IOC

🔍 Contexte Source : Profero Threat Intelligence, publiée le 24 mai 2026. L’article documente une opération de sabotage combinée IT/OT menée contre une usine de production alimentaire israélienne, attribuée avec haute confiance à Cyber Isnaad Front, persona opérée par ou aux côtés d’Aria Sepehr Ayandehsazan (ASA), successeur de l’entité sanctionnée Emennet Pasargad, affiliée à l’IRGC. 🎭 Acteur de la menace Cyber Isnaad Front : persona arabophone présentée comme un collectif hacktiviste pro-palestinien, active depuis juin 2025 Opérée par/avec ASA (Aria Sepehr Ayandehsazan), successeur d’Emennet Pasargad (sanctionné par l’OFAC pour ingérence électorale US 2020) Modèle opératoire : hack-and-leak public + destruction silencieuse en arrière-plan Cibles déclarées : sous-traitants défense israéliens, logistique carburant (~5 To), opérateurs télécom (>160 clients data center) 💻 Volet IT : malware GRAT (Go Remote Access Toolkit) GRAT est un binaire Go unique (~10,4 Mo) intégrant 11 sous-systèmes : ...

🗓️ Contexte Source : Ars Technica (Dan Goodin), publié le 29 mai 2026. L’opération a été annoncée par la police néerlandaise et le National Cyber Security Center (NCSC) des Pays-Bas à la suite du signalement d’un chercheur en sécurité. 🎯 Opération de démantèlement Les autorités néerlandaises ont saisi plusieurs serveurs de botnet hébergés aux Pays-Bas auprès d’un fournisseur d’hébergement. Le botnet était composé de : Plus de 17 millions d’appareils compromis 200 serveurs de gestion L’hébergeur a mis le botnet hors ligne en raison de son utilisation à des fins criminelles. ...

🗓️ Contexte Article publié le 25 mai 2026 sur Commsrisk par Eric Priezkalns. Il documente la présence persistante de publicités pour des SMS blasters (fausses stations de base) sur YouTube, avec un cas particulièrement flagrant ciblant les Philippines. 📡 Équipement et canal de distribution Une vidéo intitulée “SMS Auto Blaster”, publiée le 30 octobre 2025 sur la chaîne YouTube “SMS Broadcast Software Free”, fait la promotion de fausses stations de base de fabrication chinoise. La description de la chaîne mentionne explicitement les termes “Pseudo base station” et “sms broadcasting system”. Les liens du profil renvoient vers deux sites en chinois proposant des “Carrier-grade fake base stations”, des “5G fake base station” et des “4G fake base station”. Le profil affiche également un canal Telegram du vendeur. ...

🔍 Contexte Publié le 28 mai 2026 par le chercheur Paul Newton sur son blog de cybersécurité, cet article constitue une analyse technique approfondie de Device Code Lab (DCL), également connu sous le nom AUTHOV, une plateforme de phishing-as-a-service (PhaaS) professionnelle découverte lors d’activités de threat hunting. L’infrastructure initiale a été identifiée sur l’IP 192.3.225.100 avec le titre de panneau « Device Code Lab ». 🎯 Fonctionnement général DCL est une plateforme centralisée de vol de tokens OAuth exploitant le flux d’authentification Device Code Flow de Microsoft. Elle génère des codes de périphérique via l’endpoint /oauth2/v2.0/devicecode, affiche le user_code à la victime via une landing page Cloudflare Workers, puis capture le jeu complet de tokens OAuth (access token ~1h, refresh token ~90 jours) dès que la victime s’authentifie. ...

