ScreenConnect

🗓️ Contexte Article publié le 30 mars 2026 par Sublime Threat Intelligence & Research, dans le cadre de leur série « Attack Spotlight ». L’article décrit une campagne de phishing par email détectée via Google Workspace, exploitant l’usurpation de la marque Zoom. 🎯 Déroulement de l’attaque L’attaque débute par un email d’invitation Zoom falsifié, dont le style suggère une génération par IA. Le bouton « Start Meeting » redirige vers le domaine malveillant zoom-meeting.yourco-invite[.]live au lieu des domaines officiels Zoom. ...

🔍 Contexte Publié le 26 mars 2026 par Infoblox Threat Intel en collaboration avec Confiant, cet article constitue le second volet d’une étude de quatre mois portant sur l’abus du tracker publicitaire commercial Keitaro par des acteurs malveillants. Confiant surveille près de 90 milliards d’impressions publicitaires par mois. 🎯 Keitaro comme infrastructure criminelle Keitaro est un outil adtech commercial (tracker, TDS et cloaker en un seul produit) massivement détourné par des cybercriminels. Il leur permet d’externaliser la distribution, le ciblage et le routage des victimes sans construire leur propre infrastructure. Plus de 20% des acteurs malveillants suivis par Confiant ont utilisé Keitaro sur la période, certains générant des dizaines de millions d’impressions. ...

🔍 Contexte Publié le 16 mars 2026 par le Google Threat Intelligence Group (GTIG), ce rapport analyse les tactiques, techniques et procédures (TTPs) observées lors des incidents ransomware traités par Mandiant Consulting en 2025. Il couvre des victimes situées en Asie-Pacifique, Europe, Amérique du Nord et du Sud, dans presque tous les secteurs d’activité. 📊 Paysage ransomware 2025 Record historique de posts sur les Data Leak Sites (DLS) en 2025, dépassant 2024 de près de 50% La rentabilité globale est en déclin : taux de paiement de rançon au plus bas historique en Q4 2025 (Coveware), demande moyenne réduite d’un tiers à 1,34 M$ en 2025 contre 2 M$ en 2024 (Sophos) Près de la moitié des victimes ont pu restaurer depuis des sauvegardes en 2024 (contre 28% en 2023 et 11% en 2022) LockBit, ALPHV, Basta et RansomHub ont été perturbés ou ont disparu ; Qilin et Akira ont comblé le vide REDBIKE (Akira) est la famille ransomware la plus déployée : ~30% des incidents Montée en puissance des opérations de data theft extortion seule (sans chiffrement) Ciblage croissant des petites organisations (moins de 200 employés) Adoption de technologies Web3 (ICP blockchain, Polygon smart contracts) pour la résilience des infrastructures Intégration de l’IA dans les opérations (négociations, analyse des victimes) Doublement des familles ransomware cross-platform (Windows + Linux) 🎯 Vecteurs d’accès initial Exploitation de vulnérabilités : 1/3 des incidents (VPNs et firewalls principalement) Fortinet : CVE-2024-21762, CVE-2024-55591, CVE-2019-6693 SonicWall : CVE-2024-40766 Palo Alto : CVE-2024-3400 Citrix : CVE-2023-4966 Microsoft SharePoint : CVE-2025-53770, CVE-2025-53771 (zero-day par UNC6357) SAP NetWeaver : CVE-2025-31324 CrushFTP : CVE-2025-31161 CVE-2025-8088 exploité en zero-day par UNC2165 CVE-2025-61882 exploité contre Oracle EBS (CL0P) Credentials volés : 21% des incidents identifiés (VPN, RDP) Malvertising / SEO poisoning : UNC6016 (→ NITROGEN, RHYSIDA), UNC2465 (→ SMOKEDHAM) Bruteforce : attaques prolongées sur VPNs (ex. Daixin sur près d’un an) Accès via subsidiaires ou tiers (réseaux intermédiaires) Ingénierie sociale : UNC5833 via Microsoft Teams + Quick Assist 🔧 TTPs post-compromission Établissement de foothold : ...

