IOC

Selon SentinelOne (billet de blog DFIR), plusieurs incidents début 2026 montrent des FortiGate compromis servant de point d’entrée pour des mouvements latéraux profonds dans Active Directory, avec exploitation de failles SSO corrigées par Fortinet et carences de logs compliquant l’attribution. • Vulnérabilités et accès initial: exploitation de CVE-2025-59718 et CVE-2025-59719 (SSO ne validant pas les signatures cryptographiques) et de CVE-2026-24858 (FortiCloud SSO), permettant un accès administrateur non authentifié. Des acteurs tentent aussi des connexions avec identifiants faibles. Une fois sur l’appliance, l’attaque consiste à extraire la configuration via la commande show full-configuration et à déchiffrer les identifiants AD/LDAP, les fichiers de configuration FortiOS étant chiffrés de façon réversible. Le délai entre compromission périmétrique et action réseau a varié de 2 mois à quasi immédiat. ...

Selon SECTØR (Flare), l’acteur russophone « Snow », actif sur le forum XSS depuis août 2023, vend et opère des outils offensifs visant les entreprises, dont un pipeline distribué de découverte/attaque de VPN et un « Active Directory Dumper v2.0 ». • Profil et activité: « Snow » a publié 526 messages sur XSS, démontre une forte expertise technique (malware, architecture système, pentest, sécurité d’entreprise) et une motivation principalement financière (vente d’outils, contenus techniques pour soigner sa réputation). Les outils et techniques visent des organisations mondiales, particulièrement aux États‑Unis, en Europe et autres économies « Tier‑1 ». ...

Source : monxresearch-sec (GitHub Pages). Contexte : publication technique du 8 mars 2026 documentant la compromission supply-chain d’une extension Chrome « Featured » (ShotBird) transformée en canal de commande/contrôle et en tremplin vers une compromission hôte Windows. Nature de l’attaque : compromission de chaîne d’approvisionnement d’une extension Chrome suivie d’abus en navigateur (injection de fausses mises à jour, capture de formulaires) et pivot vers l’hôte via un faux installeur. L’extension (ID: gengfhhkjekmlejbhmmopegofnoifnjp) aurait changé d’opérateur fin 2025-début 2026, puis a commencé à baliser vers une infra attaquante, exécuter des scripts de tâches distants, supprimer des en-têtes de sécurité, et pousser des scénarios de mise à jour factices. ...

Source: Infoblox (blog Threat Intelligence). Contexte: publication détaillant des campagnes de phishing qui exploitent le TLD .arpa via IPv6 et d’autres tactiques pour contourner les défenses, avec IOCs et schémas techniques. — Les acteurs abusent du TLD .arpa (réservé aux usages d’infrastructure DNS, notamment les reverse DNS en ip6.arpa) en créant, chez certains fournisseurs DNS, des enregistrements A sur des noms de reverse IPv6, ce qui ne devrait pas être possible. En obtenant un espace d’adresses IPv6 (souvent via des tunnels IPv6 gratuits) et la délégation du sous-domaine ip6.arpa correspondant, ils évitent d’ajouter des PTR et créent des A records qui pointent vers du contenu hébergé (souvent derrière l’edge Cloudflare), tirant parti de la confiance implicite accordée au TLD .arpa. ...

Source et contexte : Alerte conjointe publiée par l’Australian Cyber Security Centre (ACSC), le CERT Tonga et le National Cyber Security Centre (NCSC) de Nouvelle‑Zélande, décrivant l’activité du groupe de ransomware INC Ransom et de ses affiliés, leurs cibles en Australie, Nouvelle‑Zélande et États insulaires du Pacifique, et les mesures de mitigation recommandées. INC Ransom, aussi connu sous les noms Tarnished Scorpion et GOLD IONIC, opère en modèle Ransomware‑as‑a‑Service (RaaS) depuis mi‑2023. Les affiliés procèdent à de la double extorsion (vol de données + chiffrement, menace de divulgation via un Data Leak Site sur Tor). Après avoir visé les États‑Unis et le Royaume‑Uni, le groupe se concentre davantage depuis début 2025 sur l’Australie, la Nouvelle‑Zélande et les États insulaires du Pacifique, avec une tendance marquée vers les fournisseurs de santé 🏥. ...

