Phishing

🎯 Contexte Publié le 12 juin 2026 par CERT Polska, cet article documente une campagne de phishing active menée par le groupe UNC1151/Ghostwriter, l’un des groupes APT les plus actifs surveillés par l’équipe. La campagne cible les comptes Gmail de citoyens polonais depuis mars 2026, marquant une évolution par rapport aux campagnes précédentes qui visaient les fournisseurs de messagerie polonais (Onet, Wirtualna Polska, Interia). 👥 Victimes ciblées Le groupe cible un spectre très large de victimes : ...

🗓️ Source : CyberProof Research Team (blog CyberProof), publié le 2 juin 2026. Auteur : Yevgeni Pak. Contexte L’équipe de threat hunting de CyberProof a identifié une campagne de phishing multi-étapes usurpant l’identité de PUMA Careers, ciblant des chercheurs d’emploi via des techniques de reconnaissance LinkedIn et d’ingénierie sociale assistée par IA. La détection initiale a été déclenchée par une anomalie comportementale : l’email de phishing s’adressait à la victime avec son identité LinkedIn publique, alors que le compte email utilisait un format de nom différent. ...

🗓️ Contexte Rapport publié le 1er juin 2026 par The Register, basé sur une étude de Check Point Software portant sur les menaces numériques ciblant les élections de mi-mandat américaines de novembre 2026. 📊 Infrastructure de domaines électoraux Entre avril 13 et mai 14 2026, Check Point a recensé : ~1 140 nouveaux domaines contenant le mot « election » ~4 010 nouveaux domaines contenant le mot « vote » Pour comparaison, en janvier 2026, environ 1 300 domaines contenaient « election » et 2 957 contenaient « vote ». ...

🔍 Contexte Publié le 26 mai 2026 par ESET (WeLiveSecurity), cet article présente une analyse technique du malware Android BTMOB, un RAT (Remote Access Trojan) découvert lors d’une revue des détections de menaces au Brésil. L’analyse est signée par Daniel Cunha Barbosa. 🧬 Origine et évolution BTMOB a été décrit pour la première fois en février 2025 et est issu de l’évolution du malware SpySolr. Contrairement aux trojans bancaires classiques, BTMOB offre des capacités plus larges : ...

🗓️ Contexte Article publié le 28 mai 2026 par TechCrunch (Lorenzo Franceschi-Bicchierai). L’information provient de signalements relayés par le journaliste Josh Rogin (Washington Post) et de Mohammed Al-Maskati, directeur de la Digital Security Helpline d’Access Now. 🎯 Nature de l’attaque Une nouvelle campagne de phishing cible les utilisateurs de l’application de messagerie Signal. Les attaquants se font passer pour le support officiel de Signal via un compte nommé « Signal Support » et envoient un message prétextant un problème de synchronisation menaçant la perte permanente des sauvegardes. ...

🌍 Contexte Publié le 27 mai 2026 par Hunt.io, cet article présente les résultats d’une investigation sur une vaste campagne de smishing (phishing par SMS) initialement détectée via un avertissement de sécurité du portail gouvernemental roumain Ghișeul.ro (7 mai 2026). L’enquête a révélé une opération coordonnée à l’échelle mondiale. 📊 Ampleur de la campagne 1 628 URLs malveillantes confirmées actives dans 19 pays (Europe, Amériques, Caucase) 32 adresses IP backend réparties sur 6 régions géographiques Un identifiant de campagne unique de 128 caractères (39dabeddef7c2f0806110b305bd8ca7307c13ac987e7c64fc1d46752868a258958eba99f16413f522a4961dfb09565983 36fc258794664ccc9f71f25e8f688c5) présent dans le HTML de chaque page Infrastructure hébergée sur : Tencent Cloud (15 IPs), Cloudflare CDN (14 IPs), Alibaba Cloud (3 IPs), ALEXHOST Moldova (2 IPs) 🎯 Secteurs et entités ciblés Pays Organisation ciblée URLs Royaume-Uni DPD (livraison) 558 Irlande DPD (livraison) 47 États-Unis T-Mobile, DMV NC/OH 39 Espagne SEUR (postal) 9 Roumanie Ghișeul.ro (gouvernement) 9 Bulgarie MVR (Ministère de l’Intérieur) 10 Slovénie E-uprava (gouvernement) 9 France DAO/ASF (péages) 3 Géorgie TBC Pay (banque/amendes) 5 Albanie Vodafone 1 🔬 Analyse technique Deux templates de phishing distincts : ...

