IOC

🔍 Contexte Publié le 19 avril 2026 par Ctrl-Alt-Intel (https://ctrlaltintel.com), cet article constitue une analyse technique approfondie de la plateforme FudCrypt (fudcrypt.net), un service de cryptage de malwares (Cryptor-as-a-Service) accessible par abonnement mensuel entre 800 et 2 000 USD. 🏗️ Architecture et modèle commercial FudCrypt propose trois niveaux d’abonnement : Starter (800$/mois) : 1 build/jour, carriers ProtonVPN/Zoom/SharePoint/CCleaner, persistance basique Pro (1 500$/mois) : 5 builds/jour, carriers supplémentaires, anti-VM Enterprise (2 000$/mois) : builds illimités, bypass UAC, désactivation Defender, anti-debug, anti-VM La base de données récupérée révèle 200 utilisateurs enregistrés, 334 builds, 46 enregistrements de paiement en cryptomonnaies (BTC, USDT, ETH, LTC, XMR) dont 4 confirmés pour un total de 4 820 USD. ...

🌐 Contexte Publié le 21 avril 2026 par Marcus Hutchins sur le blog d’Expel, cet article présente les résultats d’une investigation approfondie sur un groupe APT nord-coréen (DPRK) nouvellement nommé Expel-TA-0001 / HexagonalRodent, actif depuis au moins octobre 2025 et évalué avec haute confiance comme étant un sous-groupe de Famous Chollima (CrowdStrike). 🎯 Ciblage et modus operandi HexagonalRodent cible principalement les développeurs Web3 dans le but de voler des cryptomonnaies et des NFTs. La chaîne d’infection repose sur : ...

🔍 Contexte Publié le 22 avril 2026 par Team Cymru, ce rapport fait suite à une divulgation du chercheur en sécurité crypto ZachXBT, qui a identifié le domaine luckyguys[.]site comme lié à des paiements associés à des faux travailleurs IT nord-coréens (DPRK). L’analyse porte sur 30 jours d’activité réseau autour de cette infrastructure. 🌐 Infrastructure identifiée Le domaine luckyguys[.]site résolvait vers l’IP 163.245.219[.]19 au moment de l’analyse Une seconde IP, 216.158.225[.]144, a été découverte via l’analyse de certificats X509 portant le même nom de domaine Les deux IPs ont montré une chute brutale de trafic après le 8 avril, date de l’exposition publique par ZachXBT, cohérente avec l’abandon rapide d’infrastructure post-attribution 🔒 Patterns VPN observés Les connexions VPN vers l’IP identifiée se répartissent ainsi : ...

🔍 Contexte Publié le 21 avril 2026 par Cisco Talos Intelligence, cet article de recherche documente des techniques Living-Off-The-Land (LOTL) natives à macOS, comblant un manque documentaire significatif par rapport aux équivalents Windows. Il s’adresse aux défenseurs et chercheurs en sécurité opérant dans des environnements macOS d’entreprise. 🎯 Surface d’attaque ciblée macOS représente désormais plus de 45 % des postes en entreprise, notamment chez les développeurs, ingénieurs DevOps et administrateurs systèmes. Ces machines constituent des points de pivot critiques vers des dépôts de code source, des credentials cloud et des clés SSH de production. ...

🔍 Contexte Publié en avril 2026 sur morganrobertson.net, cet article de recherche en sécurité documente une investigation menée entre mars et mai 2025 sur les instances Perforce Helix Core (P4) accessibles publiquement sur Internet. Le chercheur a identifié 6 121 instances contactables présentant des failles critiques liées aux configurations par défaut non sécurisées. 📊 Statistiques d’exposition 72% des serveurs autorisent un accès en lecture aux fichiers internes 21% (1 334 serveurs) permettent un accès en lecture/écriture 4% (223 serveurs) disposent de comptes « super » non sécurisés permettant une compromission complète via injection de commandes (RCE) 32% des serveurs sous licence (268/829) présentent une configuration non sécurisée 🛠️ Misconfigurations identifiées Création automatique de comptes utilisateurs (dm.user.noautocreate non configuré) Listage d’utilisateurs non authentifié — permet l’énumération et le brute-force Comptes sans mot de passe — accès direct en usurpant l’identité d’un utilisateur Auto-définition du mot de passe initial — permet à un attaquant de s’approprier un compte inactif Synchronisation non authentifiée via Remote Depot — l’utilisateur caché remote (activé par défaut jusqu’à la version 2025.1) permet la lecture de tous les fichiers sans authentification si le niveau de sécurité est ≤ 3 💥 Impact et vecteurs d’attaque Exfiltration de code source : dépôts de jeux AAA, logiciels médicaux, bancaires, gouvernementaux, automobiles RCE via triggers P4 : un compte super sans mot de passe permet d’injecter des scripts exécutés côté serveur Mouvement latéral : présence de certificats PEM, clés privées, fichiers .env, configurations Okta/SAML dans des dépôts exposés Attaques supply chain : un seul serveur vendeur exposait le code source de dizaines de clients en aval 🏭 Secteurs impactés Jeux vidéo (AAA, indie), santé/dispositifs médicaux, services financiers (core banking, PoS), gouvernement/défense, automobile (ECU, schémas électriques), éducation, industrie/ICS, Web3/crypto, aérospatiale, VFX/animation. ...

