Qilin

📉 208 revendications cette semaine (-45, -17.8% par rapport à S24) Période : 15.06.2026 au 21.06.2026 Analyse Ransomware — Semaine 25 / 2026 (15 – 21 juin 2026) Source : eCrime.ch — Données de revendications publiques Vue d’ensemble La semaine 25 enregistre 208 revendications de rançongiciels, soit une baisse de 45 cas par rapport à la semaine précédente (S24 : 253 revendications), représentant un recul de 17,8 %. Cette diminution fait suite à une semaine S24 marquée par un volume inhabituellement élevé, en grande partie attribuable à l’activité massive du groupe DeadLock (74 revendications à lui seul). Le niveau actuel s’inscrit dans une fourchette plus conforme aux volumes observés sur les semaines antérieures. ...

🎯 Contexte Analyse publiée le 20 juin 2026 par Cyber Press, basée sur des recherches d’ESET, Group-IB et PRODAFT, portant sur la suite EDR killer du groupe Gentlemen, un opérateur de ransomware-as-a-service (RaaS) apparu fin 2025 et classé parmi les cinq groupes ransomware les plus actifs au T1 2026. 👤 Acteurs et structure Le groupe a été fondé par un acteur connu sous le pseudonyme hastalamuerte, ancien affilié de Qilin, avec des liens documentés vers LockBit, Embargo, Medusa et BlackLock. Brian Krebs a publié des éléments d’identification réelle de cet acteur le 10 juin 2026. Le groupe propose à ses affiliés une part de revenus de 90%. ...

🔍 Contexte Publié le 18 juin 2026 par ESET Research (Jakub Souček), cet article présente les résultats d’une investigation de plusieurs mois sur le groupe Gentlemen, un gang ransomware-as-a-service (RaaS) apparu fin 2025 et devenu l’un des plus actifs au premier trimestre 2026. L’analyse a été enrichie par une fuite de données interne du groupe survenue en mai 2026. 🎭 Profil du groupe Gentlemen Fondé par l’alias hastalamuerte (également connu sous zeta88), ancien affilié mécontent de Qilin Membres précédemment affiliés à Qilin, Embargo, LockBit, Medusa et BlackLock Offre une part de 90% aux affiliates Utilise la double extorsion (chiffrement + menace de fuite) Encrypteur Go (Windows, Linux) et variante ESXi en C Victimologie atypique : Asie du Sud-Est, Amérique du Sud, Europe de l’Ouest (pas de focus US) Sélection des victimes basée sur les mauvaises configurations FortiGate 🛠️ Arsenal EDR Killers GentleKiller (outil maison) 8 variantes documentées, chacune abusant d’un driver différent Cible plus de 400 processus mappés à 48 produits de sécurité Déployé dans le répertoire GentlemenCollection Caractéristiques communes : strings cohérentes, terminaison périodique de processus en boucle, obfuscation de code identique Intégration rapide de nouveaux BYOVD PoCs (en quelques jours) Drivers abusés par GentleKiller : eb.sys (rootkit Kaspersky PoC) nseckrnl.sys (NSecsoft NSecKrnl) GameDriverX64.sys (anti-cheat Valorant) stpm_old.sys / stpm_new.sys (Safetica ProcessMonitor) dmx.sys (Zemana WatchDog Antimalware) 360netmon_wfp.sys (Qihoo 360) IMFForceDelete (IObit ForceDelete) G11.sys / PoisonX rootkit Outils tiers intégrés : HexKiller : précédemment associé au gang Warlock, abuse googleApiUtil64.sys (Baidu Antivirus BdApi) ThrottleBlood : observé chez MedusaLocker et DragonForce, abuse ThrottleBlood.sys (TechPowerUp LLC) HavocKiller : divulgué publiquement par Huntress le 19 mars 2026, utilisé dès le 23 janvier 2026, abuse havoc.sys (Huawei Audio driver) 🛡️ Stratégie d’évasion défensive Protection binaire avancée : Enigma ou Themida Usurpation d’identité de vendors de sécurité (noms de fichiers, version info, icônes, certificats copiés invalides) Suffixes de nommage standardisés : 1 (Enigma), 2 (Themida), Light (aucun packer), Clear (aucune protection) 🔑 OxideHarvest (credential stealer) Écrit en Rust, attribué à l’affilié quant (outil nommé buildx641) Vole les credentials de navigateurs Chromium et Gecko Paramètres CLI : -i (hosts), -u (username), -p (password), -t (threads), -o (output) Emballé dans différents packers avec usurpation d’identité similaire 📋 Type d’article Publication de recherche technique par ESET Research, visant à fournir des insights exploitables sur les TTPs, IoCs et le framework EDR killer du groupe Gentlemen pour les équipes CTI et défensives. ...

