IOC

🔬 Contexte Publié le 7 juin 2026 sur arXiv (arxiv.org/abs/2605.30096), cet article de recherche indépendant (auteur : Galip T. Erdem) présente la première étude empirique à grande échelle mesurant la cohérence comportementale de LLMs utilisés comme agents d’attaque autonomes. L’étude couvre 400 exécutions (4 modèles × 100 runs) contre un honeypot isolé hébergé sur Azure. 🎯 Dispositif expérimental Le honeypot cible expose trois services délibérément vulnérables : Port 3000 : OWASP Juice Shop (injection SQL via /rest/products/search?q=) Port 22 : OpenSSH avec credentials faibles (honeypot:password123) Port 21 : vsftpd avec accès FTP anonyme et fichier credentials.txt Les 4 modèles testés : Claude Sonnet 4 (Anthropic), Gemini 2.5 Flash-Lite (Google), GPT-4o-mini (OpenAI), qwen2.5-coder:14b (local via Ollama). L’orchestrateur implémente une boucle commande-exécution-observation avec un maximum de 25 itérations. ...

🔍 Contexte Publié le 1er juin 2026 par l’équipe Threat Detection & Research (TDR) de Sekoia.io, cet article constitue le premier volet d’une série de trois rapports sur la chaîne d’infection du groupe Gamaredon (alias ACTINUM, Armageddon, UAC-0010, BlueAlpha), un acteur étatique russe officiellement rattaché au FSB. L’investigation a débuté en décembre 2025 via une règle YARA opportuniste, complétée par plus de 70 artefacts fournis par un partenaire de confiance. ...

🔍 Contexte Article publié le 2 juin 2026 par Qualys (blog Qualys Insights), rédigé par Aniket Harne, Senior Security Engineer Cloud. L’article analyse la campagne HazyBeacon (identifiant cluster : CL-STA-1020), initialement documentée par Palo Alto Networks Unit 42 en juillet 2025. 🎯 Acteur et cibles HazyBeacon cible des réseaux gouvernementaux d’Asie du Sud-Est. L’infrastructure de commande et contrôle est déployée dans des comptes AWS appartenant à des tiers non liés (équipes de développement, petites organisations), dont les credentials IAM ont été compromis. ...

📋 Contexte : Publié le 1er juin 2026 par Interisle Consulting Group, ce rapport analyse les enregistrements de domaines gTLD en 2025 à partir de données publiques et commerciales, incluant des Reputation Block Lists (RBL), des données ICANN et des analyses de zone files. 📊 Ampleur du phénomène : Sur les 84,96 millions de domaines gTLD créés en 2025, au moins 8,5 millions (10%) ont été mis sur liste noire pour activité malveillante. En appliquant des projections conservatives intégrant les domaines non détectés par les blocklists et les enregistrements associés, le chiffre réel pourrait atteindre 16,8 millions de domaines (20%) achetés par des acteurs malveillants. En janvier, février et mai 2025, le nombre de domaines malveillants enregistrés a dépassé la croissance nette totale du marché gTLD. ...

🔍 Contexte Publié le 3 juin 2026 par Huntress (mis à jour le 5 juin 2026), cet article est une analyse technique détaillée d’une infection observée en mai 2026 par le SOC Huntress. L’attribution initiale à DesckVB RAT a été corrigée : le malware est désormais identifié comme un loader .NET non identifié. 📧 Vecteur initial : malspam via DoubleClick L’accès initial s’effectue via un email malveillant contenant une pièce jointe HTML (Bestellung_2026.html, « bon de commande » en allemand). Cette pièce jointe effectue une redirection meta-refresh immédiate vers une URL de tracking Google DoubleClick (ad.doubleclick.net/ddm/trackclk/...), exploitant la haute réputation de ce domaine pour contourner les passerelles email. ...

🔍 Contexte Publié le 21 mai 2026 par Trend Micro Research (Philippe Lin, Joseph C Chen, Fyodor Yarochkin, Vladimir Kropotov), cet article documente une opération d’influence et de fraude financière conduite par un acteur solo russophone, tracké sous le pseudonyme bandcampro, sur une période de 5 ans. 🎭 L’opération ‘American Patriot’ L’acteur a créé le canal Telegram @americanpatriotus le 6 février 2021, soit un mois après l’assaut du Capitole, ciblant les communautés QAnon et MAGA en pleine migration vers Telegram. Le canal a atteint environ 17 000 abonnés et s’est étendu à Truth Social via le compte @USGuardianEagle. ...

🗓️ Source : CyberProof Research Team (blog CyberProof), publié le 2 juin 2026. Auteur : Yevgeni Pak. Contexte L’équipe de threat hunting de CyberProof a identifié une campagne de phishing multi-étapes usurpant l’identité de PUMA Careers, ciblant des chercheurs d’emploi via des techniques de reconnaissance LinkedIn et d’ingénierie sociale assistée par IA. La détection initiale a été déclenchée par une anomalie comportementale : l’email de phishing s’adressait à la victime avec son identité LinkedIn publique, alors que le compte email utilisait un format de nom différent. ...

🔍 Contexte Publié le 5 juin 2026 par l’équipe Howler Cell de Cyderes, cet article constitue une analyse technique approfondie d’une campagne active de supply chain compromise. Il fait suite à un premier rapport sur CPUID HWMonitor et étend la portée à 11 packages trojanisés au total. 🎯 Description de la campagne Un acteur opérant sous l’alias Leda Elacoate (email : pufferfish11@firemail[.]cc) a maintenu un dépôt Bitbucket (amos-trading/dist-internal) hébergeant des installateurs légitimes repackagés avec une CRYPTBASE.dll malveillante. La technique exploite la CWE-427 (Uncontrolled Search Path Element) : Windows cherche CRYPTBASE.dll dans le dossier applicatif avant System32, permettant le chargement du DLL malveillant. ...

🗓️ Contexte Source : Cyber Press (cyberpress.org), publié le 5 juin 2026. L’article s’appuie sur des recherches publiées par G DATA Software. Il documente la découverte de plusieurs extensions Chrome malveillantes ciblant les utilisateurs de plateformes d’IA générative. 🎯 Contexte de la menace En mars 2026, l’écosystème des extensions Chrome liées à l’IA comptait environ 115 millions d’utilisateurs. Des acteurs malveillants exploitent la confiance accordée aux outils de productivité IA pour déguiser des stealers en extensions légitimes. Les données ciblées incluent des conversations confidentielles, du code source propriétaire et des informations médicales personnelles. ...

📰 Contexte Publié le 1er juin 2026 par BleepingComputer, cet article rapporte l’alerte émise par le Centre pour la Cybersécurité Belgique (CCB) concernant l’exploitation active dans la nature d’une vulnérabilité critique récemment corrigée dans Windows Netlogon. 🔍 Vulnérabilité CVE-2026-41089 CVE-2026-41089 est un stack-based buffer overflow dans le service Windows Netlogon (interface RPC utilisée pour l’authentification sur les réseaux de domaine Windows). Elle permet à un attaquant non authentifié d’obtenir une exécution de code à distance (RCE) sur des contrôleurs de domaine ciblés. ...