Social Engineering

🗓️ Contexte Source : TRM Labs, publiée le 3 avril 2026. Cet article couvre l’attaque survenue le 1er avril 2026 contre Drift Protocol, le plus grand exchange décentralisé de contrats perpétuels sur la blockchain Solana. TRM Labs qualifie cet incident de plus grand hack DeFi de 2026 et attribue l’attaque à des hackers nord-coréens. 🎯 Nature de l’attaque L’attaque repose sur une combinaison de trois vecteurs : Ingénierie sociale : manipulation des signataires du multisig du Security Council de Drift pour leur faire pré-signer des transactions apparemment routinières mais contenant des autorisations administratives cachées Manipulation d’oracle : création d’un token fictif — CarbonVote Token (CVT) — avec 750 millions d’unités mintées, quelques milliers de dollars de liquidité sur Raydium, et du wash trading pour simuler un prix proche de 1 USD, trompant les oracles de Drift Exploit de gouvernance : exploitation d’une migration du Security Council vers une configuration 2/5 sans timelock, réalisée le 27 mars 2026, supprimant la dernière ligne de défense du protocole 📅 Chronologie 11 mars 2026 : début du staging on-chain ; retrait de 10 ETH depuis Tornado Cash 12 mars 2026 (~00h00 GMT / 09h00 heure de Pyongyang) : déplacement des ETH et déploiement du token CVT 23-30 mars 2026 : création de comptes « durable nonce » sur Solana pour pré-signer des transactions 27 mars 2026 : migration du Security Council vers une configuration zero-timelock 1er avril 2026 : exécution de l’exploit en 12 minutes via 31 transactions de retrait drainant USDC et JLP 2 avril 2026 : confirmation officielle par Drift Protocol ; la majorité des fonds bridgés vers Ethereum en quelques heures 💰 Impact 285 millions USD de fonds utilisateurs dérobés Plus grand hack DeFi de 2026 Deuxième plus grand exploit de l’histoire de Solana (derrière le hack Wormhole de 2022 : 326 M$) Le token DRIFT a chuté de plus de 40% Dépôts et retraits suspendus par le protocole Vitesse et volume de blanchiment supérieurs à ceux de l’exploit Bybit de 2025 🔍 Attribution TRM Labs attribue l’attaque à des hackers nord-coréens sur la base d’indicateurs on-chain, notamment l’heure d’activité initiale (09h00 heure de Pyongyang) et les méthodes employées. L’enquête est en cours. ...

Source et contexte: Mandiant (Google Threat Intelligence Group) publie une analyse technique montrant, pour la première fois selon GTIG, l’adoption d’EtherHiding par un acteur étatique, UNC5342 (Corée du Nord), dans une campagne active depuis février 2025 (liée à « Contagious Interview »). La chaîne d’infection s’appuie sur les malwares JADESNOW (downloader) et INVISIBLEFERRET.JAVASCRIPT (backdoor), avec des objectifs de vol de cryptomonnaies et espionnage. Comment fonctionne EtherHiding 🧩: la technique consiste à stocker/récupérer des charges malveillantes via des blockchains publiques (BNB Smart Chain, Ethereum), utilisées comme C2 résilient. ...

Source: Mandiant Threat Defense — Publication de recherche détaillant une campagne multi‑étapes d’« access‑as‑a‑service » aboutissant au déploiement du backdoor CORNFLAKE.V3. Le groupe UNC5518 utilise des pages CAPTCHA factices pour piéger les utilisateurs et fournir l’accès initial à d’autres acteurs. Cet accès est ensuite exploité par UNC5774 pour installer CORNFLAKE.V3, une porte dérobée disponible en variantes JavaScript (Node.js) et PHP. Le malware permet persistance, reconnaissance et exécution de charges, notamment des outils de collecte d’identifiants et d’autres backdoors. ...

BleepingComputer rapporte que le géant des RH Workday a divulgué une fuite de données liée à un fournisseur CRM tiers (Salesforce?), à la suite d’une attaque de social engineering. — L’essentiel Type d’attaque : social engineering Vecteur : accès non autorisé à une plateforme CRM tierce Impact : divulgation d’une fuite de données Organisation concernée : Workday (secteur RH) — Détails connus Selon l’annonce, des attaquants ont obtenu un accès au CRM d’un tiers utilisé par Workday, ce qui a conduit l’entreprise à déclarer une violation de données. L’incident est attribué à une manipulation sociale récente. ...

