ScreenConnect

🗓️ Contexte Source : Check Point Blog — publié le 1er juin 2026. Le 22 mai 2026, des enquêteurs néerlandais spécialisés dans la criminalité financière ont saisi environ 800 serveurs dans des datacenters à Dronten et Schiphol-Rijk (Pays-Bas), ciblant le fournisseur d’hébergement WorkTitans B.V. 🏢 WorkTitans : successeur de Stark Industries En mai 2025, l’UE avait sanctionné Stark Industries, un fournisseur d’accès internet lié aux opérations de guerre informationnelle russes. Plutôt que de cesser ses activités, ses opérateurs auraient simplement rebrandé sous le nom WorkTitans, continuant à exploiter la même infrastructure sous une nouvelle identité juridique. ...

🎯 Contexte Source : BleepingComputer, publié le 27 mai 2026. Microsoft a découvert et analysé une campagne de cryptojacking active ciblant spécifiquement les systèmes équipés de GPU haute performance, diffusée via une opération coordonnée de SEO poisoning et de manipulation de recommandations de chatbots IA. 🔗 Vecteur d’infection initial Les victimes sont attirées vers des pages de téléchargement malveillantes imitant des utilitaires légitimes populaires : CrystalDiskInfo HWMonitor Display Driver Uninstaller FurMark K-Lite Codec Pack PDFgear Les liens malveillants sont boostés dans les résultats de recherche via SEO poisoning. En avril, des cas ont également été signalés où des chatbots IA (dont ChatGPT) ont redirigé des utilisateurs vers des domaines contrôlés par les attaquants dans leurs réponses générées. ...

🔍 Contexte Publié le 26 mai 2026 par Microsoft Defender Experts et Microsoft Defender Security Research Team, ce rapport détaille une campagne active de cryptojacking sophistiquée identifiée depuis mars 2026, combinant SEO poisoning, abus de chatbots IA, et accès distant persistant via ScreenConnect. 🎯 Ciblage et vecteur initial La campagne cible délibérément les utilisateurs possédant des GPU haute performance, en usurpant des utilitaires populaires : CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack et PDFgear. ...

🎯 Contexte Publié le 15 mai 2026 par Guardsix (anciennement Logpoint), cet article constitue une analyse de menace approfondie sur le groupe ransomware Qilin, initialement connu sous le nom Agenda lors de son émergence en mi-2022. 🕵️ Profil du groupe Qilin est un groupe cybercriminel basé en Russie opérant sous un modèle Ransomware-as-a-Service (RaaS). Les opérateurs développent et maintiennent la plateforme tandis que des affiliés conduisent les intrusions en échange d’un pourcentage des rançons. Le groupe a connu une montée en puissance significative en 2023, s’accélérant en 2024 et 2025. ...

🔍 Contexte Publié le 18 mai 2026 par la Microsoft Defender Security Research Team, cet article constitue un rapport d’incident détaillé analysant une campagne sophistiquée menée par le groupe Storm-2949. L’attaque a ciblé une organisation non nommée dont l’infrastructure repose massivement sur les services cloud Microsoft (Microsoft 365, Azure). 🎯 Vecteur d’accès initial L’accès initial a été obtenu via ingénierie sociale ciblée combinée à un abus du processus SSPR (Self-Service Password Reset) de Microsoft Entra ID. Le groupe a : ...

🎯 Contexte Publié le 6 mai 2026 par Securonix Threat Research (Akshay Gaikwad, Shikha Sangwan, Aaron Beardslee), ce rapport documente la campagne VENOMOUS#HELPER (également trackée STAC6405 par Sophos), active depuis au moins avril 2025 et ayant impacté plus de 80 organisations, principalement aux États-Unis, en Europe occidentale et en Amérique latine. 📧 Vecteur initial : phishing SSA Les victimes reçoivent un email usurpant l’identité de la U.S. Social Security Administration (SSA). Le lien pointe vers un site mexicain légitime compromis (gruta.com.mx) servant de frontend de phishing avec récolte d’email, avant de rediriger vers le téléchargement du payload : ...

