TTP

🌐 Contexte Publié le 22 mai 2026 par Check Point Research, cet article documente les opérations du groupe de menace Nimbus Manticore (également suivi sous le nom UNC1549), affilié aux Gardiens de la Révolution iraniens (IRGC), durant la période de tensions militaires liées à l’Opération Epic Fury (campagne militaire américaine contre l’Iran lancée le 28 février 2026). 🎯 Acteur et ciblage Nimbus Manticore est un acteur sophistiqué ciblant principalement les secteurs défense, aviation et télécommunications. Lors de cette campagne, les cibles incluent des organisations dans les secteurs aviation et développement logiciel en États-Unis, Europe, Moyen-Orient (Arabie Saoudite, Israël, Émirats Arabes Unis) et Australie. ...

🗓️ Contexte Source : HivePro Threat Advisory, publié le 25 mai 2026. Cet article documente l’escalade majeure de la campagne de supply chain du groupe TeamPCP (alias PCPcat, ShellForce, DeadCatx3, CipherForce, Persy_PCP, UNC6780) au cours du mois de mai 2026. 🎯 Acteur de menace TeamPCP est un groupe à motivation financière, actif depuis fin 2025, initialement documenté comme un crew d’exploitation cloud-native ciblant des APIs Docker et clusters Kubernetes exposés. En mars 2026, il a pivoté vers une campagne de supply chain en cascade ciblant Trivy, Checkmarx KICS, LiteLLM, Telnyx et des dizaines de packages npm. ...

🔍 Contexte Publié le 19 mai 2026 par Imran Azad sur le blog de HUMAN Security, cet article présente les conclusions de l’équipe Satori Threat Intelligence and Research Team concernant l’opération Trapdoor, une campagne de fraude publicitaire Android de grande envergure détectée et neutralisée par HUMAN. 🎯 Description de l’opération Trapdoor Trapdoor est un schéma Android multi-étapes qui fusionne malvertising (distribution) et fraude publicitaire (monétisation) en un système auto-entretenu : 455 applications Android malveillantes impliquées 183 domaines C2 contrôlés par les acteurs de la menace 659 millions de bid requests par jour au pic de l’activité 24 millions de téléchargements d’applications liées à l’opération ⚙️ Mécanisme en deux étapes Étape 1 – Distribution via malvertising : L’utilisateur télécharge une application utilitaire légitime en apparence (ex : lecteur PDF) depuis le Google Play Store. Après installation, l’app lance des campagnes de malvertising affichant une fausse alerte de mise à jour. Si l’utilisateur clique, une seconde application malveillante est installée. ...

📰 Source : Hackread.com — Date : 25 mai 2026 Un acteur malveillant opérant sous l’alias “Euphoric_Reply_5727” a mis en vente sur un forum cybercriminel connu une base de données présentée comme contenant 340 millions d’enregistrements liés à des utilisateurs OnlyFans (créateurs et abonnés). Le prix affiché est de 0,313 BTC (environ 24 007 USD au moment de la publication). 🔍 Nature de la base de données Contrairement aux affirmations initiales du listing évoquant des « bases de données internes OnlyFans », le vendeur a confirmé à Hackread.com via Telegram qu’aucune intrusion directe ni scraping de la plateforme n’a eu lieu. La base aurait été constituée par corrélation de données issues de fuites antérieures (Twitter, Instagram, Spotify) et de profils publics, afin d’identifier et lier des comptes OnlyFans réels. ...

🗓️ Contexte Source : HaveIBeenPwned (https://haveibeenpwned.com/Breach/7-Eleven), publié le 24 mai 2026. L’incident concerne une violation de données survenue en avril 2026 chez 7-Eleven, enseigne internationale de commerce de détail. 🎯 Nature de l’attaque Le groupe cybercriminel ShinyHunters a conduit une campagne d’extorsion de type « pay or leak » (payer ou les données seront publiées). Face au refus ou à l’absence de paiement, les données ont été publiées dans le courant du mois d’avril 2026. ...

