IOC

🌐 Contexte Source : socket.dev, publié le 28 mars 2026. Une campagne de phishing coordonnée et à grande échelle cible les développeurs directement sur la plateforme GitHub, en exploitant la fonctionnalité GitHub Discussions pour diffuser de fausses alertes de sécurité liées à Visual Studio Code. 🎯 Mode opératoire Les attaquants créent des milliers de GitHub Discussions quasi-identiques imitant des avis de sécurité légitimes, avec des titres tels que : “Visual Studio Code – Severe Vulnerability – Immediate Update Required” “Critical Exploit – Urgent Action Needed” Chaque post référence des CVE fabriqués et des plages de versions fictives, et incite les développeurs à télécharger une version “corrigée” via un lien externe. Les publications sont effectuées par des comptes récemment créés ou peu actifs, et taguent massivement des développeurs pour amplifier la portée via le système de notifications email de GitHub. ...

🔍 Contexte Article publié le 27 mars 2026 par Praetorian (blog technique). Il s’agit d’une analyse technique détaillée de la vulnérabilité CVE-2025-33073, portant sur l’exploitation de la délégation Kerberos non contrainte dans les environnements Windows Active Directory. ⚠️ Vulnérabilité analysée CVE-2025-33073 affecte les hôtes Windows membres de domaine ne disposant pas du signature SMB activée. Elle permet à tout utilisateur de domaine disposant d’un accès réseau d’obtenir des privilèges SYSTEM sur un serveur membre non patché, sans nécessiter d’accès administrateur local préalable. ...

🔍 Contexte Publié le 28 mars 2026 par Stefan Dasic sur le blog Malwarebytes, cet article présente la découverte d’un nouvel infostealer macOS initialement nommé NukeChain, puis renommé Infiniti Stealer après la divulgation publique de son panneau de contrôle. Il s’agit, selon les auteurs, de la première campagne macOS documentée combinant la technique ClickFix et un stealer Python compilé avec Nuitka. 🎯 Vecteur d’infection : ClickFix via fausse page CAPTCHA L’infection débute sur le domaine update-check[.]com, qui affiche une réplique de page de vérification humaine Cloudflare. L’utilisateur est invité à : ...

🗓️ Contexte Article publié le 28 mars 2026 par The Record (Recorded Future News). Il rapporte la confirmation par le FBI et le Département de Justice américain d’une intrusion dans le compte email personnel du directeur du FBI Kash Patel, revendiquée par le groupe Handala. 🎯 Incident principal Le groupe Handala, lié au Ministère du Renseignement et de la Sécurité iranien (MOIS), a divulgué des photographies et des emails personnels du directeur du FBI Kash Patel, datant de 2010 et 2019. Le FBI et le Département de Justice ont confirmé l’authenticité des documents. Le FBI précise que les informations sont « historiques » et ne concernent « aucune information gouvernementale ». ...

🔍 Contexte Publié le 28 mars 2026 par Beazley Security Labs en collaboration avec Halcyon, cet article présente une analyse technique approfondie d’une intrusion récente attribuée au groupe Pay2Key, un acteur de menace d’origine iranienne actif depuis 2020. L’analyse couvre à la fois les évolutions techniques du groupe et une chaîne d’attaque complète observée lors d’un incident en Q1 2026 dans une organisation de santé américaine. 🎭 Attribution et contexte géopolitique Pay2Key est suivi sous plusieurs noms : Fox Kitten, Pioneer Kitten, UNC757, Parasite, RUBIDIUM, Lemon Sandstorm. En août 2024, le FBI, la CISA et le DoD Cyber Crime Center ont officiellement attribué le groupe à l’Iran, qualifiant ses opérations d’« information operation » visant les infrastructures américaines et israéliennes. Les paiements de rançon ont historiquement transité par Excoino, une plateforme d’échange de cryptomonnaies iranienne. L’activité du groupe s’intensifie systématiquement lors de tensions géopolitiques impliquant l’Iran. ...

🔍 Contexte Rapid7 Labs publie le 26 mars 2026 un rapport d’investigation approfondi sur une campagne d’espionnage avancée ciblant les réseaux de télécommunications mondiaux. L’acteur identifié est Red Menshen, un groupe à nexus chinois (China-nexus), opérant sur le long terme avec des objectifs d’espionnage stratégique à haute valeur. 🎯 Cibles et objectifs Les cibles principales sont les opérateurs de télécommunications et les réseaux gouvernementaux. L’objectif est de positionner des accès persistants et dormants (« sleeper cells ») au cœur des infrastructures télécoms, permettant : ...

