IOC

🔍 Contexte Publié le 23 avril 2026 par Maor Dahan (Akamai Security Research), cet article détaille la découverte d’une vulnérabilité résiduelle (CVE-2026-32202) résultant d’un patch incomplet de Microsoft pour CVE-2026-21510, une faille zero-day exploitée par le groupe APT28 (Fancy Bear). 🎯 Campagne initiale APT28 Selon CERT-UA, APT28 a lancé une cyberattaque ciblant l’Ukraine et plusieurs pays de l’UE en décembre 2025. La campagne utilisait un fichier LNK weaponisé exploitant deux vulnérabilités en chaîne : ...

🔍 Contexte Publié le 28 avril 2026 par Check Point Research (CPR), cet article présente une analyse technique approfondie du ransomware VECT 2.0, un service Ransomware-as-a-Service (RaaS) apparu pour la première fois en décembre 2025 sur un forum cybercriminel russophone. CPR a obtenu un accès au panneau d’affiliation et au builder via un compte BreachForums. 🧩 Présentation de VECT VECT est un ransomware écrit en C++, ciblant trois plateformes : Windows, Linux et VMware ESXi. La version 2.0 a été publiée en février 2026. Le groupe a annoncé des partenariats avec : ...

🔍 Contexte En avril 2026, l’équipe Profero IRT a identifié et analysé un backdoor .NET 8 nommé WindowsAudit.exe sur un hôte victime. L’analyse a été publiée le 28 avril 2026 sur le blog de Profero. L’activité a été signalée à la Direction nationale israélienne de la cybersécurité (INCD). La campagne est considérée comme potentiellement en phase de préparation vers une opération ransomware de plus grande envergure. 🧬 Caractéristiques du binaire Nom : WindowsAudit.exe (version interne v1.5.77) Type : RAT modulaire C# (.NET 8), single-file bundle natif Taille : 101 Mo, non signé Date de compilation : 19 mars 2026 Architecture : ~28 000 lignes de code C# avec séparation claire entre dispatch de commandes, transports C2 et modules fonctionnels 📡 Architecture C2 (trois canaux indépendants) Discord (primaire) : bot token hardcodé, gateway intents 33281, polling de deux canaux (tasking + résultats/transferts jusqu’à 25 Mo), reconnexion avec back-off aléatoire 15–30 secondes MQTT (secondaire) : broker HiveMQ Cloud public, port 8883 TLS, topics remoteadmin/commands et remoteadmin/results, client ID format ra-agent-{MachineName}-{short-guid} Telegram (optionnel) : ensemble de commandes réduit (ping, exec, ps, screenshot, etc.) 🔒 Mécanismes de persistance Service Windows WindowsAudit (LocalSystem, démarrage auto, récupération sur échec) Abonnement WMI Exclusion Windows Defender via Add-MpPreference Sauvegarde dans %CommonProgramData%\Microsoft\Windows\WinSAT\WinSATTemp.exe Clés de registre Run : WinSATService et WindowsAuditSvc sous HKCU\...\CurrentVersion\Run Tâche planifiée RemoteAdminEdrCleanup (déclenchée au démarrage en Safe Mode) Mutex : Global\WindowsAuditSingleInstance 🐾 Dropper compagnon : WinSATSvc Un second binaire .NET 8 (WinSATSvc.exe) se fait passer pour le service légitime Windows System Assessment Tool. Il vérifie toutes les 3 minutes si l’agent principal tourne, et si non, récupère des chunks GZip depuis Discord pour reconstituer et relancer WinSATTemp.exe (copie fraîche de l’agent principal). ...

🔍 Contexte Rapport publié le 27 avril 2026 par CrowdSec sur la plateforme VulnTracking, basé sur la télémétrie du réseau CrowdSec. L’article documente le passage de CVE-2026-21643 du stade d’advisory à celui d’exploitation active en environnement réel. 🎯 Vulnérabilité ciblée CVE-2026-21643 est une injection SQL non authentifiée affectant Fortinet FortiClient EMS version 7.4.4, la plateforme de gestion centralisée des endpoints Fortinet. Le score CVSS est de 9.1 (critique). Le vecteur d’attaque repose sur : ...

