MaaS

🔍 Contexte Publié le 3 juin 2026 par Check Point Research (auteur : Alexey Bukhteyev), cet article présente une analyse technique approfondie d’un écosystème de distribution de malwares à grande échelle, actif depuis au moins décembre 2025 et documenté avec des livraisons malveillantes confirmées dès janvier 2026. 🎭 Mécanisme d’usurpation et de détournement de clics L’opération repose sur des sites web imitant des projets open-source et freeware populaires (Ghidra, dnSpy, ILSpy, grpcurl, MQTTExplorer, CrystalDiskMark, etc.), bien positionnés dans les résultats Google. Ces sites chargent un script JavaScript hébergé sur Amazon CloudFront qui intercepte le premier clic sur le bouton « Download » et le redirige vers un Traffic Distribution System (TDS). ...

🔍 Contexte Publié le 2 juin 2026 par McAfee Labs (auteur : Aayush Tyagi), cet article présente une analyse technique détaillée de la campagne WeedHack, un service de Malware-as-a-Service (MaaS) ciblant l’écosystème Minecraft, actif depuis janvier 2026. 🎯 Description de la campagne WeedHack se déguise en clients et mods Minecraft légitimes pour infecter ses victimes. La campagne a généré plus de 116 464 hits au total, avec une moyenne de 2 000 à 3 000 hits par jour. Plus de 3 820 fichiers JAR malveillants et 240 URLs de distribution ont été identifiés. ...

📰 Source : secjuice.com — publié le 31 mai 2026. Article de fond destiné aux analystes malware, junior comme senior, abordant la méthodologie et la philosophie de l’analyse de malware. 🎯 Contexte général L’article pose la question centrale : l’analyse de malware se résume-t-elle à la maîtrise d’outils ? La réponse développée est non : le mindset de l’analyste est l’élément différenciateur, les outils n’étant que des facilitateurs. 🛠️ Outils mentionnés L’article cite une liste d’outils courants utilisés en analyse statique et dynamique : ...

🔍 Contexte Analyse publiée le 27 mai 2026 par le KELA Cyber Intelligence Center, portant sur le groupe Infrastructure Destruction Squad (IDS), actif depuis au moins juin 2025 et toujours opérationnel en mai 2026. Le groupe opère principalement via Telegram et le forum PWN Forums. 🎭 Profil du groupe Infrastructure Destruction Squad se présente comme un collectif hacktivist politiquement motivé, mais ses activités révèlent un profil criminel à but lucratif. Le groupe revendique des membres principalement en Chine, ainsi qu’en Russie, Biélorussie et aux États-Unis. Il communique en anglais, russe et chinois, et affiche des positions pro-Chine, anti-États-Unis, anti-Israël, pro-palestiniennes et anti-Inde/pro-Pakistan. ...

🔍 Contexte Publié le 26 mai 2026 par ESET (WeLiveSecurity), cet article présente une analyse technique du malware Android BTMOB, un RAT (Remote Access Trojan) découvert lors d’une revue des détections de menaces au Brésil. L’analyse est signée par Daniel Cunha Barbosa. 🧬 Origine et évolution BTMOB a été décrit pour la première fois en février 2025 et est issu de l’évolution du malware SpySolr. Contrairement aux trojans bancaires classiques, BTMOB offre des capacités plus larges : ...

🔍 Contexte Publié le 21 avril 2026 par ESET Research (Lukas Stefanko), cet article présente la découverte d’une nouvelle variante du malware NGate ciblant des utilisateurs Android au Brésil, active depuis novembre 2025. 🦠 Description du malware Les attaquants ont trojanisé l’application légitime HandyPay (disponible sur Google Play depuis 2021), qui permet nativement de relayer des données NFC entre appareils. Le code malveillant injecté présente des signes d’avoir été généré par GenAI/LLM (présence d’emojis dans les logs, typiques des textes générés par IA). ...

🔍 Contexte Publié le 20 avril 2026 par Euler Neto sur le blog Secplicity de WatchGuard, cet article présente une analyse technique de deux campagnes de phishing identifiées par la télémétrie WatchGuard, toutes deux visant à déployer le malware FormBook sur des systèmes Windows. 🎯 Ciblage géographique Les campagnes ciblent des entreprises situées en : Grèce Espagne Slovénie Bosnie-Herzégovine Amérique latine et centrale Les pièces jointes malveillantes portent des noms liés à des commandes ou paiements, rédigés dans la langue locale des victimes. ...

🔍 Contexte Publié le 13 avril 2026 par l’équipe de recherche de Socket (socket.dev), cet article présente les résultats d’une investigation technique approfondie sur une campagne coordonnée de 108 extensions Chrome malveillantes, toujours actives au moment de la publication. Des demandes de suppression ont été soumises au Chrome Web Store et à Google Safe Browsing. 🎯 Description de la campagne Les 108 extensions sont publiées sous cinq identités d’éditeurs distincts (Yana Project, GameGen, SideGames, Rodeo Games, InterAlt) et totalisent environ 20 000 installations sur le Chrome Web Store. Toutes partagent la même infrastructure C2 hébergée sur cloudapi[.]stream (IP : 144.126.135.238, Contabo GmbH VPS), enregistrée le 30 avril 2022 via Hosting Ukraine LLC. Le serveur exécute un CMS Strapi sur le port 1337 avec une base de données PostgreSQL. ...

🔍 Contexte Rapport technique publié le 6 avril 2026 par JUMPSEC, basé sur l’analyse d’un serveur C2 mal configuré, de 15 échantillons de malware et d’un nouveau payload PE. L’analyse s’inscrit dans la continuité des travaux de Symantec, Check Point, Malwarebytes et Recorded Future sur MuddyWater et CastleRAT. 🎯 Acteurs et relation MuddyWater (alias Seedworm, Mango Sandstorm, TA450, Static Kitten), groupe d’espionnage iranien opérant sous le Ministry of Intelligence and Security (MOIS), est identifié comme client de la plateforme MaaS TAG-150, développée par des cybercriminels russophones. Cette relation est confirmée par trois chaînes de preuves indépendantes. ...

🌐 Contexte Publié le 7 avril 2026 par Lumen Technologies (source : ir.lumen.com), ce rapport annuel « Defender Threatscape 2026 » est produit par Black Lotus Labs, la division de recherche et d’opérations sur les menaces de Lumen. Il s’appuie sur une visibilité backbone couvrant 99% des adresses IPv4 publiques, avec monitoring quotidien de plus de 200 milliards de sessions NetFlow et requêtes DNS, 2,3 millions de menaces uniques et 46 000 C2 suivis chaque jour. ...