🔍 Contexte Publié le 19 avril 2026 par Ctrl-Alt-Intel (https://ctrlaltintel.com), cet article constitue une analyse technique approfondie de la plateforme FudCrypt (fudcrypt.net), un service de cryptage de malwares (Cryptor-as-a-Service) accessible par abonnement mensuel entre 800 et 2 000 USD. 🏗️ Architecture et modèle commercial FudCrypt propose trois niveaux d’abonnement : Starter (800$/mois) : 1 build/jour, carriers ProtonVPN/Zoom/SharePoint/CCleaner, persistance basique Pro (1 500$/mois) : 5 builds/jour, carriers supplémentaires, anti-VM Enterprise (2 000$/mois) : builds illimités, bypass UAC, désactivation Defender, anti-debug, anti-VM La base de données récupérée révèle 200 utilisateurs enregistrés, 334 builds, 46 enregistrements de paiement en cryptomonnaies (BTC, USDT, ETH, LTC, XMR) dont 4 confirmés pour un total de 4 820 USD. ...

🔍 Contexte Publié le 14 avril 2026 par Proofpoint Threat Research, cet article présente les résultats d’une surveillance étendue (plus d’un mois) d’un acteur malveillant spécialisé dans le vol de fret et la fraude au transport, opérée dans un environnement leurre géré par Deception.pro à partir de fin février 2026. 🎯 Accès initial Le 27 février 2026, après avoir compromis une plateforme de load board, l’acteur a livré un payload malveillant par email à des transporteurs. Le payload consistait en un fichier VBS qui : ...

🔍 Contexte Publié le 19 avril 2026 par Huntress, cet article de threat intelligence documente une recrudescence d’incidents liés à l’exploitation de Bomgar RMM (rebaptisé BeyondTrust Remote Support), observée par le SOC Huntress depuis début avril 2026. 🛡️ Vulnérabilité exploitée La faille CVE-2026-1731, de sévérité critique, permet à un attaquant non authentifié d’exécuter du code à distance sur des instances Bomgar. BeyondTrust a publié un correctif le 6 février 2026 (version 25.3.2 pour Remote Support, version 25.1 pour Privileged Remote Access). Les organisations impactées utilisaient des versions obsolètes, notamment la version 21.1.3. ...

🔍 Contexte Publié le 16 avril 2026 par Sophos, cet article documente l’abus actif de QEMU (émulateur open-source) par des acteurs malveillants pour dissimuler leurs activités au sein d’environnements virtualisés, contournant ainsi les contrôles de sécurité des endpoints. 🎯 Campagne STAC4713 (depuis novembre 2025) Associée au groupe GOLD ENCOUNTER et au ransomware PayoutsKing, cette campagne utilise QEMU comme backdoor SSH inversé covert : Persistance : tâche planifiée nommée TPMProfiler lançant qemu-system-x86_64.exe sous le compte SYSTEM Déguisement : image disque masquée en vault.db puis en bisrv.dll (janvier 2026) Port forwarding vers les ports 32567, 22022 → port 22 (SSH) VM Alpine 3.22.0 contenant : AdaptixC2 (tinker2), wg-obfuscator, BusyBox, Chisel, Rclone Vol de credentials : copie de NTDS.dit, ruches SAM et SYSTEM via VSS et commande print sur SMB Accès initial : VPN SonicWall exposés sans MFA, puis exploitation de CVE-2025-26399 (SolarWinds Web Help Desk) Évolution en février 2026 : abandon de QEMU, accès via VPN Cisco SSL, ingénierie sociale via Microsoft Teams/QuickAssist, sideloading d’un payload Havoc C2 (vcruntime140_1.dll) via ADNotificationManager.exe, exfiltration via Rclone vers SFTP. ...