FortiBleed : infrastructure d'un courtier d'accĂšs initial ciblant Fortinet, Synology, Sophos et MSSQL

🔍 Contexte PubliĂ© le 19 juin 2026 par SpyCloud Labs, cet article prĂ©sente une analyse technique approfondie de l’infrastructure opĂ©rationnelle du groupe Ă  l’origine du dataset « FortiBleed », initialement dĂ©couvert par le chercheur Volodymyr « Bob » Diachenko. SpyCloud a obtenu une copie des donnĂ©es et les a analysĂ©es contre son schĂ©ma de brĂšches. 🎯 Nature de la campagne La campagne, active depuis le 19 mai 2026, est opĂ©rĂ©e par un courtier d’accĂšs initial (IAB) russophone utilisant des techniques de mass-scanning et brute-force (spray-and-pray) contre des Ă©quipements exposĂ©s sur Internet : ...

29 juin 2026 Â· 4 min

Backdoor.Mistic : nouveau backdoor furtif lié à l'IAB Woodgnat et aux ransomwares Qilin

🔍 Contexte Rapport publiĂ© le 24 juin 2026 par la Threat Hunter Team de Symantec (Broadcom). L’article documente un nouveau backdoor baptisĂ© Backdoor.Mistic, actif depuis avril 2026, et son association probable avec l’initial access broker (IAB) suivi sous les noms Woodgnat (Symantec) et KongTuke (public). Le backdoor a Ă©galement Ă©tĂ© documentĂ© par Zscaler sous le nom MLTBackdoor. 🎯 Ciblage Le ciblage est opportuniste, couvrant plusieurs secteurs : Assurance Éducation IT Services professionnels D’autres activitĂ©s liĂ©es Ă  ModeloRAT et Node.js ont Ă©tĂ© observĂ©es dĂšs fĂ©vrier 2026 dans d’autres organisations, sans dĂ©ploiement de Mistic. ...

26 juin 2026 Â· 6 min

Edgecution : un broker d'accÚs initial déploie une extension Edge malveillante liée à Payouts King

🔍 Contexte PubliĂ© le 23 juin 2026 par Zscaler ThreatLabz, cet article prĂ©sente une analyse technique approfondie d’une campagne d’attaque attribuĂ©e Ă  un initial access broker (IAB) affiliĂ© au groupe ransomware Payouts King. 🎯 MĂ©canisme d’attaque La campagne repose sur deux vecteurs combinĂ©s : IngĂ©nierie sociale pour l’accĂšs initial Un mĂ©canisme innovant de livraison de malware via une extension malveillante pour Microsoft Edge L’extension abuse du protocole Chrome native messaging pour interagir avec des applications natives de l’hĂŽte, contournant ainsi le sandbox du navigateur. ...

26 juin 2026 Â· 2 min

SOCRadar documente FortiBleed, une campagne d'un IAB russophone ayant compromis plus de 430 000 FortiGate

🔍 Contexte Le 23 juin 2026, SOCRadar Threat Research Unit (STRU) publie un rapport technique dĂ©taillĂ© sur la campagne FortiBleed, une opĂ©ration de collecte massive de credentials ciblant les pare-feux FortiGate Ă  l’échelle mondiale. L’investigation a dĂ©butĂ© suite Ă  un post LinkedIn du chercheur Volodymyr « Bob » Diachenko signalant un rĂ©pertoire exposĂ© Ă  l’adresse http://85.11.187.8:9999. 🎯 Acteur et motivation L’acteur est Ă©valuĂ© comme un Initial Access Broker (IAB) Ă  motivation financiĂšre, avec une origine russe probable (commentaires en cyrillique dans les outils). La compromission d’un contractant de dĂ©fense alignĂ© OTAN soulĂšve Ă©galement l’hypothĂšse d’une collaboration avec des groupes Ă©tatiques russes. La campagne est active depuis au moins fĂ©vrier 2026. ...

23 juin 2026 Â· 10 min

FortiBleed : 75 000 firewalls Fortinet compromis via cluster GPU loué sur Vast.ai

đŸ—“ïž Contexte Article publiĂ© le 21 juin 2026 par Hudson Rock via la plateforme Infostealers. Il s’agit d’une analyse technique approfondie de la campagne FortiBleed, initialement divulguĂ©e par Hudson Rock, portant sur la compromission de 75 000 firewalls Fortinet FortiGate exposĂ©s sur internet, couvrant 21 632 domaines. ⚙ MĂ©canisme d’attaque Les attaquants ont adoptĂ© un pipeline entiĂšrement automatisĂ© et assistĂ© par IA : Collecte : exfiltration de fichiers de configuration chiffrĂ©s depuis des appareils Fortinet exposĂ©s Infrastructure de craquage : location de 36 GPU enterprise (3 instances × 4 GPU + 3 instances × 8 GPU) sur la plateforme Vast.ai, pour un coĂ»t d’environ 14,40 $/heure (~350 $/jour) Orchestration : gestion du cluster via un bot Telegram et le framework open source Hashtopolis DĂ©veloppement : scripts et bots Ă©crits avec l’éditeur de code assistĂ© par IA Cursor Post-exploitation : utilisation de frameworks de pentest agentiques open source pour l’énumĂ©ration Active Directory 🔱 Performances cryptographiques Hachages SHA-256 salĂ©s (legacy Fortinet) : jusqu’à 720 milliards de hachages/seconde → mots de passe complexes Ă©puisĂ©s en quelques minutes PBKDF2 (FortiOS rĂ©cent) : entre 180 et 360 millions de hachages/seconde → attaques par dictionnaire et rĂšgles ciblĂ©es en quelques secondes RĂ©sultat : craquage de ~143 000 hachages Kerberos et ~33 000 hachages NetNTLM ciblant des contrĂŽleurs de domaine internes 🌐 Impact supply chain Les firewalls compromis servent de beachheads pour pivoter latĂ©ralement vers des fournisseurs tiers, MSPs et partenaires de confiance, transformant une compromission pĂ©rimĂ©trique en crise de chaĂźne d’approvisionnement en cascade. ...

