IOC

🔍 Contexte Rapport technique publié le 6 avril 2026 par JUMPSEC, basé sur l’analyse d’un serveur C2 mal configuré, de 15 échantillons de malware et d’un nouveau payload PE. L’analyse s’inscrit dans la continuité des travaux de Symantec, Check Point, Malwarebytes et Recorded Future sur MuddyWater et CastleRAT. 🎯 Acteurs et relation MuddyWater (alias Seedworm, Mango Sandstorm, TA450, Static Kitten), groupe d’espionnage iranien opérant sous le Ministry of Intelligence and Security (MOIS), est identifié comme client de la plateforme MaaS TAG-150, développée par des cybercriminels russophones. Cette relation est confirmée par trois chaînes de preuves indépendantes. ...

🌐 Contexte Cet article est une publication de recherche de Proofpoint (Threat Insight), datée du 26 mars 2026, analysant la reprise des activités du groupe de menace TA416 (aligné Chine, aussi connu sous les noms RedDelta, Red Lich, Vertigo Panda, SmugX, DarkPeony) contre des cibles européennes et moyen-orientales. 🎯 Ciblage et contexte géopolitique Depuis mi-2025, TA416 a repris ses campagnes contre les missions diplomatiques et gouvernements européens, notamment ceux accrédités auprès de l’UE et de l’OTAN. Cette reprise coïncide avec le 25e sommet UE-Chine et des tensions accrues autour du commerce, de la guerre Russie-Ukraine et des exportations de terres rares. ...

🔍 Contexte Source : Securelist (Kaspersky), publié le 10 avril 2026. Le site cpuid.com, hébergeant les installateurs des outils d’administration système CPU-Z, HWMonitor, HWMonitor Pro et PerfMonitor 2, a été compromis dans le cadre d’une attaque de type watering hole. 🕐 Chronologie La compromission a eu lieu entre le 9 avril 2026 à 15h00 UTC et le 10 avril 2026 à 10h00 UTC, soit une fenêtre d’attaque de moins de 24 heures. Les URLs de téléchargement légitimes ont été remplacées par des URLs pointant vers quatre sites malveillants. ...

🏛️ Contexte Ce document est un avis conjoint de cybersécurité (AA26-097A) publié le 7 avril 2026 par le FBI, la CISA, la NSA, l’EPA, le DOE et le CNMF. Il alerte sur une campagne active d’exploitation d’automates programmables industriels (PLC) par des acteurs APT affiliés à l’Iran, ciblant des infrastructures critiques américaines. 🎯 Acteurs et attribution Les agences attribuent cette activité à un groupe APT affilié à l’Iran, distinct mais similaire aux CyberAv3ngers (alias Shahid Kaveh Group, Hydro Kitten, Storm-0784, APT Iran, Bauxite, Mr. Soul, Soldiers of Solomon, UNC5691), eux-mêmes affiliés à l’IRGC Cyber Electronic Command (CEC). L’escalade des attaques est probablement liée aux hostilités entre l’Iran, les États-Unis et Israël. ...

🏥 Contexte Publié le 8 avril 2026 par The Register, cet article rapporte la découverte par le chercheur Nick Hatter de plusieurs sous-domaines du namespace scot.nhs.uk compromis et utilisés pour héberger des liens vers du contenu adulte et des streams sportifs illégaux. 🔍 Domaines concernés Domaine compromis (The New Surgery, Kilmacolm) : thenewsurgery-kilmacolm-langbank.scot.nhs.uk — ancien domaine du cabinet, non utilisé depuis au moins 2019 Domaine compromis (Lerwick GP Practice, Shetland) : domaine actuellement en usage par le cabinet, servant des liens illicites Des liens malveillants ont été indexés par Google, certains créés dès janvier 2026 ⚙️ Vecteur d’attaque suspecté Les requêtes dig montrent que les domaines NHS pointent correctement vers WP Engine, suggérant que la compromission est intervenue côté WordPress (CMS). Les hypothèses avancées incluent : ...

📰 Source : Sekoia TDR (blog.sekoia.io) — Date de publication : 7 avril 2026 (rapport FLINT TLP:AMBER distribué le 30 mars 2026) Contexte EvilTokens est un kit de Phishing-as-a-Service (PhaaS) apparu depuis mi-février 2026, spécialisé dans le device code phishing Microsoft et la fraude BEC (Business Email Compromise). Cet article constitue la partie 2 d’une analyse technique approfondie publiée par l’équipe TDR de Sekoia. Fonctionnement du PhaaS Le service est opéré via Telegram par l’administrateur eviltokensadmin, qui propose trois produits : ...

🗓️ Contexte Article publié le 9 avril 2026 par Malwarebytes sur Security Boulevard. Il s’agit d’une analyse technique d’une campagne de distribution de malware via un faux site de support Windows, ciblant principalement les utilisateurs francophones. 🎣 Vecteur d’infection La campagne repose sur le domaine typosquatté microsoft-update[.]support, qui imite une page officielle Microsoft. Le site, rédigé entièrement en français, propose une fausse mise à jour cumulative Windows 24H2 avec un numéro d’article KB plausible. Le fichier distribué est WindowsUpdate 1.0.0.msi (83 Mo), construit avec WiX Toolset 4.0.0.5512, créé le 4 avril 2026, avec des métadonnées usurpant l’identité de Microsoft. ...

📅 Source : Blog officiel d’Objective Development (obdev.at), publié le 8 avril 2026 par Christian. 🔍 Contexte Face aux préoccupations croissantes sur la dépendance aux logiciels contrôlés par des entités étrangères, le développeur de Little Snitch (macOS) a exploré Linux comme alternative. Constatant l’absence d’outil équivalent à Little Snitch sur Linux, il a décidé de le construire. ⚙️ Architecture technique Interception du trafic : eBPF au niveau kernel (haute performance, portable) Backend : écrit en Rust Interface utilisateur : application web (permet la surveillance à distance depuis n’importe quel appareil) Compatibilité : développé sur Ubuntu 25.10 avec kernel 6.17, confirmé fonctionnel sur kernel 6.12+. Compatibilité théorique jusqu’au kernel 5.17 (introduction de bpf_loop()), couvrant Debian 12 et Ubuntu 24.04 LTS. 🔓 Modèle open source ...

🌐 Contexte Publié le 7 avril 2026 par Lumen Technologies (source : ir.lumen.com), ce rapport annuel « Defender Threatscape 2026 » est produit par Black Lotus Labs, la division de recherche et d’opérations sur les menaces de Lumen. Il s’appuie sur une visibilité backbone couvrant 99% des adresses IPv4 publiques, avec monitoring quotidien de plus de 200 milliards de sessions NetFlow et requêtes DNS, 2,3 millions de menaces uniques et 46 000 C2 suivis chaque jour. ...

🏛️ Contexte Le UK National Cyber Security Centre (NCSC) a publié le 7 avril 2026 une alerte détaillant les tactiques, techniques et procédures (TTPs) associées aux opérations de détournement DNS menées par APT28, acteur étatique russe identifié comme l’Unité militaire 26165 du GRU (85e Centre principal de service spécial, GTsSS). 🎯 Nature de l’attaque Depuis 2024 et jusqu’en 2026, APT28 exploite des routeurs SOHO vulnérables pour modifier les paramètres DHCP/DNS et rediriger le trafic vers des serveurs DNS malveillants contrôlés par l’acteur. Cette technique permet des attaques de type adversary-in-the-middle (AitM) visant à collecter : ...