🛡️ Contexte Publié le 26 mars 2026 par The Hacker News, cet article rapporte la publication par Citrix de mises à jour de sécurité pour ses produits NetScaler ADC et NetScaler Gateway. 🔍 Vulnérabilités identifiées Deux vulnérabilités ont été corrigées : CVE-2026-3055 (CVSS : 9.3 — Critique) : Validation insuffisante des entrées entraînant un memory overread, pouvant conduire à une fuite de données sensibles depuis l’application. CVE-2026-4368 (CVSS : 7.7 — Haute) : Condition de course (race condition) — la description complète de l’impact est tronquée dans l’extrait disponible. 🎯 Produits affectés Citrix NetScaler ADC Citrix NetScaler Gateway 📋 Type d’article Il s’agit d’une annonce de patch de sécurité visant à informer les administrateurs et équipes de sécurité de la disponibilité de correctifs pour des vulnérabilités critiques affectant des équipements réseau largement déployés en entreprise. ...

🔍 Contexte En mars 2026, l’équipe Threat Response Unit (TRU) d’eSentire a détecté EtherRAT dans l’environnement d’un client du secteur Retail. Ce backdoor Node.js est lié par Sysdig à un groupe APT nord-coréen via des recoupements avec les TTPs de la campagne “Contagious Interview”. 🎯 Vecteur d’accès initial L’accès initial a été réalisé via ClickFix, exploitant une technique d’exécution indirecte de commandes : pcalua.exe (LOLBin) est utilisé pour exécuter mshta.exe Récupération d’un script HTA malveillant “shep.hta” depuis le site compromis www-flow-submission-management.shepherdsestates.uk Obfuscation de la ligne de commande via le caractère ^ Dans d’autres incidents, TRU observe principalement des arnaques IT Support via Microsoft Teams suivies de l’utilisation de QuickAssist. ...

🔍 Contexte Publié le 17 mars 2026 par Sansec (sansec.io), cet article présente une analyse technique détaillée d’une vulnérabilité critique baptisée PolyShell, affectant Magento Open Source et Adobe Commerce dans toutes leurs versions de production actuelles. 🚨 Vulnérabilité La faille réside dans l’API REST de Magento, au niveau du traitement des options de panier (cart item custom options). Trois contrôles critiques sont absents : Aucune validation de l’ID d’option soumis Aucune vérification du type d’option (file) Aucune restriction sur les extensions de fichier (.php, .phtml, .phar autorisées) La seule validation présente (getimagesizefromstring) est trivialement contournable via des fichiers polyglots (images GIF/PNG contenant du code PHP exécutable). ...

🎯 Contexte Source : Wiz Research, publié le 20 mars 2026. Le 19 mars 2026, des acteurs malveillants se désignant sous le nom TeamPCP ont mené une attaque de supply chain ciblant Aqua Security’s Trivy, un scanner de vulnérabilités open source largement utilisé dans les environnements DevSecOps et CI/CD. 🔍 Déroulement de l’attaque L’attaque s’est déroulée en plusieurs étapes : Commits impersonateurs : TeamPCP a poussé des commits malveillants en usurpant l’identité des utilisateurs rauchg (sur actions/checkout) et DmitriyLewen (sur aquasecurity/trivy). Tag v0.69.4 malveillant : À 17:43:37 UTC, le tag v0.69.4 a été poussé, déclenchant la publication de binaires backdoorés sur GitHub Releases, Docker Hub, GHCR et ECR. Domaine typosquatté : Le code malveillant contactait scan.aquasecurtiy[.]org (résolvant vers 45.148.10.212) pour l’exfiltration. Compromission du compte aqua-bot : L’attaquant a abusé de ce compte pour pousser des workflows malveillants vers tfsec, traceeshark et trivy-action, volant des clés GPG, credentials Docker Hub, Twitter et Slack. Force-push de tags : 75 sur 76 tags de trivy-action et 7 tags de setup-trivy ont été écrasés par des versions malveillantes. Expansion vers npm : Le 22 mars, TeamPCP a étendu ses opérations à l’écosystème npm via un worm nommé CanisterWorm exploitant des tokens de publication volés. Images Docker malveillantes : Les versions 0.69.5 et 0.69.6 de Trivy ont été publiées sur Docker Hub le 22 mars vers 16:00 UTC. 🦠 Comportement du malware Dans les GitHub Actions (trivy-action / setup-trivy) Payload en 3 étapes : ...