IOC

🔍 Contexte Publié le 29 mars 2026 par BleepingComputer, cet article rapporte la découverte et la correction d’une vulnérabilité de lecture de fichiers arbitraires dans le plugin WordPress Smart Slider 3, installé sur plus de 800 000 sites web. 🐛 Vulnérabilité CVE : CVE-2026-3098 Sévérité : Moyenne (authentification requise) Versions affectées : toutes les versions jusqu’à 3.5.1.33 incluse Version corrigée : 3.5.1.34 (publiée le 24 mars 2026) Découvreur : Dmitrii Ignatyev, signalement à Wordfence le 23 février 2026 ⚙️ Mécanisme technique La faille réside dans l’absence de vérification de capacités sur les actions AJAX d’export du plugin. La fonction actionExportAll ne valide ni le type de fichier ni la source, permettant d’inclure n’importe quel fichier serveur dans l’archive d’export. ...

🔍 Contexte Publié le 28 mars 2026 par la Nokia Deepfield Emergency Response Team (ERT), ce rapport documente Drifter, un botnet DDoS jusqu’alors inconnu. Il s’inscrit dans une série de recherches sur l’écosystème de botnets exploitant la surface d’attaque ADB (Android Debug Bridge) sur des appareils Android TV non certifiés. 🎯 Vecteur d’infection et cibles Drifter cible les appareils Android TV AOSP bon marché exposant ADB sans authentification, la même population de dispositifs que MossadProxy v2.5.2, Jackskid et Kimwolf. Le dropper installe l’APK sous le nom com.siliconworks.android.update, accorde des permissions runtime, se met en liste blanche de l’optimisation batterie, et se relance toutes les 60 secondes via un BootReceiver (priorité 999). ...

🔍 Contexte Rapport publié par Sekoia Threat Detection & Research (TDR) le 30 mars 2026, initialement distribué en privé le 25 mars 2026. L’analyse porte sur EvilTokens, un nouveau kit de Phishing-as-a-Service (PhaaS) découvert en mars 2026 via la surveillance de communautés cybercriminelles axées sur le phishing. 🎯 Description de la menace EvilTokens est un kit PhaaS clé en main ciblant Microsoft 365 via la technique de device code phishing, exploitant le flux OAuth 2.0 Device Authorization Grant. Contrairement aux plateformes AitM classiques, EvilTokens incite les victimes à entrer un code utilisateur sur la page légitime de Microsoft, permettant à l’attaquant de récupérer des access tokens et refresh tokens valides. ...

🔍 Contexte Source : BleepingComputer, publié le 30 mars 2026. F5 Networks a mis à jour son advisory pour reclassifier CVE-2025-53521, initialement catégorisée comme une vulnérabilité de déni de service (DoS), en exécution de code à distance (RCE) de sévérité critique, suite à de nouvelles informations obtenues en mars 2026. 🎯 Vulnérabilité et impact Produit affecté : F5 BIG-IP APM (Access Policy Manager) CVE : CVE-2025-53521 Type : Remote Code Execution (RCE) sans authentification préalable Condition d’exploitation : BIG-IP APM avec des politiques d’accès configurées sur un serveur virtuel Impact observé : déploiement de webshells sur les équipements vulnérables non patchés Exposition : Shadowserver recense plus de 240 000 instances BIG-IP exposées sur Internet ⚠️ Exploitation active F5 confirme que la vulnérabilité est activement exploitée dans la nature. Des indicateurs de compromission (IOCs) ont été publiés par F5. La CISA a ajouté CVE-2025-53521 à sa liste des vulnérabilités activement exploitées et a ordonné aux agences fédérales américaines de sécuriser leurs systèmes BIG-IP APM avant le 30 mars 2026 à minuit. ...

🔍 Contexte Rapport publié le 27 mars 2026 par StealthMole (blog intelligence), analysant le collectif hacktivist IndoHaxSec, présenté comme une entité indonésienne à motivation pro-palestinienne. L’investigation a été déclenchée par la découverte d’une fuite de données impliquant 514 400 enregistrements de la population et de commerçants sud-coréens. 🎯 Profil du groupe IndoHaxSec se positionne comme un acteur hacktivist politiquement motivé, principalement autour du conflit Israël-Palestine. Le groupe opère sur une infrastructure distribuée couvrant : ...

