IOC

🌐 Contexte Source : Google Threat Intelligence Group (GTIG) / Mandiant, publiée le 31 mars 2026. L’article documente une attaque de chaîne d’approvisionnement logicielle ciblant le package axios, l’un des packages NPM les plus utilisés au monde, attribuée à un acteur lié à la Corée du Nord. 🎯 Acteur et attribution GTIG attribue cette activité à UNC1069, un acteur à motivation financière actif depuis 2018 et lié à la Corée du Nord. L’attribution repose sur : ...

🗓️ Contexte Article publié le 2 avril 2026 par CodeAnt AI, analysant en détail l’attaque supply chain ayant ciblé la bibliothèque JavaScript axios sur le registre npm le 31 mars 2026. Axios est le client HTTP JavaScript le plus utilisé au monde avec plus de 100 millions de téléchargements hebdomadaires. 🔓 Vecteur d’accès initial L’attaquant a obtenu un token npm classique à longue durée de vie appartenant au mainteneur principal (jasonsaayman). Ce type de token ne possède ni expiration, ni MFA, ni vérification de session. Il a permis de publier directement sur le registre sans passer par le mécanisme OIDC Trusted Publisher habituellement utilisé par les releases légitimes d’axios. ...

🌐 Contexte Publié le 2 avril 2026 sur The Cyber Express, cet article fait suite au démantèlement du service proxy résidentiel criminel SocksEscort par le FBI et plusieurs agences internationales. L’enquête a mis en lumière le rôle central du malware AVrecon dans la construction et l’exploitation de cette infrastructure. 🦠 Fonctionnement d’AVrecon AVrecon se propage en scannant Internet à la recherche de dispositifs exposant des services vulnérables. Les vecteurs d’infection incluent : ...

🗓️ Contexte Source : BleepingComputer — Article publié le 2 avril 2026. Shadowserver, organisation à but non lucratif spécialisée dans la surveillance des menaces Internet, a identifié plus de 14 000 instances F5 BIG-IP APM encore exposées à des attaques exploitant une vulnérabilité critique d’exécution de code à distance. 🔍 Vulnérabilité concernée CVE-2025-53521 : faille vieille de 5 mois, initialement divulguée en octobre 2025 comme une vulnérabilité de déni de service (DoS). Reclassifiée en RCE (Remote Code Execution) le week-end précédant la publication, suite à de nouvelles informations obtenues en mars 2026. Exploitable sans privilèges sur des systèmes BIG-IP APM non patchés disposant de politiques d’accès configurées sur un serveur virtuel. F5 a confirmé que la vulnérabilité est activement exploitée dans les versions vulnérables. 📊 Exposition et impact Shadowserver suit plus de 17 100 IPs avec des empreintes BIG-IP APM exposées sur Internet. Plus de 14 000 instances restent vulnérables aux attaques CVE-2025-53521. La CISA a ajouté cette CVE à sa liste des failles activement exploitées et a ordonné aux agences fédérales américaines de sécuriser leurs systèmes BIG-IP APM avant minuit le lundi. 🏢 Contexte éditeur F5 est un géant technologique Fortune 500 fournissant des services de cybersécurité et de livraison d’applications à plus de 23 000 clients, dont 48 entreprises du Fortune 50. Les vulnérabilités BIG-IP ont historiquement été ciblées par des groupes étatiques et cybercriminels pour compromettre des réseaux, déployer des malwares destructeurs et exfiltrer des données. ...

🔍 Contexte Publié le 30 mars 2026 par Check Point Research, ce rapport détaille l’Opération TrueChaos, une campagne d’espionnage ciblée découverte début 2026. L’attaque exploite une vulnérabilité zero-day (CVE-2026-3502, CVSS 7.8) dans le client Windows de TrueConf, une plateforme de vidéoconférence déployée dans des environnements gouvernementaux, de défense et d’infrastructure critique. 🎯 Vecteur d’attaque Les attaquants ont compromis un serveur TrueConf on-premises opéré par une organisation IT gouvernementale, puis ont remplacé une mise à jour légitime du client par une mise à jour malveillante. Le client TrueConf ne vérifiait pas suffisamment l’intégrité ou l’authenticité du paquet de mise à jour avant exécution, permettant ainsi : ...

