Les cybercriminels contournent les suppressions de Telegram via des canaux politiques et crypto

🔍 Contexte Publié le 16 juin 2026 par Open Measures, cet article présente une analyse de la persistance des activités cybercriminelles sur Telegram malgré les efforts de modération massifs engagés depuis l’arrestation de Pavel Durov en France en août 2024. 📊 Évolution de la modération Telegram Depuis mai 2024, Telegram a considérablement intensifié sa modération : 43,5 millions de canaux et groupes supprimés en 2025 Les suppressions quotidiennes en 2026 sont environ 4 fois supérieures à la moyenne de mai 2024 Telegram a mis à jour sa politique de confidentialité pour divulguer numéros de téléphone et adresses IP sur ordonnance judiciaire Déclin notable de la modération après le 20 février 2026 🎭 Tactiques d’évasion par période 2024 — Canaux à thème politique américain : Les canaux les plus actifs portaient des noms imitant des mouvements politiques américains (ThePatriotPartyofOH, FreeWestVirginia, PatriotPartyOregon). Ces canaux diffusaient des publicités pour des services cybercriminels (documents frauduleux, identifiants volés). ...

19 juin 2026 · 3 min

Un infostealer expose un agent DPRK derrière l'attaque supply chain Polyfill.io et une infiltration crypto US

🔍 Contexte Publié le 2 avril 2026 par Hudson Rock sur infostealers.com, ce rapport présente une analyse forensique exhaustive d’un endpoint compromis par le stealer LummaC2 (build du 31 juillet 2024), infecté le 6 août 2024. La machine (DESKTOP-OG1CFR5, IP 192.161.60.132, Windows 10 Enterprise) appartenait à un opérateur nord-coréen travaillant pour le syndicat chinois Funnull. 💀 Vecteur d’infection L’opérateur a lui-même téléchargé un faux installateur logiciel hébergé sur MediaFire (@#Full_Istaller_Pc_Setup_2024_PaSSWṏrD^$.zip), contenant le payload LummaC2. L’infection a permis l’exfiltration de 100+ credentials, 7 000+ logs de navigation, accès Cloudflare admin et des milliers de traductions Google internes. ...

2 avril 2026 · 4 min

ClickFix cache du malware dans des PNG via stéganographie pour livrer LummaC2 et Rhadamanthys

Source: Huntress (huntress.com). Contexte: les chercheurs Ben Folland et Anna Pham publient une analyse technique d’une campagne ClickFix multi-étapes observée depuis octobre 2025, où des leurres « Human Verification » et un faux écran « Windows Update » amènent les victimes à exécuter une commande malveillante, débouchant sur le déploiement d’infostealers (LummaC2, Rhadamanthys). • Chaîne d’exécution en 5 étapes 🧩 Étape 1 (mshta.exe): exécution d’un JScript depuis une URL (2e octet de l’IP en hex), qui lance PowerShell en mémoire. Étape 2 (PowerShell): charge et décrypte un assembly .NET (reflective load) après obfuscation/junk code. Étape 3 (loader .NET stéganographique): extrait une image PNG chiffrée AES depuis les ressources, puis récupère le shellcode caché dans les données de pixels (canal R) via un algorithme personnalisé (XOR 114 avec 255 - red), tout en déchiffrant configs/strings (clé AES 909cdc682e43492e, IV 01fe83e20bbe47f2). Étape 4 (injection): compilation dynamique de C# et injection de processus (VirtualAllocEx, CreateProcessA, WriteProcessMemory, CreateRemoteThread, etc.) dans explorer.exe. Étape 5 (Donut): le shellcode est packé Donut et charge la charge finale: LummaC2 (dans les cas initiaux) ou Rhadamanthys (pour le leurre Windows Update). • Leurre et techniques clés 🎭🖼️ ...

25 novembre 2025 · 4 min
Dernière mise à jour le: 3 juillet 2026 📝