Source : billet de blog de Davi Ottenheimer (8 mars 2026). Contexte : critique d’un « papier suisse » sur la désanonymisation automatisée via LLM et ses implications pour la vie privée. L’auteur résume la thèse de l’étude : les LLM permettraient des attaques de désanonymisation entièrement automatisées sur du texte non structuré, à grande échelle. Il juge la menace « pas nouvelle », renvoyant à Narayanan & Shmatikov (2008, actualisé en 2019) : le coût de l’attaque baisse mais la capacité fondamentale ne change pas. ...

Selon ThreatLabz, un acteur APT présumé lié à l’Iran, nommé Dust Specter, cible des officiels gouvernementaux en Irak avec une campagne utilisant de nouveaux malwares nommés SPLITDROP, TWINTASK, TWINTALK et GHOSTFORM. L’analyse détaille deux chaînes d’attaque observées en conditions réelles, l’une basée sur une architecture scindée (worker + orchestrateur C2) et l’autre consolidée dans un binaire unique. 🧪 Chaîne d’attaque 1 (SPLITDROP → TWINTASK → TWINTALK). Un RAR protégé par mot de passe (« mofa-Network-code.rar ») livre un dropper .NET déguisé en WinRAR (SPLITDROP). Après saisie du mot de passe, SPLITDROP déchiffre une ressource chiffrée en AES‑256‑CBC avec PBKDF2 (HMAC‑SHA1, 10 000 itérations, clé 256 bits), écrit un ZIP puis extrait dans C:\ProgramData\PolGuid\, et exécute un VLC.exe légitime pour déclencher un sideloading de DLL. Le DLL malveillant libvlc.dll (TWINTASK) agit comme module worker : il boucle toutes les 15 s, lit in.txt, décale le premier caractère, décode en Base64, et exécute le script via PowerShell (timeout 600 s), en journalisant vers out.txt. La persistance est ajoutée via HKCU...\Run (clés VLC et WingetUI). Le binaire légitime WingetUI.exe est lancé et sideloade hostfxr.dll (TWINTALK), l’orchestrateur C2. ...

Source: blog d’adnanthekhan (3 mars 2026). Contexte: découverte en décembre 2025 d’une mauvaise configuration GitHub Actions dans le dépôt angular/dev-infra, exploitée pour montrer une escalade via empoisonnement du cache jusqu’à un scénario plausible de compromis de supply chain d’Angular. Google a corrigé la vulnérabilité et indique qu’il n’existe plus de risque pour les utilisateurs d’Angular. – Le point de départ est un workflow “Worklow Testing” déclenché par pull_request_target utilisant la variable ${{ github.head_ref }} dans une commande shell, permettant une injection via le nom de branche. Bien que le GITHUB_TOKEN fût en lecture seule et sans secrets, l’auteur a recherché un pivot via GitHub Actions Cache Poisoning. ...

Source: OX Security (OX Research). Contexte: les chercheurs dévoilent une vulnérabilité critique dans FreeScout convertissant une RCE authentifiée récemment corrigée en RCE non authentifiée et zero‑click, affectant toutes les versions jusqu’à 1.8.206 et corrigée en v1.8.207. 🚨 Vulnérabilité: CVE‑2026‑28289 (Remote Code Execution, non authentifiée, zero‑click, sévérité critique). Un simple email spécialement conçu, envoyé à une adresse gérée par FreeScout, permet l’exécution de code sur le serveur sans authentification ni interaction utilisateur. La faille résulte d’un contournement du correctif précédent (lié à CVE‑2026‑27636) via une faille de validation de nom de fichier. ...

Source et contexte — Sicurezza Nazionale (Relazione annuale 2026 de l’intelligence italienne). Document de référence sur la politique d’information pour la sécurité, il couvre l’année 2025 et propose des scénarios prospectifs. • Menace principale et cibles Espionnage APT de matrice étatique: activité « constante » de groupes hautement spécialisés, recevant orientations et soutien financier d’appareils gouvernementaux étrangers, focalisés sur secteurs stratégiques (notamment aérospatial, infrastructures digitales/ICT) et sur les ministères/administrations centrales. Intérêt accru pour le secteur public, y compris structures sanitaires (vol de identités/identifiants sur postes du personnel, revente sur deep/dark web et réutilisation pour d’autres intrusions). Dans le privé, repli relatif des offensives mais pression persistante sur IT/Télécoms, énergie et banques; exposition particulière des PME prises de manière opportuniste pour étendre l’« anonymisation » des attaquants. • Techniques, infrastructures et impacts ...