IOC

🗓️ Contexte Publié le 2 juin 2026 sur le blog Calif (blog.calif.io), cet article présente la divulgation publique d’un exploit de déni de service distant baptisé HTTP/2 Bomb, découvert par l’IA Codex de OpenAI. La découverte a été réalisée par Quang Luong, avec confirmation par Jun Rong et Duc Phan. 🎯 Nature de l’attaque L’exploit chaîne deux techniques connues depuis une décennie : HPACK Indexed Reference Bomb : insertion d’un header dans la table dynamique HPACK (RFC 7541), puis émission de milliers de références indexées d’un seul octet. Chaque octet sur le réseau provoque une allocation mémoire côté serveur allant de ~70 octets (nginx, IIS, Pingora) à ~4 000 octets (Apache httpd, Envoy). HTTP/2 Window Stall : annonce d’une fenêtre de contrôle de flux à zéro octet, empêchant le serveur de libérer la mémoire allouée, avec envoi de trames WINDOW_UPDATE d’un octet pour maintenir la connexion ouverte indéfiniment. La nouveauté réside dans la source de l’amplification : contrairement aux bombes classiques qui stockent une grande valeur, ici le header est quasi vide et l’amplification provient du bookkeeping par entrée alloué par le serveur, contournant les limites de taille de header décodé. ...

🗓️ Contexte Publié le 3 juin 2026 sur BleepingComputer, cet article présente une nouvelle technique d’attaque par déni de service (DoS) nommée HTTP/2 Bomb, découverte par l’agent logiciel Codex d’OpenAI sous la direction de chercheurs de la société de sécurité offensive Calif. 🔍 Mécanisme de l’attaque L’attaque combine deux méthodes DoS HTTP/2 préexistantes : Amplification HPACK : un en-tête est inséré dans la table dynamique HPACK et référencé répétitivement via une représentation indexée compacte d’un seul octet. Un octet envoyé par l’attaquant peut provoquer des milliers d’octets d’allocation mémoire côté serveur (ratio jusqu’à 5 700:1 pour Envoy, 4 000:1 pour Apache httpd). Blocage de libération mémoire via flow-control HTTP/2 (style Slowloris) : en annonçant une fenêtre de contrôle de flux à zéro octet, le serveur ne peut jamais finaliser la réponse et continue d’envoyer des trames WINDOW_UPDATE pour éviter les timeouts. La mémoire allouée n’est jamais libérée. Cette combinaison permet à une seule machine sur une connexion 100 Mbps d’épuiser des dizaines de gigaoctets de RAM en quelques secondes. ...

🗓️ Contexte Source : cryptika.com (relayant cybersecuritynews.com), publiée le 4 juin 2026. L’analyse est basée sur les recherches d’Arctic Wolf, qui ont cartographié l’infrastructure complète de l’opération Kali365. 🎣 Description de la menace Kali365 est une plateforme phishing-as-a-service (PhaaS) détectée pour la première fois en avril 2026. Elle exploite le flux d’autorisation de périphérique OAuth 2.0 de Microsoft (device authorization flow) pour contourner le MFA et voler des tokens d’authentification valides sans jamais avoir besoin du mot de passe de la victime. ...

🗓️ Contexte Rapport publié le 1er juin 2026 par The Register, basé sur une étude de Check Point Software portant sur les menaces numériques ciblant les élections de mi-mandat américaines de novembre 2026. 📊 Infrastructure de domaines électoraux Entre avril 13 et mai 14 2026, Check Point a recensé : ~1 140 nouveaux domaines contenant le mot « election » ~4 010 nouveaux domaines contenant le mot « vote » Pour comparaison, en janvier 2026, environ 1 300 domaines contenaient « election » et 2 957 contenaient « vote ». ...

