IOC

🗓️ Contexte Source : BleepingComputer — publié le 5 avril 2026. Fortinet a publié en urgence un correctif le week-end pour une nouvelle vulnérabilité critique affectant FortiClient Enterprise Management Server (EMS), confirmant son exploitation active dans la nature. 🔍 Détails de la vulnérabilité CVE : CVE-2026-35616 Type : Contrôle d’accès inapproprié (improper access control) — contournement d’authentification et d’autorisation en pré-authentification Impact : Permet à des attaquants non authentifiés d’exécuter du code ou des commandes via des requêtes spécialement forgées Versions affectées : FortiClient EMS 7.4.5 et 7.4.6 Versions non affectées : FortiClient EMS 7.2 Correctif disponible : Hotfix pour les versions 7.4.5 et 7.4.6 ; correction définitive prévue dans FortiClientEMS 7.4.7 🚨 Exploitation La vulnérabilité a été exploitée en zero-day avant sa divulgation à Fortinet. La société de cybersécurité Defused a observé l’exploitation active en début de semaine avant de la signaler à Fortinet via un processus de divulgation responsable. Fortinet crédite également Nguyen Duc Anh pour la découverte. ...

🗓️ Contexte Source : The Record Media, publié le 3 avril 2026. La CISA (Cybersecurity and Infrastructure Security Agency) a ordonné aux agences fédérales américaines de corriger CVE-2026-3502 avant le 16 avril 2026, confirmant l’exploitation active de cette vulnérabilité dans le logiciel de visioconférence TrueConf. 🎯 Campagne TrueChaos Les chercheurs de Check Point Research ont documenté une campagne baptisée TrueChaos, attribuée à des acteurs chinois, active depuis début 2026 et ciblant des entités gouvernementales en Asie du Sud-Est. L’objectif présumé est l’espionnage. ...

🔍 Contexte Publié le 2 avril 2026 par Cisco Talos, cet article détaille une campagne de collecte automatisée de credentials à grande échelle attribuée au cluster de menace UAT-10608. L’analyse repose sur des données collectées à des fins de recherche, incluant l’accès à une instance NEXUS Listener non authentifiée. 🎯 Vecteur d’accès initial UAT-10608 exploite CVE-2025-55182, aussi appelée React2Shell, une vulnérabilité de Remote Code Execution (RCE) pré-authentification affectant les React Server Components (RSC) et les frameworks qui en dépendent, notamment Next.js. La faille réside dans la désérialisation de payloads HTTP sans validation adéquate sur les endpoints Server Function, permettant une exécution de code arbitraire dans le processus Node.js côté serveur. ...

🔍 Contexte Cette analyse technique est publiée par le Halcyon Ransomware Research Center le 2 avril 2026. Elle documente les tactiques, techniques et procédures (TTPs) du groupe Akira, actif depuis mars 2023 en tant qu’opération Ransomware-as-a-Service (RaaS) à motivation financière. 🎯 Profil du groupe Akira Actif depuis mars 2023, avec des liens de code et de transactions crypto vers le syndicat Conti défunt A accumulé environ 244 millions USD de rançons jusqu’en septembre 2025 Cibles : entreprises et infrastructures critiques en Amérique du Nord, Europe et Australie Modèle de double extorsion : exfiltration de données avant chiffrement, publication sur un site dark web en cas de non-paiement ⚡ Rapidité d’exécution Akira est capable de mener l’intégralité du cycle d’attaque — de l’accès initial au chiffrement — en moins d’une heure, et dans la majorité des cas en moins de quatre heures. Cette vitesse a permis de compromettre des centaines de victimes sur les 12 derniers mois. ...

🔍 Contexte Publié le 2 avril 2026 par Takahiro Takeda sur le blog Cisco Talos Intelligence, cet article constitue une analyse technique approfondie du composant msimg32.dll malveillant déployé dans les attaques du ransomware Qilin. Il documente des détails techniques inédits de la chaîne d’infection, notamment les techniques SEH/VEH et la manipulation d’objets noyau. 🎯 Mécanisme d’infection Le fichier msimg32.dll est vraisemblablement chargé par DLL side-loading via une application légitime. Son exécution démarre dès le chargement via la fonction DllMain. La chaîne d’infection se déroule en 4 étapes : ...

🔍 Contexte Publié le 3 avril 2026 par Ctrl-Alt-Intel, cet article constitue la partie 2 d’une analyse d’incident portant sur l’attaque supply chain ciblant BuddyBoss, éditeur de plugins et thèmes WordPress. L’ensemble des preuves provient du serveur C2 de l’attaquant laissé en open directory, contenant logs d’exfiltration, payloads décodés, transcripts Claude Code, templates de backdoors PHP et données de 246+ sites victimes. ⏱️ Kill-chain (17 mars 2026, UTC) L’attaque complète s’est déroulée en 2h54 entre la première exfiltration CI/CD et le premier callback victime : ...

🔍 Contexte Publié le 3 avril 2026 par Ctrl-Alt-Intel (ctrlaltintel.com), cet article de recherche détaille une attaque supply-chain contre l’écosystème WordPress BuddyBoss / Caseproof, découverte indépendamment le 18 mars 2026 par le chercheur @ice_wzl_cyber. L’attaque avait été signalée publiquement pour la première fois par Cybernews le 24 mars 2026. 🎯 Vecteur d’attaque et déroulement L’acteur malveillant, identifié comme francophone, a utilisé Claude Code (Anthropic) comme outil d’assistance tout au long de la chaîne d’attaque : ...

🔍 Contexte Publié le 2 avril 2026 par Censys (auteur : Andrew Northern, Principal Security Researcher), cet article présente une découverte CTI issue d’une méthodologie de chasse technique basée sur l’analyse des corps de réponses HTTP à l’échelle d’Internet. La recherche a permis de surface une campagne ClickFix active livrant XWorm V5.6 via le loader MaaS PhantomVAI. 🎯 Vecteur d’entrée et infrastructure compromise Le point d’entrée est le site d’une entreprise turque de matériel médical, orcanmedikal[.]com[.]tr, dont tous les sous-domaines (naked domain, www, mail) servent une page identique de 1 655 octets intitulée “AntiFraud Authenticator”. Cette page ClickFix invite la victime à cliquer sur un bouton COPY, ce qui copie silencieusement une commande PowerShell encodée dans le presse-papiers via navigator.clipboard.writeText(). ...

🎯 Contexte Article publié le 30 mars 2026 par Sublime Security (Brandon Murphy), dans le cadre de leur série « Attack Spotlight ». Il décrit une campagne de phishing de credentials en cours, usurpant l’identité de Google Careers, détectée sur les environnements Google Workspace et Microsoft 365. 📧 Mécanisme d’attaque La campagne débute par un email imitant un recruteur Google Careers proposant un entretien. Le flux d’attaque est le suivant : ...

🗓️ Contexte Article publié le 30 mars 2026 par Sublime Threat Intelligence & Research, dans le cadre de leur série « Attack Spotlight ». L’article décrit une campagne de phishing par email détectée via Google Workspace, exploitant l’usurpation de la marque Zoom. 🎯 Déroulement de l’attaque L’attaque débute par un email d’invitation Zoom falsifié, dont le style suggère une génération par IA. Le bouton « Start Meeting » redirige vers le domaine malveillant zoom-meeting.yourco-invite[.]live au lieu des domaines officiels Zoom. ...