📰 Source : BleepingComputer, article de Sergiu Gatlan, publié le 22 avril 2026. Contexte Microsoft a corrigé la vulnérabilité CVE-2026-32201 dans le cadre du Patch Tuesday d’avril 2026 (14 avril 2026), qui adressait au total 167 vulnérabilités dont deux zero-days. Cette faille affecte les versions on-premises de SharePoint : SharePoint Enterprise Server 2016, SharePoint Server 2019 et SharePoint Server Subscription Edition. Nature de la vulnérabilité Type : Spoofing réseau par validation d’entrée incorrecte (improper input validation) Complexité : Faible, sans interaction utilisateur requise, sans privilèges nécessaires Impact : Confidentialité : lecture de certaines informations sensibles Intégrité : modification des informations divulguées Disponibilité : non affectée Statut : Exploitée en zero-day avant la publication du patch ; exploitation active toujours en cours Exposition et état du patching Selon Shadowserver, au moment de la publication de l’article : ...

🔍 Contexte Publié le 21 avril 2026 par FalconFeeds.io, cet article constitue une analyse de menace détaillée du collectif hacktivist Dark Storm Team, actif depuis le 27 août 2023, dans le cadre du conflit cyber Iran–Israël et de la menace pesant sur les infrastructures critiques du Moyen-Orient. 🎭 Profil de l’acteur Dark Storm Team est un collectif hacktivist pro-palestinien, décentralisé, sans attribution étatique confirmée. Il opère principalement via un canal Telegram (t.me/Dark_StormTeam) comptant 617 abonnés. Le groupe a maintenu un rythme opérationnel soutenu sur 20 mois, ciblant 60 pays et 74 secteurs industriels. Aucune couverture par les grands fournisseurs commerciaux de threat intelligence n’a été identifiée à la date de publication. ...

🔍 Contexte Publié le 20 avril 2026 par Check Point Research, cet article constitue une analyse technique approfondie du programme Ransomware-as-a-Service (RaaS) The Gentlemen, apparu vers mi-2025 et ayant revendiqué plus de 320 victimes, dont 240 en 2026. 🎯 Le programme RaaS The Gentlemen The Gentlemen opère un modèle RaaS classique avec recrutement d’affiliés via des forums underground. Le groupe fournit : Des lockers multi-OS (Windows, Linux, NAS, BSD) écrits en Go Un locker ESXi écrit en C Des outils de kill EDR et une infrastructure de pivot multi-chaîne Un site onion de fuite de données Un compte X/Twitter (@TheGentlemen25) pour pression publique sur les victimes Négociations via Tox ID ou Session ID (P2P chiffré) 🔗 Chaîne d’attaque observée (DFIR) L’attaquant est détecté initialement avec des privilèges Domain Admin sur un contrôleur de domaine. La séquence documentée est : ...

🔍 Contexte Publié le 20 avril 2026 par The Cyber Express, cet article rapporte la publication par Cisco de mises à jour de sécurité corrigeant plusieurs vulnérabilités critiques affectant Cisco Identity Services Engine (ISE), Cisco ISE Passive Identity Connector (ISE-PIC) et Cisco Webex Services. Aucune exploitation active n’a été observée au moment de la divulgation. 🚨 Vulnérabilités Cisco ISE (RCE / Élévation de privilèges) Trois vulnérabilités critiques ont été identifiées dans Cisco ISE et ISE-PIC, toutes liées à une validation insuffisante des entrées utilisateur permettant l’envoi de requêtes HTTP spécialement forgées : ...

🔍 Contexte Publié le 20 avril 2026 par Sergey Puzan sur Securelist (Kaspersky), cet article présente les résultats d’une investigation menée en mars 2026 sur une campagne de vol de cryptomonnaies baptisée FakeWallet, active depuis au moins l’automne 2025. 🎯 Nature de la menace Les attaquants ont publié 26 applications de phishing dans l’App Store Apple, se faisant passer pour des portefeuilles crypto majeurs (MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken, Bitpie). Ces applications exploitent les restrictions régionales chinoises sur les apps crypto pour attirer les victimes, en utilisant des icônes imitant les originaux et des noms avec des fautes de frappe intentionnelles (typosquatting). ...