📈 253 revendications cette semaine (+103, +68.7% par rapport à S23) Période : 08.06.2026 au 14.06.2026 Analyse Ransomware — Semaine 24 2026 (08.06 – 14.06.2026) Source : eCrime.ch — Données basées sur les revendications publiques des groupes de rançongiciels Vue d’ensemble La semaine 24 2026 enregistre 253 revendications de rançongiciels, soit une hausse de +103 revendications (+68,7 %) par rapport à la semaine précédente (150 revendications). Il s’agit d’une augmentation particulièrement marquée sur une seule semaine, portée en grande partie par l’activité d’un groupe dont le volume de revendications dépasse nettement tous les autres acteurs observés. ...

🔍 Contexte Publié le 8 juin 2026 sur le blog officiel de Check Point, cet article annonce la découverte et l’exploitation active d’une vulnérabilité critique affectant les produits VPN de l’éditeur. 🚨 Vulnérabilité identifiée CVE-2026-50751 est une vulnérabilité de contournement d’authentification (authentication bypass) de sévérité critique. Elle affecte les déploiements Check Point Remote Access VPN et Mobile Access configurés pour utiliser le protocole d’échange de clés IKEv1 (déprécié). Le défaut repose sur une faille logique dans la validation des certificats, permettant à un attaquant d’établir une session VPN sans posséder de mot de passe valide, contournant ainsi entièrement les mécanismes d’authentification. ...

🔍 Contexte Le 12 juin 2026, watchTowr Labs publie une analyse technique approfondie de CVE-2026-50751, une vulnérabilité de bypass d’authentification (CVSS 9.3) affectant les produits Check Point Remote Access VPN, Mobile Access et Spark Firewall. Check Point a publié des hotfixes le 8 juin 2026. La vulnérabilité est inscrite au CISA KEV et a été exploitée in the wild. 🎯 Produits affectés Les versions Gaia suivantes sont concernées : R80.20.X, R80.40, R81, R81.10, R81.10.X, R81.20, R82, R82.00.X, R82.10 Les versions en fin de support ne reçoivent aucun hotfix. ...

🔍 Contexte Le 8 juin 2026, Check Point Research publie un avis de sécurité urgent sur son blog officiel concernant l’exploitation active de CVE-2026-50751, une vulnérabilité critique affectant ses solutions Remote Access VPN et Mobile Access configurées avec le protocole IKEv1 (déprécié). 🚨 Vulnérabilités identifiées Deux CVE sont documentées dans cet avis : CVE-2026-50751 (CVSS 9.3) : Bypass d’authentification exploitant une faille logique dans la validation des certificats IKEv1. Un attaquant peut établir une session VPN sans mot de passe valide. Exploitation active confirmée dans la nature. CVE-2026-50752 (CVSS 7.4) : Condition dans la logique de validation des certificats IKEv1 permettant une attaque man-in-the-middle sur les connexions VPN site-à-site. Aucune exploitation observée à ce jour. Découverte via la plateforme interne BLAST (agentic AI code security). Produits affectés : SSL VPN / Remote Access VPN, Mobile Access, Security Gateways, Spark Firewall ...

📉 150 revendications cette semaine (-17, -10.2% par rapport à S22) Période : 01.06.2026 au 07.06.2026 Analyse Ransomware — Semaine 23 (01.06.2026 – 07.06.2026) Source : eCrime.ch — Données agrégées, aucune victime individuelle n’est identifiée. Vue d’ensemble La semaine 23 enregistre 150 revendications d’attaques par rançongiciel, soit une baisse de 17 revendications par rapport à la semaine précédente (167 revendications en S22), représentant un recul de 10,2 %. Cette diminution s’inscrit dans un contexte où le volume global reste néanmoins élevé, avec une moyenne supérieure à 20 revendications par jour. ...

📌 Contexte Source : CERT.at — Publication du 27 mai 2026. Le CERT autrichien publie une alerte concernant une collaboration observée entre la campagne de phishing ZipLine et le groupe Qilin, opérant sous un modèle Ransomware-as-a-Service (RaaS). 🔗 Chaîne d’attaque Le CERT.at indique que Qilin acquiert des accès initiaux (Initial Access) auprès des opérateurs de la campagne ZipLine, puis les réutilise pour ses propres opérations de chiffrement et d’extorsion. Des cas confirmés ont été recensés en Autriche, et un incident en Suisse a également identifié la chaîne ZipLine comme cause racine. ...

📉 171 revendications cette semaine (-87, -33.7% par rapport à S20) Période : 18.05.2026 au 24.05.2026 Analyse Ransomware — Semaine 21 (18 au 24 mai 2026) Vue d’ensemble La semaine 21 enregistre 171 revendications d’attaques par rançongiciel, soit une baisse de 87 revendications par rapport à la semaine précédente (258 revendications), représentant un recul de 33,7 %. Cette diminution significative est toutefois à relativiser : la semaine S20 était marquée par une activité exceptionnellement élevée portée en grande partie par le groupe Stormous, qui avait revendiqué à lui seul 67 incidents. En l’absence de ce pic ponctuel, le volume de la semaine 21 s’inscrit dans une fourchette cohérente avec les tendances observées sur les semaines précédentes. ...