IOC

🗓️ Contexte Article publié le 1er juin 2026 par Ilyas Makari sur le blog d’Aikido Security. Il documente la compromission de 96 versions de 32 packages npm appartenant au scope officiel @redhat-cloud-services, détectée le jour même. 🎯 Nature de l’attaque Le vecteur d’intrusion est la compromission d’un compte GitHub d’un employé Red Hat, utilisé pour pousser des commits orphelins malveillants directement dans plusieurs dépôts, contournant toute revue de code. Ces commits contenaient un fichier de workflow (ci.yaml) et un script (_index.js). ...

🎯 Contexte Le 1er juin 2026, l’équipe de recherche de Socket a publié une analyse technique détaillée d’une campagne de compromission de la chaîne d’approvisionnement logicielle ciblant le namespace npm officiel @redhat-cloud-services. L’article est classé comme une publication de recherche avec analyse technique approfondie. 🦠 Nature de l’attaque La campagne, qualifiée de « mini Shai-Hulud », reprend les tactiques fondamentales du framework d’attaque Shai-Hulud rendu open source par le groupe TeamPCP (promu via un concours BreachForums). L’attribution reste incertaine en raison de la disponibilité publique des outils. Au total, 95 versions de packages ont été publiées le 1er juin 2026 entre 10h54 et 14h25 UTC, détectées par Socket entre 11h00 et 15h21 UTC. ...

🗓️ Contexte Source : BleepingComputer, publié le 1er juin 2026. Le Centre pour la Cybersécurité Belgique (CCB), autorité nationale belge en cybersécurité, a émis une alerte le vendredi 30 mai 2026 signalant l’exploitation active dans la nature de la vulnérabilité CVE-2026-41089. 🔍 Détails de la vulnérabilité CVE : CVE-2026-41089 Composant affecté : Windows Netlogon (service RPC d’authentification des domaines Windows) Type : Stack-based buffer overflow permettant une exécution de code à distance (RCE) Prérequis : Aucun privilège requis, aucune authentification préalable nécessaire Vecteur : Envoi d’une requête réseau spécialement forgée vers un contrôleur de domaine Score CVSS 3.1 : 9.8 (Critique) Systèmes impactés : Toutes les versions de Windows Server actuellement supportées, y compris Windows Server 2025 Patch : Publié lors du Patch Tuesday de mai 2026 (12 mai 2026) Découvreur : Windows Attack Research & Protection (WARP), équipe interne Microsoft ⚠️ Exploitation active Le CCB a confirmé via un tweet que CVE-2026-41089 est activement exploité dans la nature. Aucun détail sur les attaquants, les victimes ou les méthodes d’exploitation n’a été fourni. Microsoft n’avait pas encore mis à jour son advisory au moment de la publication de l’article. ...

📰 Source : blog.calif.io — Publication du 1er juin 2026, analyse technique rédigée par Calif Global Inc. en hommage au chercheur Nightmare Eclipse, auteur de l’exploit RedSun. 🔍 Contexte général RedSun est un exploit d’élévation de privilèges locale (LPE) affectant Windows Defender sur tout système Windows avec la protection en temps réel activée. Il est référencé sous CVE-2026-41091 et a été découvert par le chercheur Nightmare Eclipse. ⚙️ Cause racine de la vulnérabilité Lorsque Windows Defender (MsMpEng.exe, s’exécutant en NT AUTHORITY\SYSTEM) détecte un fichier portant un tag de reparse Cloud Files (IO_REPARSE_TAG_CLOUD_*), il ne le met pas en quarantaine ni ne le supprime via le chemin normal. À la place, il réécrit le fichier à son emplacement d’origine. Ce comportement, combiné à la possibilité pour un utilisateur standard de manipuler les chemins via des jonctions NTFS, permet de rediriger cette écriture privilégiée vers C:\Windows\System32. ...