📌 Contexte Source : CERT.at — Publication du 27 mai 2026. Le CERT autrichien publie une alerte concernant une collaboration observée entre la campagne de phishing ZipLine et le groupe Qilin, opérant sous un modèle Ransomware-as-a-Service (RaaS). 🔗 Chaîne d’attaque Le CERT.at indique que Qilin acquiert des accès initiaux (Initial Access) auprès des opérateurs de la campagne ZipLine, puis les réutilise pour ses propres opérations de chiffrement et d’extorsion. Des cas confirmés ont été recensés en Autriche, et un incident en Suisse a également identifié la chaîne ZipLine comme cause racine. ...

🗓️ Contexte Article publié le 25 mai 2026 par Denham Sadler sur Information Age (ACS), relatant les révélations faites lors d’une audition du Sénat australien (Senate Estimates) concernant une compromission de comptes WhatsApp au sein du Parlement fédéral australien. 🎯 Incident Le 6 mars 2026, les comptes WhatsApp d’un parlementaire fédéral et de trois membres de son personnel ont été compromis via une campagne de phishing ciblée. Les comptes concernés étaient des comptes personnels, utilisés à la fois sur des appareils personnels et sur des appareils gérés par le Department of Parliamentary Services (DPS). ...

🌐 Contexte Publié le 26 mai 2026 par Netcraft, cet article de recherche documente les campagnes frauduleuses en cours exploitant la Coupe du Monde FIFA 2026 comme leurre. La majorité de l’infrastructure identifiée est encore en phase de staging, positionnée pour activation à l’approche du tournoi. 🎟️ Fraudes aux billets et hôtels Netcraft a identifié un cluster de domaines homogènes enregistrés le 19 mai 2025, tous suivant la convention de nommage fifaworldcup2026[ville]hotels[.]com, couvrant les villes hôtes (Boston, Dallas, Houston, Los Angeles, Miami, New York, Philadelphia, Seattle, Toronto, Vancouver, Guadalajara, Mexico City, Monterrey). Ces domaines ne servent pas encore de contenu actif mais présentent des indicateurs de staging frauduleux. ...

🗓️ Contexte Article publié le 24 mai 2026 sur le blog personnel de Jai Minton (jaiminton.com), basé sur des observations personnelles et le témoignage d’un tiers (Minh Tran). L’auteur analyse une campagne de phishing ciblant des professionnels tech en période de vagues de licenciements massifs (114 000 employés licenciés dans 150 organisations en 2026 selon layoffs.fyi). 🎯 Mécanisme d’attaque Les acteurs malveillants exploitent LinkedIn pour : Identifier des recruteurs légitimes et les usurper via des comptes Gmail fraîchement créés Scraper les profils publics des victimes pour personnaliser les leurres Utiliser ChatGPT (identifié via les paramètres UTM utm_source=chatgpt dans les liens) pour générer des emails professionnels et convaincants Intégrer des tracking pixels (via le service Blinq) pour détecter l’ouverture des emails Créer de fausses cartes de visite numériques via le service Blinq pour imiter les recruteurs 📧 Indicateurs comportementaux Utilisation caractéristique du tiret cadratin (em dash) dans les emails, signature typique des LLM Branding légitime d’entreprises réelles (dont Palo Alto Networks, signalé dès le 24 mars 2026) Demande de CV comme vecteur de collecte d’informations et d’arnaque financière (prétexte de « correction de CV payante ») Liens vers de vraies offres d’emploi (ex: Goldman Sachs) avec paramètres UTM révélant l’usage de ChatGPT Changement de signature entre emails (Kind regards → Warm regards) et multiplication des opportunités proposées 🏢 Contexte sectoriel La campagne cible principalement les professionnels de la tech en recherche d’emploi. Palo Alto Networks a documenté une campagne similaire d’usurpation de ses propres recruteurs dès le 24 mars 2026. ...