🕵️ Contexte Publié le 22 mars 2026 sur le blog de Marc-Frédéric Gomez, ce document est une fiche de renseignement CTI (TLP:CLEAR) mise à jour sur le groupe APT iranien MERCURY/MuddyWater (alias Mango Sandstorm, Seedworm, Static Kitten, TA450, Boggy Serpens, Earth Vetala, TEMP.Zagros, G0069). Il constitue une synthèse analytique structurée à destination des équipes CTI. 🏴 Attribution & Sponsor Le groupe est subordonné au MOIS (Ministry of Intelligence and Security iranien), attribution formalisée dans un avis conjoint FBI/CISA/CNMF/NCSC-UK du 24 février 2022. Un lien opérationnel avec Storm-1084 (DarkBit) est documenté par Microsoft. Le groupe partage la même tutelle institutionnelle qu’APT39 mais constitue un cluster distinct. ...

ConnectWise avertit ses clients d’une vulnérabilité de vérification de signature cryptographique dans ScreenConnect pouvant permettre un accès non autorisé et une élévation de privilèges. Selon BleepingComputer, ConnectWise met en garde les clients de ScreenConnect au sujet d’une vulnérabilité de vérification de signature cryptographique susceptible d’entraîner un accès non autorisé et une élévation de privilèges. ⚠️ ConnectWise ScreenConnect : faille critique de vérification cryptographique (CVE-2026-3564) Résumé ConnectWise a publié un correctif pour CVE-2026-3564, une vulnérabilité critique affectant ScreenConnect dans les versions antérieures à 26.1. Le problème peut permettre un accès non autorisé et une élévation de privilèges si un attaquant parvient à obtenir le matériel cryptographique serveur utilisé pour l’authentification de session. ConnectWise a renforcé la protection des ASP.NET machine keys dans la version 26.1, notamment via un stockage chiffré et une meilleure gestion des clés. :contentReference[oaicite:0]{index=0} ...

Source: Huntress (blog), publication du 11 mars 2026. Contexte: analyse de plusieurs intrusions observées entre décembre 2025 et janvier 2026 montrant un « daisy-chaining » d’outils RMM pour l’accès initial, la persistance et l’évasion, avec une visibilité inédite lorsque des acteurs se sont inscrits directement sur la plateforme Huntress. Chiffres clés et tendance 📈: L’abus d’outils RMM représente 24% des incidents observés par Huntress l’an passé, avec une hausse de 277%. Les acteurs — du peu qualifié aux groupes plus établis — abandonnent des outils “hacking” classiques au profit de RMM légitimes pour déposer des charges, voler des identifiants et exécuter des commandes. La technique centrale est le daisy-chaining de RMM pour fragmenter la télémétrie, distribuer la persistance et compliquer l’attribution/containment. ...

Source: Huntress — Dans un billet technique, Huntress détaille une enquête d’incident Qilin avec télémétrie minimale, reconstruite grâce à des artefacts Windows pour retracer l’attaque du premier accès jusqu’au chiffrement. Les analystes ont travaillé sans EDR, SIEM ni canaris ransomware, s’appuyant sur des journaux d’événements Windows, AmCache et les journaux Program Compatibility Assistant (PCA). Ils ont identifié l’installation d’un RMM ScreenConnect non autorisé, des transferts de fichiers suspects (r.ps1, s.exe, ss.exe) et une progression de l’attaque allant de l’accès RDP à l’exécution du ransomware. 🧭 ...

Selon Mimecast (Threat Research), une campagne de hameçonnage ciblé MCTO3030 vise spécifiquement les administrateurs cloud de ScreenConnect afin de dérober des identifiants de super administrateur. Les messages de spear phishing, envoyés à faible volume pour rester discrets, ciblent des profils IT seniors et redirigent vers de faux portails ScreenConnect, avec une connexion probable à des opérations de ransomware (affiliés Qilin), permettant un mouvement latéral rapide via le déploiement de clients ScreenConnect malveillants. ...

L’article publié sur CRN relate une cyberattaque subie par ConnectWise, une entreprise basée à Tampa, Floride. ConnectWise a récemment détecté une activité suspecte dans son environnement, attribuée à un acteur étatique sophistiqué. Cette attaque a conduit à un accès non autorisé à l’infrastructure cloud de ScreenConnect, affectant un nombre restreint de clients. Pour répondre à cet incident, ConnectWise a engagé Mandiant, un expert en forensique, pour mener une enquête approfondie. L’entreprise a informé tous les clients touchés et collabore avec les autorités compétentes. Des mesures de renforcement et de surveillance accrue ont été mises en place, incluant un patch pour ScreenConnect. ...