🗓️ Contexte Publié le 26 avril 2026 sur CyberAccord, cet article rapporte l’escalade de l’opération GlassWorm, une campagne de supply chain ciblant le marketplace Open VSX (alternative open source au VS Code Marketplace). Cette vague fait suite à une première découverte en mars 2026 de 72 extensions malveillantes liées à la même opération. 🎯 Stratégie des extensions dormantes (Sleeper Extensions) Les attaquants publient des extensions initialement inoffensives pour gagner en crédibilité et accumuler des téléchargements avant de les weaponiser via une mise à jour malveillante. Les techniques employées incluent : ...

🔍 Contexte Sophos X-Ops a publié le 24 avril 2026 une analyse technique d’une double attaque de type supply chain survenue le 22 avril 2026, ciblant simultanément deux outils largement utilisés dans les environnements de développement : Checkmarx KICS (scanner de sécurité IaC) et Bitwarden CLI (gestionnaire de mots de passe en ligne de commande). 🎯 Incident 1 : Checkmarx KICS Un attaquant a poussé des artefacts malveillants sur trois canaux de distribution officiels : ...

🎯 Contexte L’article est publié le 25 avril 2026 par StepSecurity, société spécialisée en sécurité de la chaîne d’approvisionnement logicielle. Il documente la compromission du package Python elementary-data (outil de data observability pour dbt) via une attaque de supply chain ciblant l’infrastructure CI/CD du projet. 🔓 Vecteur d’attaque : injection de script GitHub Actions L’attaquant, opérant depuis le compte GitHub realtungtungtungsahur (créé le 22 avril 2026), a exploité une vulnérabilité d’injection de script dans le workflow .github/workflows/update_pylon_issue.yml. Ce workflow interpolait directement ${{ github.event.comment.body }} dans un bloc run:, permettant l’exécution de code arbitraire via un simple commentaire sur la PR #2147. ...

🔍 Contexte Publié le 20 avril 2026 par Netcraft (Harry Freeborough), cet article présente une investigation approfondie sur Fibergrid, un hébergeur bulletproof actif depuis au moins 2018, identifié comme infrastructure centrale d’une criminalité en ligne à grande échelle. 🏗️ Infrastructure et adresses IP volées Netcraft a identifié 16 700 faux shops actifs hébergés sur l’infrastructure liée à Fibergrid. L’une des caractéristiques distinctives de Fibergrid est la possession de trois plages d’adresses IPv4 issues de l’AFRINIC, représentant 1 million d’adresses IP (valeur estimée : 20 à 25 millions USD), obtenues dans le cadre du scandale dit du « Great African IP Address Heist » (2019) impliquant un ex-dirigeant de l’AFRINIC : ...

🔍 Contexte Publié le 23 avril 2026 par Cisco Talos, cet article constitue une analyse technique détaillée d’une campagne active menée par le groupe UAT-4356, précédemment attribué à la campagne étatique ArcaneDoor (début 2024), ciblant les équipements réseau périmètriques à des fins d’espionnage. 🎯 Vecteur d’accès initial UAT-4356 a exploité deux vulnérabilités n-day affectant le système d’exploitation Cisco FXOS (Firepower eXtensible Operating System) : CVE-2025-20333 CVE-2025-20362 Ces vulnérabilités ont permis un accès non autorisé aux équipements Cisco Firepower, ASA et FTD. ...

🔍 Contexte Publié le 23 avril 2026 par Mandiant / Google Threat Intelligence Group (GTIG), cet article documente une campagne d’intrusion multistade attribuée à un nouveau groupe de menace, UNC6692, détectée fin décembre 2025. 🎯 Vecteur initial et chaîne d’infection L’attaque débute par une campagne d’emails massifs destinée à saturer la boîte de réception de la victime, créant un sentiment d’urgence. L’attaquant contacte ensuite la victime via Microsoft Teams, en se faisant passer pour un employé du helpdesk IT, et l’incite à cliquer sur un lien de « patch anti-spam ». ...