IOC

🎯 Contexte Le 26 mai 2026 à 14h00 UTC, CrowdStrike Counter Adversary Operations a publié un rapport détaillant l’opération de démantèlement coordonnée du botnet Glassworm, menée en collaboration avec Google et la Shadowserver Foundation. L’opération a ciblé une infrastructure active depuis au moins début 2025. 🕵️ Acteur et ciblage Les opérateurs de Glassworm sont probablement basés en Russie, sur la base de plusieurs indicateurs convergents : vérification de la locale, de la langue et du fuseau horaire au runtime (sortie silencieuse si machine en pays CEI), et présence de commentaires en langue russe dans le code source. La campagne ciblait spécifiquement les développeurs logiciels, pour leur accès privilégié aux dépôts de code source, pipelines CI/CD, registres de paquets et plateformes cloud. ...

🔍 Contexte Ce document est un Flash FBI (FLASH-20260526-01), publié le 26 mai 2026, coordonné avec DHS/CISA, classifié TLP:CLEAR. Il porte sur les activités récentes du groupe Silent Ransom Group (SRG), également connu sous les alias Luna Moth, Chatty Spider et UNC3753. 🎯 Acteur de menace SRG est actif depuis au moins 2022. Le groupe se spécialise dans le vol de données et l’extorsion sans chiffrement (pas de ransomware traditionnel). Depuis le printemps 2023, il cible de manière persistante les cabinets d’avocats américains, tout en ayant également victimisé des entreprises dans les secteurs de l’assurance, de la finance et de la santé. ...

🔍 Contexte Publié le 20 mai 2026 par Akshat Pradhan (FortiGuard Labs / Fortinet), cet article présente une analyse technique approfondie de compromissions persistantes du botnet P2Pinfect détectées dans des clusters Google Kubernetes Engine (GKE) chez plusieurs clients, dont une compromission s’étendant sur six mois. 🎯 Vecteur initial et propagation Les compromissions ont pour origine des instances Redis exposées et mal configurées. P2Pinfect exploite principalement : Des vulnérabilités Redis (dont CVE-2022-0543, sandbox escape Lua) La commande SLAVEOF pour transformer des nœuds Redis ouverts en followers Un SSH password sprayer basique CVE-2025-11953 (Metro4Shell) : RCE non authentifiée dans le serveur de développement React Native Metro, exploitée à partir de novembre 2025 CVE-2025-49844 (RediShell) : RCE Redis via bypass sandbox Lua, évaluée avec faible confiance comme vecteur potentiel 🛠️ Caractéristiques techniques du malware Écrit en Rust, ciblant Linux x86_64, Windows et routeurs Binaires packés via UPX Architecture peer-to-peer décentralisée résistante au sinkholing Communication sur ports non-standard Distribution de payloads via URI uniformes (/Linux, /Windows, /IP) Argument de lancement encodé en base64, chiffré via ChaCha20 avec clé et nonce nuls (obfuscation décorative) Le blob déchiffré contient une nodelist bootstrap (header 2 octets + enregistrements IP:Port) 📦 Script de déploiement identifié Un nouveau script deployer.sh (MD5: 80676a539765a9e117f20b6b99887eca) a été identifié : ...

🔍 Contexte Fin 2025, Mandiant (Google Threat Intelligence Group) a répondu à un incident de sécurité impliquant un serveur web compromis exécutant KnowledgeDeliver, un système de gestion de l’apprentissage (LMS) développé par Digital Knowledge, largement utilisé au Japon. L’analyse a été publiée le 25 mai 2026. 🎯 Vulnérabilité exploitée La vulnérabilité, désormais suivie sous CVE-2026-5426, résulte de l’utilisation de valeurs machineKey ASP.NET identiques et codées en dur dans le fichier web.config fourni par le vendeur, partagées entre tous les déploiements clients. Cette configuration standardisée permettait à un acteur malveillant ayant obtenu les clés d’un déploiement de compromettre n’importe quelle instance KnowledgeDeliver exposée sur Internet. ...

