🗓️ Contexte Article publié le 23 avril 2026 par The Register (Jessica Lyons), relatant le témoignage exclusif de Boris Vujičić, développeur web basé en Serbie, victime d’une arnaque à l’emploi hautement sophistiquée attribuée à des acteurs liés au gouvernement nord-coréen. 🎭 Déroulement de l’attaque L’attaque a débuté par un message LinkedIn d’un faux recruteur prétendant représenter une entreprise blockchain fictive nommée Genusix Labs. L’infrastructure de la campagne comprenait : Un site web d’apparence légitime avec photos de l’équipe dirigeante Un profil LinkedIn cohérent Des interviews Zoom caméra activée avec des personnages convaincants (dont une RH nommée Zam Villalon) Des ingénieurs fictifs correspondant aux photos du site Lors du second entretien technique, les attaquants ont proposé un test de codage en direct via un dépôt GitHub. Après avoir rassuré la victime (« Feel free to look for backdoors »), ils l’ont amenée à exécuter le code. ...

📰 Source : 24heures.ch — Article de presse généraliste publié le 20 avril 2026, rédigé par Aymeric Dejardin-Verkinder. Contexte Une arnaque de type phishing circulant sur WhatsApp a été détectée en Suisse romande et en France. Initialement repérée en octobre 2025 par Kaspersky, elle s’est d’abord propagée en Europe avant d’atteindre la Suisse ces dernières semaines, faisant déjà des victimes selon des témoignages recueillis par la rédaction. Mécanisme d’attaque Le scénario repose sur une ingénierie sociale exploitant la confiance et l’urgence : ...

🗓️ Contexte Post-mortem publié par eth.limo sur X (Twitter) le 18 avril 2026, relatant un détournement DNS (DNS hijack) survenu le 17 avril 2026 à 19h07 EDT, avec une mise à jour complémentaire publiée le 20 avril 2026 après collaboration avec Coinspect. 🎯 Déroulement de l’attaque L’attaquant a compromis le compte EasyDNS d’eth.limo en usurpant l’identité d’un membre de l’équipe auprès du registrar (ingénierie sociale). La chronologie est la suivante : ...

🔍 Contexte Le 16 avril 2026, la Microsoft Defender Security Research Team publie une analyse technique détaillée d’une campagne macOS attribuée à Sapphire Sleet, un acteur étatique nord-coréen actif depuis au moins mars 2020, ciblant principalement le secteur financier, les cryptomonnaies, le capital-risque et les plateformes blockchain. 🎯 Vecteur d’accès initial L’attaque repose sur de l’ingénierie sociale et non sur des vulnérabilités logicielles. L’acteur crée de faux profils de recruteurs sur les réseaux sociaux et professionnels, engage les cibles dans des conversations sur des opportunités d’emploi, puis les dirige vers le téléchargement d’un fichier malveillant nommé Zoom SDK Update.scpt — un AppleScript compilé s’ouvrant dans Script Editor, application Apple de confiance. ...

🗓️ Contexte Source : The Record Media, publié le 10 avril 2026. Drift, une plateforme de cryptomonnaies, a publié un post-mortem complet décrivant une opération de compromission longue de six mois attribuée au groupe nord-coréen UNC4736, également suivi sous les noms AppleJeus et Citrine Sleet. 🎭 Déroulement de l’opération L’opération a débuté environ six mois avant le vol, lorsque des membres d’une société fictive de trading quantitatif ont approché des contributeurs de Drift lors d’une conférence crypto. Ces individus : ...

🎯 Contexte Le 7 avril 2026, l’OpenSSF Siren (mailing list de threat intelligence de l’Open Source Security Foundation) a publié une alerte de haute sévérité concernant une campagne active ciblant les développeurs open source via Slack. L’analyse détaillée a été publiée par Socket le 8 avril 2026. 🕵️ Mécanisme d’attaque L’attaque se déroule en quatre étapes : Usurpation d’identité : l’attaquant se fait passer pour un leader reconnu de la Linux Foundation dans le workspace Slack du TODO Group (groupe de travail Linux Foundation dédié aux OSPO). Phishing : la victime reçoit un message direct avec un lien vers https://sites.google.com/view/workspace-business/join, hébergé sur l’infrastructure légitime Google Sites pour contourner les filtres de sécurité. Collecte de credentials : un faux flux d’authentification récolte l’adresse email et un code de vérification. Livraison de malware : la victime est invitée à installer un faux « certificat Google » (certificat racine malveillant). 💻 Divergence par plateforme macOS : un script télécharge et exécute un binaire nommé gapi depuis l’IP distante 2.26.97.61, pouvant mener à une compromission totale du système. Windows : installation du certificat malveillant via une boîte de dialogue de confiance du navigateur, permettant l’interception du trafic chiffré. 🎣 Leurre utilisé L’attaquant a utilisé le prétexte d’un outil d’IA privé censé analyser les dynamiques de projets open source et prédire les contributions acceptées. Le message insistait sur l’exclusivité de l’accès. Le message contenait l’URL de phishing, une fausse adresse email (cra@nmail.biz) et une clé d’accès (CDRX-NM71E8T). ...