🏥 Contexte Publié le 21 mai 2026 par Tagesschau (SWR), cet article rapporte une violation de données massique touchant des établissements hospitaliers universitaires du Land de Bade-Wurtemberg, en Allemagne. L’information a été communiquée officiellement par les Unikliniken Freiburg et Ulm le même jour. 🎯 Nature de l’incident Des cybercriminels ont compromis un prestataire de services externe commun à plusieurs cliniques universitaires. Cette attaque de type supply chain / tiers de confiance a permis l’exfiltration de données sensibles sans que les systèmes internes des hôpitaux soient directement ciblés. ...

🔍 Contexte Source : BleepingComputer — Article publié le 22 mai 2026. Les autorités américaines et canadiennes ont conjointement procédé à l’arrestation et à l’inculpation d’un homme de nationalité canadienne, suspecté d’avoir administré le botnet KimWolf. 🎯 Nature de la menace Le botnet KimWolf est un réseau de type DDoS (Distributed Denial-of-Service) ayant infecté près de deux millions d’appareils à travers le monde. Les tags associés à l’article mentionnent une composante IoT, suggérant que les dispositifs compromis incluaient des équipements connectés. ...

🔍 Contexte Source : BleepingComputer, publié le 23 mai 2026. Des firmes de sécurité StepSecurity, Aikido Security et Socket ont alerté simultanément d’une attaque de type supply chain ciblant les packages de localisation Laravel Lang, distribués via le gestionnaire de dépendances PHP Composer. ⚙️ Mécanisme d’attaque Les attaquants n’ont pas modifié le code source des projets, mais ont réécrit les tags Git existants dans quatre dépôts pour les faire pointer vers des commits malveillants hébergés dans un fork contrôlé par l’attaquant. Cette technique exploite une fonctionnalité GitHub permettant aux tags de référencer des commits dans des forks. ...

🗓️ Contexte Publié le 24 mai 2026 sur BleepingComputer, cet article s’appuie sur les recherches de XLab, équipe de threat intelligence de la société chinoise Qianxin, ainsi que sur des travaux antérieurs de SentinelOne (publiés le 27 février 2026). 🎯 Vulnérabilité exploitée CVE-2026-26980 est une injection SQL critique affectant Ghost CMS versions 3.24.0 à 6.19.0. Elle permet à des attaquants non authentifiés de lire des données arbitraires depuis la base de données, notamment les clés API admin. Un correctif a été publié le 19 février 2026 dans la version Ghost CMS 6.19.1, mais de nombreux sites n’ont pas appliqué la mise à jour. ...

🗓️ Contexte Article publié le 24 mai 2026 sur le blog personnel de Jai Minton (jaiminton.com), basé sur des observations personnelles et le témoignage d’un tiers (Minh Tran). L’auteur analyse une campagne de phishing ciblant des professionnels tech en période de vagues de licenciements massifs (114 000 employés licenciés dans 150 organisations en 2026 selon layoffs.fyi). 🎯 Mécanisme d’attaque Les acteurs malveillants exploitent LinkedIn pour : Identifier des recruteurs légitimes et les usurper via des comptes Gmail fraîchement créés Scraper les profils publics des victimes pour personnaliser les leurres Utiliser ChatGPT (identifié via les paramètres UTM utm_source=chatgpt dans les liens) pour générer des emails professionnels et convaincants Intégrer des tracking pixels (via le service Blinq) pour détecter l’ouverture des emails Créer de fausses cartes de visite numériques via le service Blinq pour imiter les recruteurs 📧 Indicateurs comportementaux Utilisation caractéristique du tiret cadratin (em dash) dans les emails, signature typique des LLM Branding légitime d’entreprises réelles (dont Palo Alto Networks, signalé dès le 24 mars 2026) Demande de CV comme vecteur de collecte d’informations et d’arnaque financière (prétexte de « correction de CV payante ») Liens vers de vraies offres d’emploi (ex: Goldman Sachs) avec paramètres UTM révélant l’usage de ChatGPT Changement de signature entre emails (Kind regards → Warm regards) et multiplication des opportunités proposées 🏢 Contexte sectoriel La campagne cible principalement les professionnels de la tech en recherche d’emploi. Palo Alto Networks a documenté une campagne similaire d’usurpation de ses propres recruteurs dès le 24 mars 2026. ...