21 juin 2026 Â· 3 min

FortiBleed : anatomie d'une campagne industrielle de vol de credentials Fortinet FortiGate

🔍 Contexte Le 20 juin 2026, la sociĂ©tĂ© ZenoX publie une analyse technique approfondie de la campagne FortiBleed, aprĂšs avoir reçu le 19 juin 2026 l’accĂšs Ă  un rĂ©pertoire de travail laissĂ© exposĂ© sur internet par les opĂ©rateurs eux-mĂȘmes. Ce rĂ©pertoire contenait environ 318 fichiers constituant l’intĂ©gralitĂ© de l’infrastructure offensive : outils, scripts, listes de cibles, journaux opĂ©rationnels et donnĂ©es volĂ©es. 🎯 PĂ©rimĂštre de la campagne La campagne FortiBleed est une opĂ©ration de vol de credentials Ă  l’échelle industrielle ciblant les firewalls et concentrateurs SSL-VPN Fortinet FortiGate. Les chiffres clĂ©s : ...

21 juin 2026 Â· 5 min

DriveSurge : un nouvel acteur IAB exploitant ClickFix et FakeUpdates via des milliers de sites compromis

🔍 Contexte PubliĂ© le 30 mai 2026 par Silent Push, cet article de recherche prĂ©sente la dĂ©couverte et l’analyse d’un nouvel acteur de la menace baptisĂ© DriveSurge, opĂ©rant comme Initial Access Broker (IAB) selon un modĂšle Pay-Per-Install (PPI). 🎯 Acteur et mode opĂ©ratoire DriveSurge a compromis des milliers de sites web lĂ©gitimes en y injectant du code JavaScript malveillant. Ces sites redirigent silencieusement les visiteurs via un Traffic Distribution System (TDS) open-source appelĂ© zTDS (version 1.0.3, disponible depuis 2015 sur ztds[.]info). Le TDS profile les visiteurs et leur sert l’une des deux attaques suivantes : ...

1 juin 2026 Â· 5 min

Un ressortissant roumain condamné à 56 mois de prison pour piratage d'agences gouvernementales américaines

📰 Source : The Record Media | Date : 27 mai 2026 Catalin Dragomir, ressortissant roumain de 46 ans, a Ă©tĂ© condamnĂ© Ă  56 mois de prison aprĂšs avoir plaidĂ© coupable Ă  un chef d’usurpation d’identitĂ© aggravĂ©e et un chef d’accĂšs non autorisĂ© Ă  un ordinateur protĂ©gĂ©. Il avait Ă©tĂ© arrĂȘtĂ© en Roumanie en novembre 2024 et extradĂ© vers les États-Unis. 🎯 Cible principale : L’Office of Emergency Management de l’Oregon (agence gouvernementale d’État), ainsi que 10 entreprises amĂ©ricaines supplĂ©mentaires. ...

28 mai 2026 Â· 2 min

DragonForce : analyse du groupe RaaS et de son écosystÚme cybercriminel multicouche

đŸ•”ïž Contexte Source : Analyst1 (https://analyst1.com/threat-actors/dragonforce/), publiĂ©e le 22 mai 2026. L’article prĂ©sente une analyse approfondie du groupe DragonForce, opĂ©ration de ransomware-as-a-service (RaaS) observĂ©e depuis aoĂ»t 2023. 🎯 ModĂšle opĂ©rationnel DragonForce conduit des attaques de double extorsion Ă  l’échelle mondiale, combinant : Chiffrement des donnĂ©es des victimes Exfiltration et publication des donnĂ©es sur un site de fuite dĂ©diĂ© (DLS) Le groupe opĂšre selon un modĂšle affiliĂ© structurĂ© et scalable, avec une organisation de type cartel. ...

25 mai 2026 Â· 2 min

CVE-2024-12802 : exploitation active de SonicWall SSL VPN malgré le patch firmware

🔍 Contexte PubliĂ© le 19 mai 2026 par ReliaQuest Threat Research (auteurs : Alexander Capraro et Tristan Luikey), ce rapport documente des intrusions observĂ©es entre fĂ©vrier et mars 2026 impliquant l’exploitation de CVE-2024-12802, une vulnĂ©rabilitĂ© de contournement d’authentification dans les appliances SonicWall SSL VPN. 🎯 VulnĂ©rabilitĂ© et mĂ©canisme d’exploitation CVE-2024-12802 (CVSS vendeur : 6.5 / CISA : 9.1 Critique) affecte la maniĂšre dont le MFA est appliquĂ© selon le format de login utilisĂ© : ...

21 mai 2026 Â· 4 min
Derniùre mise à jour le: 4 juillet 2026 📝