IOC

🔍 Contexte Publié le 11 mai 2026 par TrendAI Research (Trend Micro), cet article présente deux campagnes de cyberattaques émergentes exploitant des agents IA agentiques pour automatiser des opérations d’intrusion de bout en bout contre des cibles gouvernementales et financières en Amérique latine. 🎯 Campagne SHADOW-AETHER-040 Active depuis fin 2025, cette campagne a ciblé principalement des entités gouvernementales mexicaines (6 compromises entre le 27 décembre 2025 et le 4 janvier 2026), ainsi que des organisations des secteurs financier, aérien et retail en Amérique latine. ...

🔍 Contexte Publié le 7 mai 2026 par le chercheur Lukas Stefanko d’ESET Research, ce rapport documente la découverte d’une campagne de fraude Android baptisée CallPhantom, identifiée initialement en novembre 2025 via un post Reddit signalant une application suspecte sur Google Play. 📱 Description de la menace 28 applications frauduleuses ont été identifiées sur le Google Play Store, cumulant plus de 7,3 millions de téléchargements avant leur suppression. Ces apps prétendent fournir l’accès aux historiques d’appels, SMS et appels WhatsApp pour n’importe quel numéro de téléphone, en échange d’un paiement. Les données présentées aux victimes sont entièrement fabriquées : numéros générés aléatoirement, noms prédéfinis et horodatages codés en dur dans le code source. ...

🔍 Contexte Le 5 mai 2026, Panther Threat Research publie une analyse détaillée d’une campagne de supply chain attack coordonnée, identifiée fin avril 2026 sur le registre NPM. La campagne a été attribuée avec haute confiance à un acteur indonésien opérant sous l’alias “frank”. 🎯 Campagne et ciblage La campagne comprend 38 paquets NPM malveillants publiés entre le 2026-04-24 et le 2026-04-30 via quatre comptes NPM rotatifs : frengki0707 (getkontakfrank@gmail.com) — 11 paquets raya4321 (npmtpoc@gmail.com) — 12 paquets cketol (ipelapple@gmail.com) — 10 paquets frengki4321 (newtontrid@gmail.com) — 5 paquets Les cibles principales sont les développeurs et infrastructures CI/CD de Apple, Google/GCP, Alibaba/Aliyun, et un groupe générique multi-cibles incluant des environnements Microsoft 365/Azure. ...

🔍 Contexte Cet article est publié le 11 mai 2026 par CrowdSec sur sa plateforme VulnTracking. Il documente l’exploitation active et persistante de CVE-2025-20362, une vulnérabilité de contournement d’authentification affectant les équipements Cisco Adaptive Security Appliance (ASA) et Cisco Firepower Threat Defense (FTD). 🛠️ Description technique de la vulnérabilité CVE-2025-20362 résulte d’une validation incorrecte des entrées utilisateur dans les requêtes HTTP(S) traitées par le serveur web VPN. Elle permet à un attaquant distant non authentifié d’accéder à des endpoints VPN restreints sans credentials valides. ...

🔍 Contexte Rapport d’incident publié le 11 mai 2026 par The DFIR Report, documentant une intrusion observée en avril 2026 et liée à une campagne précédemment rapportée par Atos en mars 2026. La famille de malware EtherRAT avait été initialement découverte par Sysdig en décembre 2025 ciblant des serveurs Linux via CVE-2025-55182 (React2Shell). 🎯 Vecteur d’accès initial Un utilisateur a exécuté un installeur MSI malveillant (RAMMap.msi) se faisant passer pour l’utilitaire Sysinternals RAMMap. Ce MSI a déployé une variante d’EtherRAT qui : ...

🔍 Contexte Publié le 7 mai 2026 par la Push Security Research Team, cet article présente les résultats d’une infiltration directe de panels de phishing criminels actifs, liés aux groupes ShinyHunters (UNC6240) et BlackFile (UNC6671), dans le cadre de campagnes hybrides de vishing et phishing AiTM actives depuis août 2025. 🎯 Campagnes et victimes confirmées Les attaques ciblent des centaines d’organisations dans les secteurs financier, technologique, crypto, santé, hôtellerie et aviation privée. Des violations publiquement confirmées incluent : ...

📅 Contexte : Le 7 mai 2026, Sasha Levin (sashal@kernel.org) a soumis un patch sur la liste de diffusion linux-kernel proposant l’ajout d’un nouveau sous-système nommé killswitch au noyau Linux. 🔧 Mécanisme technique : Le killswitch permet à un opérateur disposant de CAP_SYS_ADMIN de faire retourner à une fonction noyau une valeur fixe sans exécuter son corps, via l’installation d’un kprobe à l’entrée de la fonction cible. La commande s’effectue via l’interface securityfs : ...

🔍 Contexte Publié le 7 mai 2026 par Assaf Morag (Flare), cet article analyse un outil malveillant nommé PamDOORa, dont le code source est mis en vente sur Rehub, un forum cybercriminel russophone, initialement à 1 600 USD puis réduit à 900 USD. 🛠️ Description technique de PamDOORa PamDOORa est un backdoor post-exploitation pour Linux (x86_64) qui s’intègre dans la couche PAM (Pluggable Authentication Module) du système d’exploitation. Ses capacités incluent : ...

🔍 Contexte Publié le 29 avril 2026 par Darktrace (blog Inside the SOC), cet article présente l’analyse technique d’une campagne observée le 18 mars 2026 sur le réseau de honeypots “CloudyPots” de Darktrace. Un acteur malveillant a exploité une instance Jenkins intentionnellement mal configurée pour déployer un botnet DDoS ciblant les serveurs de jeux vidéo. 🎯 Vecteur d’accès initial L’attaquant a abusé de l’endpoint scriptText de Jenkins, qui permet l’exécution de scripts Groovy via la JVM. L’instance honeypot était configurée avec un mot de passe faible, permettant une exécution de code à distance (RCE). Le script malveillant a été envoyé en form-data (URL-encodé) et décodé via CyberChef par les analystes. ...

📰 Source : Cofense Intelligence Blog, publié le 6 mai 2026, par Micah DeHarty (Intelligence Team). Contexte Cofense Intelligence documente une tendance croissante d’abus de la plateforme Vercel, un outil de développement web basé sur l’IA, à des fins de phishing de credentials. L’article s’appuie sur des observations issues de la base de données Active Threat Reports (ATR) de la plateforme ThreatHQ de Cofense. Mécanisme d’abus Vercel intègre un outil GenAI appelé v0[.]dev qui permet de générer des pages web fonctionnelles à partir de simples prompts textuels. Les acteurs malveillants exploitent cette fonctionnalité pour : ...