📋 Contexte : Rapport semestriel publié le 30 mars 2026 par l’Office fédéral de la cybersécurité (OFCS) suisse, couvrant la période juillet–décembre 2025. Premier rapport intégrant à la fois les déclarations volontaires et les 145 déclarations obligatoires issues de la nouvelle loi en vigueur depuis le 1er avril 2025 pour les infrastructures critiques. 📊 Statistiques clés : 29 006 déclarations volontaires reçues au S2 2025 52 % des annonces concernent la fraude 57 incidents ransomware signalés directement (79 au total toutes sources confondues) 73 cas de Business Email Compromise (BEC) au S2 2025 Secteurs les plus touchés par les déclarations obligatoires : secteur public (25 %), IT/télécoms (18 %), finance/assurances (15,7 %) 🦠 Ransomware – menace dominante : ...

🔍 Contexte Publié le 30 mars 2026 par OpenSourceMalware.com, cet article constitue une rétrospective complète de la campagne supply chain orchestrée par TeamPCP en mars 2026. L’attaque a débuté par un incident de moindre ampleur en février 2026 et s’est transformée en la compromission en cascade de cinq écosystèmes majeurs en l’espace de cinq jours. 🎭 Acteur de la menace TeamPCP (alias DeadCatx3, PCPcat, ShellForce) est un groupe à motivation financière, spécialisé dans les environnements cloud-native. Il est lié à l’opération de ransomware CipherForce et entretient des liens de coordination confirmés avec LAPSUS$, selon le CTO de Mandiant Charles Carmakal lors de la RSA Conference. Le groupe est suivi par Aikido Security, Socket, Wiz, Flare et d’autres. ...

🔍 Contexte Publié le 26 mars 2026 par Infoblox Threat Intel en collaboration avec Confiant, cet article constitue le second volet d’une étude de quatre mois portant sur l’abus du tracker publicitaire commercial Keitaro par des acteurs malveillants. Confiant surveille près de 90 milliards d’impressions publicitaires par mois. 🎯 Keitaro comme infrastructure criminelle Keitaro est un outil adtech commercial (tracker, TDS et cloaker en un seul produit) massivement détourné par des cybercriminels. Il leur permet d’externaliser la distribution, le ciblage et le routage des victimes sans construire leur propre infrastructure. Plus de 20% des acteurs malveillants suivis par Confiant ont utilisé Keitaro sur la période, certains générant des dizaines de millions d’impressions. ...

📌 Contexte Le 27 mars 2026, Telnyx publie un avis de sécurité officiel concernant la compromission temporaire de son SDK Python sur PyPI, survenue le 27 mars 2026. Cet incident s’inscrit dans une campagne supply chain multi-semaines ayant également ciblé Trivy (19 mars 2026), LiteLLM (24 mars 2026) et Checkmarx. 🎯 Déroulement de l’incident Deux versions non autorisées du package telnyx ont été publiées sur PyPI : telnyx==4.87.1 : publiée à 03:51:28 UTC le 27 mars 2026 telnyx==4.87.2 : publiée peu après Les deux versions contenaient du code malveillant. Elles ont été mises en quarantaine à 10:13 UTC le même jour, soit environ 6h22 après la première publication. Les deux packages ont depuis été retirés de PyPI. ...

🔍 Contexte Source : Kaspersky Blog (kaspersky.fr), publié le 29 mars 2026. Cet article présente les résultats d’une investigation approfondie menée par Kaspersky sur plusieurs campagnes malveillantes exploitant la popularité des outils d’intelligence artificielle. 🎯 Description de l’attaque Des acteurs malveillants diffusent des infostealers en se faisant passer pour des outils d’IA populaires via des annonces Google Ads sponsorisées. Les leurres utilisés incluent : AI Doubao (application chinoise populaire) OpenClaw (assistant IA viral) Claude Code (assistant de programmation d’Anthropic) Lorsqu’un utilisateur clique sur l’annonce malveillante, il est redirigé vers un faux site de documentation hébergé sur Squarespace (plateforme légitime), ce qui permet de contourner les filtres anti-phishing. ...