🔍 Contexte Publié le 24 mai 2026 par OCCRP et ses partenaires médias (Delfi Estonia, Le Monde, Profil, Radio Svoboda, etc.), cet article s’appuie sur une cache de documents internes fuités obtenus par Delfi Estonia. Les fichiers couvrent les opérations de la Social Design Agency (SDA) tout au long de 2025 et incluent des plans pour 2026. 🎯 Acteurs et structure La Social Design Agency (SDA), firme de relations publiques russe, déjà sanctionnée par les États-Unis, le Royaume-Uni et l’UE, est identifiée comme l’opérateur principal. L’administration présidentielle russe supervise et finance les opérations, avec Sofia Zakharova (alias « Kristin Kiler »), cheffe de département communications, comme figure centrale. Sergei Kiriyenko, premier chef de cabinet adjoint de l’administration présidentielle, est référencé comme autorité supérieure (alias « SVK »). Ilya Gambashidze, directeur de la SDA, est mentionné comme opérationnel sous surveillance interne. 🕵️ Opérations documentées Faux drapeaux physiques : ...

🔍 Contexte WithSecure Labs publie le 28 mai 2026 une analyse approfondie d’un groupe de menace nouvellement tracké sous le nom GREYVIBE, actif depuis au moins août 2025 et ciblant principalement l’Ukraine et les entités liées à l’Ukraine dans le contexte du conflit russo-ukrainien. 🎯 Victimologie et ciblage Le groupe cible une population diverse : Entités militaires ukrainiennes (dont des combattants à Kharkiv) Entités gouvernementales (Conseil municipal de Kyiv, Service d’État des communications spéciales) Entités civiles et commerciales Secteur énergie (entreprise énergétique ukrainienne) 📦 Vecteurs d’attaque et campagnes PhantomMail : Spear-phishing par e-mail depuis août 2025, avec archives ZIP/RAR hébergées sur Google Drive et 4sync, contenant des loaders PyInstaller ou JavaScript lançant la chaîne d’infection PhantomRelay. ...

🔍 Contexte Publié le 22 mai 2026 par PolySwarm (The Hivemind), cet article s’appuie sur une analyse de Microsoft pour décrire l’évolution significative du malware Kazuar, associé à l’acteur étatique russe Secret Blizzard (alias Turla, Venomous Bear, Uroburos, Snake). L’analyse couvre des campagnes ciblant l’Europe, l’Asie centrale et l’Ukraine. 🎯 Cibles Les secteurs visés incluent : Gouvernements et ministères des affaires étrangères Organisations diplomatiques et ambassades Secteur de la défense et contractants Institutions de recherche 🧩 Architecture modulaire de Kazuar Kazuar a abandonné sa structure monolithique pour un écosystème modulaire composé de trois types de modules : ...

🔍 Contexte Publié le 29 mai 2026 par Push Security, cet article de recherche documente une campagne active baptisée LLMShare, qui exploite les fonctionnalités de partage de contenu des plateformes d’IA conversationnelle ChatGPT (chatgpt.com) et Claude (claude.ai) pour distribuer des malwares ciblant les utilisateurs macOS et Windows. 🎯 Technique d’attaque Les attaquants exploitent la confiance implicite accordée aux domaines chatgpt.com et claude.ai par les outils de réputation d’URL et les utilisateurs : ...

🗓️ Contexte Article publié le 23 mai 2026 par Hudson Rock sur la plateforme infostealers.com. L’analyse croise les découvertes de OX Security, SafeDep et Datadog Security Labs sur une campagne d’attaque supply chain massive nommée Megalodon. 🎯 Description de l’attaque En l’espace de six heures, des acteurs malveillants ont poussé des milliers de commits vers des dépôts GitHub publics, infectant plus de 5 000 repositories. Le vecteur principal repose sur l’injection de payloads encodés en Base64 directement dans des fichiers de workflow YAML ciblant GitHub Actions. ...

🔍 Contexte Publié le 22 mai 2026 par Unit 42 (Palo Alto Networks), cet article documente les activités récentes du groupe APT à nexus iranien Screening Serpens (alias UNC1549, Smoke Sandstorm, Iranian Dream Job), actif depuis au moins 2022. Les campagnes analysées couvrent la période mi-février à avril 2026, en corrélation avec un conflit régional débuté le 28 février 2026 au Moyen-Orient. 🎯 Ciblage et victimologie Les entités ciblées sont localisées dans : ...