🔍 Contexte Publié le 2 avril 2026 par watchTowr Labs, cet article détaille la découverte et l’exploitation de deux vulnérabilités critiques dans Progress ShareFile Storage Zone Controller (branche 5.x), un composant on-premises permettant aux entreprises de stocker leurs fichiers sur leur propre infrastructure tout en utilisant l’interface SaaS ShareFile. Environ 30 000 instances sont exposées sur Internet. 🐛 Vulnérabilités identifiées CVE-2026-2699 / WT-2026-0006 : Contournement d’authentification via une faille de type CWE-698 (Execution After Redirect / EAR). La fonction RedirectAndCompleteRequest() appelle Response.Redirect() avec le flag booléen false, ce qui ne termine pas l’exécution de la page. Le contenu de /ConfigService/Admin.aspx est ainsi rendu malgré la redirection 302 vers la page de login. ...

🔍 Contexte Publié le 25 mars 2026 par la CyberProof Research Team (Niranjan Jayanand, Veena Sagar, Karthik Joseph, Archana Manoharan), cet article présente une analyse technique approfondie d’une campagne PXA Stealer observée au Q1 2026, ciblant principalement des institutions financières mondiales. 📈 Contexte de la menace Suite aux démantèlements en 2025 des infostealers majeurs (Lumma, Rhadamanthys, RedLine), PXA Stealer a comblé le vide laissé avec une croissance estimée de 8 à 10%. Cette campagne présente des différences par rapport aux recherches publiques précédentes d’août 2025, notamment via le cluster identifié par le BOT_ID « Verymuchxbot ». ...

🔍 Contexte Rapport publié le 2 avril 2026 par OpenSourceMalware.com, issu d’une investigation débutée le 31 janvier 2026. L’analyse documente une campagne active baptisée TasksJacker, attribuée avec un niveau de confiance MEDIUM-HIGH à des acteurs liés à la Corée du Nord (DPRK). 🎯 Vecteur d’attaque principal Les attaquants injectent des fichiers .vscode/tasks.json malveillants dans des dépôts GitHub compromis. La fonctionnalité "runOn": "folderOpen" de VS Code déclenche automatiquement l’exécution d’une commande shell dès qu’un développeur ouvre le dossier cloné — sans interaction utilisateur supplémentaire. ...

🔍 Contexte Publié le 2 avril 2026 par Hudson Rock sur infostealers.com, ce rapport présente une analyse forensique exhaustive d’un endpoint compromis par le stealer LummaC2 (build du 31 juillet 2024), infecté le 6 août 2024. La machine (DESKTOP-OG1CFR5, IP 192.161.60.132, Windows 10 Enterprise) appartenait à un opérateur nord-coréen travaillant pour le syndicat chinois Funnull. 💀 Vecteur d’infection L’opérateur a lui-même téléchargé un faux installateur logiciel hébergé sur MediaFire (@#Full_Istaller_Pc_Setup_2024_PaSSWṏrD^$.zip), contenant le payload LummaC2. L’infection a permis l’exfiltration de 100+ credentials, 7 000+ logs de navigation, accès Cloudflare admin et des milliers de traductions Google internes. ...

🗞️ Contexte Article publié le 23 mars 2026 par Dr. Christopher Kunz sur Heise Security (heise.de). Il relate une réponse opérationnelle sans précédent des autorités allemandes face à une vulnérabilité zero-day critique affectant les logiciels industriels PTC Windchill et PTC FlexPLM. 🔍 Nature de la vulnérabilité Type : Faille de désérialisation (deserialization vulnerability) Score CVSS : 10 (maximum) CVE assignée : CVE-2026-4681 (attribuée dans la nuit du lundi 23 mars 2026) Impact : Permet une Remote Code Execution (RCE) sur les serveurs Windchill IoC documenté par PTC : présence du fichier GW.class sur les systèmes compromis, indiquant que l’attaquant a « weaponisé » le système avant d’exécuter du code à distance 🚔 Réponse opérationnelle du BKA Le Bundeskriminalamt (BKA) a coordonné une intervention physique nationale : ...