Contexte — Source : Trustwave SpiderLabs. Le billet détaille une campagne avancée d’EncryptHub combinant ingénierie sociale, exploitation de vulnérabilité et nouveaux outils malveillants pour compromettre des cibles à l’échelle mondiale. • Portée et mode opératoire. Les attaquants se font passer pour le support IT via Microsoft Teams afin d’établir un accès à distance, puis hébergent des contenus malveillants sur la plateforme Brave Support. La campagne a compromis 618 organisations dans le monde et s’appuie sur des outils Golang comme le chargeur SilentCrystal et des backdoors proxy SOCKS5. Les opérateurs utilisent également de fausses plateformes de visioconférence et des structures de commande chiffrées pour la persistance et le contrôle. ...

L’analyse publiée par Unit 42 de Palo Alto Networks met en lumière les raisons pour lesquelles le groupe de menace Muddled Libra attire une attention médiatique significative par rapport à d’autres affiliés de ransomware-as-a-service. Leur playbook distinctif inclut des tactiques de social engineering sophistiquées, des vagues de ciblage spécifiques à l’industrie, et une maîtrise de l’anglais natif dans les attaques de vishing. Ces éléments contribuent à leur taux de succès élevé, avec 50% des cas récents aboutissant au déploiement du ransomware DragonForce et à l’exfiltration de données. ...

Les chercheurs de Lookout ont mis en lumière une campagne sophistiquée de logiciel espion Android, nommée DCHSpy, attribuée au groupe de menaces iranien Static Kitten. Cette campagne cible spécifiquement les utilisateurs mobiles iraniens en exploitant des applications VPN et Starlink trompeuses, distribuées via des campagnes de phishing. DCHSpy est actif depuis octobre 2023, en plein conflit régional, et est conçu pour exfiltrer des données sensibles telles que les messages WhatsApp, les données de localisation, les photos et les journaux d’appels. Le malware exploite des tactiques d’ingénierie sociale et tire parti de la demande d’accès Internet non censuré en Iran. ...

L’article publié par KrebsOnSecurity révèle une opération criminelle sophistiquée impliquant plus de 1 200 sites de jeux frauduleux. Ces sites utilisent des publicités sur les réseaux sociaux et de fausses recommandations de célébrités pour attirer les victimes. Les sites proposent des interfaces de jeu soignées avec des crédits fictifs de 2 500 $, mais exigent des dépôts de vérification qui ne sont jamais remboursés. Cette opération est une variante des arnaques de type ‘pig butchering’, optimisée pour un volume élevé plutôt que pour cibler des victimes individuelles. ...

L’article publié le 25 juillet 2025 par Varonis met en lumière une campagne de vishing sophistiquée menée par le groupe de menaces UNC6040, identifiée par le Threat Intelligence Group de Google. Ce groupe, motivé par des gains financiers, cible les environnements Salesforce pour voler des données et pratiquer l’extorsion. UNC6040 utilise une méthodologie d’attaque en plusieurs étapes, débutant par des reconnaissances via des systèmes téléphoniques automatisés et des appels en direct où ils se font passer pour le support IT. Les victimes sont incitées à installer des versions modifiées du Salesforce Data Loader, déguisées en outils légitimes comme ‘My Ticket Portal’, permettant ainsi aux attaquants d’obtenir un accès non autorisé aux données sensibles. ...

La Acronis Threat Research Unit (TRU) a mis au jour une nouvelle campagne de malware impliquant des infostealers tels que Leet Stealer, RMC Stealer et Sniffer Stealer. Ces logiciels malveillants sont déguisés en jeux vidéo indépendants comme Baruda Quest, Warstorm Fire et Dire Talon. Les cybercriminels utilisent des techniques de social engineering, la popularité des jeux vidéo et des actifs de marque volés pour inciter les victimes à installer ces malwares. Les faux jeux sont promus via des sites web frauduleux, des chaînes YouTube et sont principalement distribués via Discord. ...