TTP

🏛️ Contexte Publié le 23 mai 2026 sur le blog BushidoToken, cet article constitue un post-mortem détaillé d’un incident majeur affectant une infrastructure critique britannique. Le 11 mai 2026, l’Information Commissioner’s Office (ICO) a prononcé une amende de £963 900 à l’encontre de South Staffordshire Water à la suite d’une intrusion du groupe Cl0p. 🎯 Déroulement de l’attaque Septembre 2020 : accès initial via un email de phishing malveillant téléchargeant le malware Get2Loader et le backdoor SDBBOT pour établir la persistance Juillet 2022 : découverte de la compromission par le personnel suite à des ralentissements des performances IT Août 2022 : publication de 4,1 téraoctets de données sur le site Tor de Cl0p, exposant les données personnelles de 633 887 clients et employés Durée de présence non détectée : près de deux ans 🔓 Défaillances systémiques identifiées par l’ICO Le SOC externalisé était aveugle à 95 % du réseau Zéro scan de vulnérabilité interne ou externe sur une fenêtre de 18 mois Utilisation de machines Windows Server 2003 hors support étendu Deux contrôleurs de domaine non patchés contre ZeroLogon (CVE-2020-1472) 🧰 Techniques et outils utilisés Cl0p a exploité des techniques classiques sans recours à des zero-days ou à des capacités étatiques : phishing, déploiement de loader et backdoor, puis exploitation de CVE-2020-1472 pour le mouvement latéral et l’escalade de privilèges vers Domain Admin. ...

🗓️ Contexte Source : CrowdSec VulnTracking, publié le 25 mai 2026. CrowdSec suit activement les tentatives d’exploitation de CVE-2026-9082, une vulnérabilité de type SQL injection affectant le cœur de Drupal via les paramètres de filtre de l’API JSON:API sur les endpoints /jsonapi/. 📅 Chronologie des événements 20 mai 2026 : Drupal publie l’advisory de sécurité SA-CORE-2026-004 21 mai 2026 : CrowdSec observe les premières tentatives de sondage (probing) 22 mai 2026 : CrowdSec publie une règle de détection ; CISA ajoute CVE-2026-9082 au catalogue KEV (Known Exploited Vulnerabilities) 23 mai 2026 : Première exploitation confirmée sur le réseau CrowdSec 25 mai 2026 : 68 IPs attaquantes distinctes observées 🔍 Détails techniques CVE-2026-9082 est causée par une neutralisation incorrecte d’entrées contrôlées par l’attaquant dans les clés de paramètres de filtre JSON:API. Des métacaractères SQL peuvent être injectés directement dans la clé du filtre (et non uniquement dans la valeur), via des requêtes HTTP vers des endpoints /jsonapi/ exposés publiquement. ...

🌐 Contexte Source : Europol (europol.europa.eu), publication du 21 mai 2026. Cette annonce s’inscrit dans le cadre d’une opération internationale de démantèlement d’infrastructure cybercriminelle. 🔍 Description de la menace ‘First VPN’ était un service VPN illicite promu pendant plusieurs années sur des forums cybercriminels russophones comme outil de discrétion face aux forces de l’ordre. Ses caractéristiques principales : Paiements anonymes acceptés Infrastructure cachée conçue pour échapper aux investigations Services explicitement orientés vers un usage criminel 🎯 Implication dans la cybercriminalité Le service était profondément intégré dans l’écosystème cybercriminel, apparaissant dans presque toutes les grandes enquêtes cybercriminelles soutenues par Europol. Il était notamment utilisé par des acteurs ransomware. ...

🕵️ Contexte Source : Analyst1 (https://analyst1.com/threat-actors/dragonforce/), publiée le 22 mai 2026. L’article présente une analyse approfondie du groupe DragonForce, opération de ransomware-as-a-service (RaaS) observée depuis août 2023. 🎯 Modèle opérationnel DragonForce conduit des attaques de double extorsion à l’échelle mondiale, combinant : Chiffrement des données des victimes Exfiltration et publication des données sur un site de fuite dédié (DLS) Le groupe opère selon un modèle affilié structuré et scalable, avec une organisation de type cartel. ...

🏛️ Contexte Le Centre for Cybersecurity Belgium (CCB), département CyTRIS, a publié le 29 avril 2026 un rapport de threat intelligence (version 1.0, TLP:CLEAR) consacré au groupe DragonForce, avec une date de coupure renseignement au 16 avril 2026. Ce rapport constitue un profil complet de l’acteur, couvrant sa motivation, son attribution, ses victimes, ses capacités techniques et son infrastructure. 🎯 Présentation de l’acteur DragonForce est un opérateur Ransomware-as-a-Service (RaaS) à double extorsion apparu en décembre 2023. Le groupe a compromis plus de 400 victimes à ce jour, dont deux organisations belges (secteurs construction et services aux entreprises). Sa motivation est exclusivement financière, sans affiliation politique ni sponsoring étatique identifié. ...