🗓️ Contexte Source : Check Point Blog — publié le 1er juin 2026. Le 22 mai 2026, des enquêteurs néerlandais spécialisés dans la criminalité financière ont saisi environ 800 serveurs dans des datacenters à Dronten et Schiphol-Rijk (Pays-Bas), ciblant le fournisseur d’hébergement WorkTitans B.V. 🏢 WorkTitans : successeur de Stark Industries En mai 2025, l’UE avait sanctionné Stark Industries, un fournisseur d’accès internet lié aux opérations de guerre informationnelle russes. Plutôt que de cesser ses activités, ses opérateurs auraient simplement rebrandé sous le nom WorkTitans, continuant à exploiter la même infrastructure sous une nouvelle identité juridique. ...

📰 Source : secjuice.com — publié le 31 mai 2026. Article de fond destiné aux analystes malware, junior comme senior, abordant la méthodologie et la philosophie de l’analyse de malware. 🎯 Contexte général L’article pose la question centrale : l’analyse de malware se résume-t-elle à la maîtrise d’outils ? La réponse développée est non : le mindset de l’analyste est l’élément différenciateur, les outils n’étant que des facilitateurs. 🛠️ Outils mentionnés L’article cite une liste d’outils courants utilisés en analyse statique et dynamique : ...

🔍 Contexte Publié le 27 mai 2026 par Asim Viladi Oglu Manizada sur son blog personnel, cet article détaille la découverte et l’exploitation d’une vulnérabilité d’élévation de privilèges locale (LPE) baptisée CIFSwitch, affectant le noyau Linux et le paquet cifs-utils. La découverte a été facilitée par l’utilisation d’agents LLM. 🐛 Description de la vulnérabilité La vulnérabilité repose sur une chaîne de bugs logiques à l’intersection du module noyau CIFS et du helper userspace cifs.upcall fourni par cifs-utils : ...

🔍 Contexte CrowdSec publie le 1er juin 2026 une analyse de la vulnérabilité CVE-2026-4020 affectant le plugin WordPress Gravity SMTP développé par RocketGenius. La vulnérabilité a été publiée le 31 mars 2026, la couverture de détection CrowdSec déployée le 22 mai, et la première exploitation in-the-wild observée le 27 mai 2026. ⚙️ Mécanisme technique La faille réside dans un endpoint REST API exposé sans contrôle d’accès approprié. L’endpoint /wp-json/gravitysmtp/v1/tests/mock-data?page=gravitysmtp-settings est accessible sans authentification car la vérification de permission retourne systématiquement true. ...

🗓️ Contexte Source : BleepingComputer, publié le 31 mai 2026. Des acteurs malveillants exploitent activement une vulnérabilité critique dans le plugin WordPress WP Maps Pro, permettant la création de comptes administrateurs sans authentification. 🔍 Vulnérabilité CVE : CVE-2026-8732, sévérité critique Produit affecté : WP Maps Pro versions 6.1.0 et antérieures (plugin premium WordPress, +15 800 ventes sur Envato Market) Découverte : Chercheur en sécurité David Brown, signalée à Wordfence le 24 mars, vendeur notifié le 16 mai Correctif : Version 6.1.1 publiée le 20 mai 2026 ⚙️ Mécanisme d’exploitation La vulnérabilité réside dans une fonctionnalité d’accès temporaire destinée au support vendeur : ...

🔍 Contexte Publié le 30 mai 2026 par Silent Push, cet article de recherche présente la découverte et l’analyse d’un nouvel acteur de la menace baptisé DriveSurge, opérant comme Initial Access Broker (IAB) selon un modèle Pay-Per-Install (PPI). 🎯 Acteur et mode opératoire DriveSurge a compromis des milliers de sites web légitimes en y injectant du code JavaScript malveillant. Ces sites redirigent silencieusement les visiteurs via un Traffic Distribution System (TDS) open-source appelé zTDS (version 1.0.3, disponible depuis 2015 sur ztds[.]info). Le TDS profile les visiteurs et leur sert l’une des deux attaques suivantes : ...