📰 Contexte Source : blog.sucuri.net — Publication du 1er juin 2026. Il s’agit du récapitulatif mensuel de Sucuri listant les vulnérabilités de sécurité découvertes et patchées dans l’écosystème WordPress (plugins et thèmes) au cours du mois de mai 2026. 🔴 Vulnérabilités critiques Trois vulnérabilités sont classées Critical : Advanced Custom Fields: Extended (≤ 0.9.2.5) — Privilege Escalation sans authentification — CVE-2026-8809 — patché en 0.9.2.6 Avada (Fusion) Builder (≤ 3.15.2) — Remote Code Execution sans authentification — CVE-2026-6279 — patché en 3.15.3 Gravity Forms (≤ 2.10.0.1) — Arbitrary File Deletion sans authentification — CVE-2026-48866 — patché en 2.10.1 🟠 Vulnérabilités High sans authentification (sélection) LiteSpeed Cache (≤ 7.7) — XSS — CVE-2026-3375 — 7M+ installations WooCommerce PayPal Payments (≤ 4.0.1) — Broken Access Control — CVE-2026-9284 Forminator Forms (≤ 1.52.1) — Arbitrary File Read — CVE-2026-5192 ManageWP Worker (≤ 4.9.31) — XSS — CVE-2026-3718 Database Backup for WordPress (≤ 2.5.2) — Arbitrary File Read + Broken Access Control (x2) — CVE-2026-4030, CVE-2026-4029, CVE-2026-4031 Kirki (≤ 6.0.6) — Arbitrary File Read — CVE-2026-8073 Post SMTP (≤ 3.6.2) — XSS — CVE-2026-48838 Appointment Booking Calendar (≤ 1.6.11.8) — SQL Injection — CVE-2026-7797 Email Marketing for WooCommerce by Omnisend (≤ 1.18.0) — Broken Authentication — CVE-2026-42668 PixelYourSite Pro (≤ 12.5.0.1) — SSRF — CVE-2026-7049 Avada (Fusion) Builder (≤ 3.15.1) — SQL Injection — CVE-2026-4798 Slider Revolution — Arbitrary File Upload — CVE-2026-6692 Betheme (≤ 28.4) — Remote Code Execution — CVE-2026-6261 Roneous (≤ 2.1.5) — Local File Inclusion sans authentification — CVE-2025-69177 — pas de patch disponible 🟡 Plugins sans patch disponible au moment de la publication Meta for WooCommerce (≤ 3.7.0) — Open Redirect — CVE-2026-49059 Adminimize (≤ 1.11.11) — Broken Access Control — CVE-2026-49045 Duplicate Page and Post (≤ 2.9.5) — SQL Injection — CVE-2026-49046 The Post Grid (≤ 7.9.2) — Broken Access Control — CVE-2026-49054 Roneous (≤ 2.1.5) — Local File Inclusion — CVE-2025-69177 📊 Périmètre global L’article couvre plus de 100 entrées CVE réparties sur des dizaines de plugins et thèmes WordPress, avec des bases d’installation allant de 90 000 à plus de 10 millions (Yoast SEO). Les types de vulnérabilités incluent : XSS, Broken Access Control, SQL Injection, RCE, Privilege Escalation, Arbitrary File Read/Upload/Deletion, IDOR, SSRF, Path Traversal, Local File Inclusion, Information Disclosure, Open Redirect, Broken Authentication, Denial of Service, Content Injection. ...

🔍 Contexte Publié le 5 juin 2026 par Resecurity, ce rapport de threat intelligence détaille l’infrastructure technique du Silent Ransom Group (SRG), également connu sous les alias Luna Moth, Chatty Spider et UNC3753. Le groupe est actif depuis au moins 2022 et se spécialise dans le vol de données et l’extorsion sans chiffrement. 🎯 Cibles et secteurs visés Le SRG cible prioritairement : Cabinets d’avocats (AmLaw 100, au moins 38 firmes compromises) Prestataires de services comptables Secteurs santé, hôtellerie, finance et assurance Les cabinets juridiques représentent près d’un quart des incidents ransomware du Q1 2026, faisant du secteur légal le 4e secteur le plus ciblé. ...

🔍 Contexte Publié le 3 juin 2026 par l’équipe Proofpoint Threat Research, cet article présente une analyse détaillée de TA4922, un acteur cybercriminel sinophone nouvellement désigné, actif depuis le printemps 2025 et dont l’activité s’est fortement intensifiée entre mars et avril 2026. 🎭 Profil de l’acteur TA4922 est évalué comme financièrement motivé, ciblant principalement les organisations en Asie de l’Est (Japon, Taïwan, Corée, Singapour, Inde, Malaisie, Indonésie) avec une expansion récente vers l’Europe (Royaume-Uni, Allemagne, Italie) et l’Afrique du Sud. L’acteur présente des chevauchements d’outillage et d’infrastructure avec les clusters Silver Fox et Void Arachne, mais Proofpoint le suit comme un cluster distinct à orientation cybercriminelle. ...

🔍 Contexte Publié le 5 juin 2026 par Xavier Mertens sur l’Internet Storm Center (ISC/SANS), cet article documente la réapparition d’une technique de dissimulation de payload dans des images JPEG de type fond d’écran MSI, déjà observée quelques mois auparavant. 📧 Vecteur initial L’attaque débute par un e-mail contenant un lien WeTransfer légitime pointant vers un fichier JavaScript nommé “Remittance Advice.js” (SHA256 : 8a83de81fbac4eb0961f3d58982f299664a5fa4c874c7469e69f85f3fc5bd33f). Le fichier dépasse 2 Mo et contient une grande quantité de code inutile (boucles for vides) pour noyer le code malveillant. ...

🔍 Contexte Publié le 2 juin 2026 par la Sophos Counter Threat Unit (CTU), cet article décrit la découverte d’un acteur malveillant utilisant des technologies d’intelligence artificielle pour accélérer le développement de malwares et tester des techniques d’évasion EDR. L’activité a été détectée via l’enregistrement d’un endpoint anormal dans un tenant client, déclenchant des alertes sur des payloads issus du répertoire C:\Users\User\Documents\test. 🧩 Infrastructure et outils découverts Plusieurs fichiers malveillants ont été identifiés dans ce répertoire, révélant un framework d’attaque complet : ...

🔍 Contexte Publié le 2 juin 2026 par McAfee Labs (auteur : Aayush Tyagi), cet article présente une analyse technique détaillée de la campagne WeedHack, un service de Malware-as-a-Service (MaaS) ciblant l’écosystème Minecraft, actif depuis janvier 2026. 🎯 Description de la campagne WeedHack se déguise en clients et mods Minecraft légitimes pour infecter ses victimes. La campagne a généré plus de 116 464 hits au total, avec une moyenne de 2 000 à 3 000 hits par jour. Plus de 3 820 fichiers JAR malveillants et 240 URLs de distribution ont été identifiés. ...