📰 Source : BleepingComputer | Date : 23 mai 2026 | Opération : « Tutto Chiaro » coordonnée par Eurojust 🎯 Contexte Les autorités italiennes (Guardia di Finanza) ont démantelé un écosystème de piratage audiovisuel centré sur l’application CINEMAGOAL, qui permettait un accès non autorisé à des plateformes de streaming légitimes (Netflix, Disney+, Spotify, Sky, DAZN). ⚙️ Fonctionnement technique L’application se connectait directement aux plateformes légitimes en utilisant des codes d’authentification/déchiffrement valides, récupérés depuis des serveurs étrangers. Des machines virtuelles situées en Italie capturaient ces codes toutes les 3 minutes à partir d’abonnements légitimes ouverts sous de fausses identités. Les codes étaient ensuite redistribués aux clients, leur permettant de streamer le contenu directement depuis les plateformes officielles (qualité supérieure, contournement des blocages IP). Les adresses IP réelles des utilisateurs étaient masquées, réduisant les risques de détection. Des serveurs en France et en Allemagne hébergeaient le code source de l’application et les fonctions de décodage des flux protégés. 💰 Dimension économique et criminelle ...

🗓️ Contexte Source : Il Sole 24 Ore, 22 mai 2026. La Guardia di Finanza (GdF) italienne annonce le démantèlement d’un vaste réseau de piraterie audiovisuelle organisé autour de l’application Cinemagoal, à l’issue d’une opération coordonnée depuis Ravenne. 🔍 Description du système Cinemagoal Cinemagoal était une application permettant d’accéder illicitement aux contenus payants des plateformes suivantes : Sky, DAZN, Netflix, Disney+, Spotify Le fonctionnement technique reposait sur plusieurs mécanismes : Connexion des appareils clients à un serveur étranger pour décrypter les contenus Utilisation de machines virtuelles distribuées sur le territoire national, actives 24h/24, capturant et retransmettant en temps réel les codes d’abonnements légitimes souscrits au nom de sujets fictifs Envoi d’un signal en clair aux utilisateurs finaux Absence d’adresse IP directement associable à la connexion, afin de réduire la traçabilité des utilisateurs L’abonnement annuel était proposé entre 40 et 130 euros selon le forfait choisi. Plus de 70 personnes assuraient la distribution du service. ...

🏛️ Contexte Le 21 mai 2026, le FBI (Internet Crime Complaint Center) a publié une alerte publique (PSA n° I-052126-PSA) concernant une nouvelle plateforme Phishing-as-a-Service (PhaaS) nommée Kali365, observée pour la première fois en avril 2026. 🎯 Description de la menace Kali365 est une plateforme PhaaS distribuée principalement via Telegram, accessible par abonnement. Elle permet à des attaquants, y compris peu techniques, de mener des campagnes de phishing ciblant les environnements Microsoft 365. ...

📰 Source : TechCrunch, publié le 23 mai 2026. L’article revient sur les campagnes de surveillance ciblée menées à l’aide de spywares commerciaux contre des journalistes, défenseurs des droits humains et opposants politiques, et présente les contre-mesures disponibles sur les principales plateformes. 🎯 Contexte des attaques documentées Début 2025, WhatsApp a notifié environ 90 utilisateurs — majoritairement des journalistes et membres de la société civile en Europe — qu’ils avaient été ciblés par le spyware de la société israélienne Paragon Solutions. Peu après, Apple a envoyé des notifications de menace à un nouveau groupe d’utilisateurs iOS ; l’analyse forensique a confirmé que deux journalistes avaient été compromis via le spyware Graphite de Paragon, en utilisant une attaque zero-click (sans interaction de la victime). En 2019, une campagne de NSO Group avait ciblé environ 1 200 utilisateurs de WhatsApp. ...

📰 Source : vienna.at — Article publié le 19 mai 2026, relatant une opération de police menée à Vienne (Autriche) dans le cadre d’une enquête sur une campagne de phishing par SMS à grande échelle. 🎯 Contexte de l’attaque Depuis au moins le 6 avril 2026, un individu non identifié opérait dans la région de Vienne avec un ou plusieurs appareils de type SMS Blaster pour envoyer massivement des SMS frauduleux. Les messages usurpaient l’identité de services de livraison de colis et d’opérateurs de téléphonie mobile connus. L’individu ciblait préférentiellement les lieux à forte affluence (événements publics, etc.). ...