📰 Source : Hackread.com — Date de publication : 25 mai 2026 Le site de vente en ligne BasedApparel.com, co-créé par le directeur du FBI Kash Patel et Andrew Ollis, a été compromis par des acteurs inconnus pour distribuer un infostealer ciblant macOS via une technique d’ingénierie sociale connue sous le nom de ClickFix. 🎯 Mécanisme de l’attaque Lors de la visite du site, les utilisateurs étaient redirigés vers une fausse page de vérification imitant Cloudflare (faux CAPTCHA « Verify you are human »). La page affichait un avertissement de trafic inhabituel et demandait à l’utilisateur de : ...

🎯 Contexte L’article est publié le 21 mai 2026 par l’équipe SafeDep sur leur blog technique. Il documente une campagne d’attaque massive sur la chaîne d’approvisionnement logicielle, baptisée megalodon, détectée après que le moteur d’analyse Malysis de SafeDep a flagué le package npm @tiledesk/tiledesk-server@2.18.12. 📅 Déroulement de la campagne Le 18 mai 2026, entre 11h36 et 17h48 UTC, un attaquant a poussé 5 718 commits malveillants sur 5 561 dépôts GitHub distincts en utilisant : ...

🌐 Contexte Publié le 22 mai 2026 par Check Point Research, cet article documente les opérations du groupe de menace Nimbus Manticore (également suivi sous le nom UNC1549), affilié aux Gardiens de la Révolution iraniens (IRGC), durant la période de tensions militaires liées à l’Opération Epic Fury (campagne militaire américaine contre l’Iran lancée le 28 février 2026). 🎯 Acteur et ciblage Nimbus Manticore est un acteur sophistiqué ciblant principalement les secteurs défense, aviation et télécommunications. Lors de cette campagne, les cibles incluent des organisations dans les secteurs aviation et développement logiciel en États-Unis, Europe, Moyen-Orient (Arabie Saoudite, Israël, Émirats Arabes Unis) et Australie. ...

🗓️ Contexte Source : HivePro Threat Advisory, publié le 25 mai 2026. Cet article documente l’escalade majeure de la campagne de supply chain du groupe TeamPCP (alias PCPcat, ShellForce, DeadCatx3, CipherForce, Persy_PCP, UNC6780) au cours du mois de mai 2026. 🎯 Acteur de menace TeamPCP est un groupe à motivation financière, actif depuis fin 2025, initialement documenté comme un crew d’exploitation cloud-native ciblant des APIs Docker et clusters Kubernetes exposés. En mars 2026, il a pivoté vers une campagne de supply chain en cascade ciblant Trivy, Checkmarx KICS, LiteLLM, Telnyx et des dizaines de packages npm. ...

🔍 Contexte Source : BleepingComputer, publié le 23 mai 2026. Des firmes de sécurité StepSecurity, Aikido Security et Socket ont alerté simultanément d’une attaque de type supply chain ciblant les packages de localisation Laravel Lang, distribués via le gestionnaire de dépendances PHP Composer. ⚙️ Mécanisme d’attaque Les attaquants n’ont pas modifié le code source des projets, mais ont réécrit les tags Git existants dans quatre dépôts pour les faire pointer vers des commits malveillants hébergés dans un fork contrôlé par l’attaquant. Cette technique exploite une fonctionnalité GitHub permettant aux tags de référencer des commits dans des forks. ...

🗓️ Contexte Publié le 24 mai 2026 sur BleepingComputer, cet article s’appuie sur les recherches de XLab, équipe de threat intelligence de la société chinoise Qianxin, ainsi que sur des travaux antérieurs de SentinelOne (publiés le 27 février 2026). 🎯 Vulnérabilité exploitée CVE-2026-26980 est une injection SQL critique affectant Ghost CMS versions 3.24.0 à 6.19.0. Elle permet à des attaquants non authentifiés de lire des données arbitraires depuis la base de données, notamment les clés API admin. Un correctif a été publié le 19 février 2026 dans la version Ghost CMS 6.19.1, mais de nombreux sites n’ont pas appliqué la mise à jour. ...