TTP

🗞️ Contexte Article de presse publié le 15 mai 2026 par CNN (Sean Lyngaas), basé sur des sources gouvernementales américaines briefées sur l’activité. L’article s’inscrit dans le contexte de la guerre entre les États-Unis/Israël et l’Iran, débutée fin février 2026. 🎯 Nature de l’attaque Des hackers, suspectés d’être iraniens, ont compromis des systèmes de jauges automatiques de réservoirs (ATG — Automatic Tank Gauge) dans des stations-service réparties dans plusieurs États américains. Ces systèmes étaient accessibles en ligne sans protection par mot de passe, constituant une vulnérabilité d’exposition directe sur Internet. ...

🔍 Contexte Publié le 14 mai 2026 par Sublime Threat Intelligence and Research (STIR), cet article documente une campagne de phishing détectée en avril 2026 combinant deux outils distincts : KrakVM (machine virtuelle JavaScript open-source) et FlowerStorm (kit PhaaS actif depuis mi-2024). 🎯 Campagne et ciblage La campagne, dont l’activité remonte à mi-mars 2026, a ciblé plusieurs secteurs : Gouvernement local Logistique Commerce de détail Communications Immobilier Les emails de phishing sont courts, parfois sans corps de message, avec des sujets ou noms de pièces jointes HTML imitant des notifications de messagerie vocale, crédits fournisseurs ou factures impayées. Les noms de domaine malveillants utilisent des combinaisons de mots anglais imitant des entreprises légitimes, une caractéristique déjà documentée pour FlowerStorm. ...

🔍 Contexte Le 19 mai 2026, Microsoft Threat Intelligence publie une analyse détaillée sur Fox Tempest, un acteur cybercriminel à motivation financière opérant un service de signature de malwares à la demande (Malware Signing-as-a-Service, MSaaS). En mai 2026, la Digital Crimes Unit (DCU) de Microsoft, avec le soutien de partenaires industriels, a procédé au démantèlement de l’infrastructure de ce service. 🎯 Rôle et impact de Fox Tempest Fox Tempest ne cible pas directement des victimes mais fournit une infrastructure de support à d’autres groupes cybercriminels. Microsoft suit cet acteur depuis septembre 2025. Les groupes ayant utilisé ses services incluent : ...

🗓️ Contexte Source : DataBreachToday (euroinfosec), publié le 11 mai 2026. L’article rapporte une fuite de données affectant le groupe ransomware-as-a-service ‘The Gentlemen’, apparu mi-2025, dont les communications internes ont été exfiltrées et publiées sur le forum cybercriminel Breached. 🔓 Incident de fuite Le 4 mai 2026, un utilisateur du forum Breached a mis en vente les données volées pour 10 000 dollars en bitcoin. Le vendredi suivant, les données ont été publiées gratuitement via un lien MediaFire. Le contenu comprend : ...

🏆 Contexte Source : BleepingComputer, publié le 18 mai 2026. La compétition Pwn2Own Berlin 2026 s’est tenue du 14 au 16 mai 2026 dans le cadre de la conférence OffensiveCon, organisée par la Zero Day Initiative (ZDI) de TrendMicro. Elle ciblait les technologies d’entreprise et l’intelligence artificielle. 💰 Résultats globaux 47 zero-days exploités au total 1,298,250 $ de récompenses distribuées Jour 1 : 523,000 $ pour 24 zero-days Jour 2 : 385,750 $ pour 15 zero-days Jour 3 : 389,500 $ pour 8 zero-days 🥇 Classement DEVCORE — 50,5 points, 505,000 $ (1er) STARLabs SG — 25 points, 242,500 $ Out Of Bounds — 12,75 points, 95,750 $ 🔓 Exploits notables Orange Tsai (DEVCORE) : 200,000 $ pour une chaîne de 3 bugs permettant une RCE avec privilèges SYSTEM sur Microsoft Exchange ; 175,000 $ supplémentaires pour un sandbox escape sur Microsoft Edge via 4 bugs logiques Valentina Palmiotti (IBM X-Force) : 70,000 $ pour un root sur Red Hat Linux for Workstations et un zero-day NVIDIA Container Toolkit Windows 11 : hacké à plusieurs reprises (LPE) Red Hat Enterprise Linux for Workstations : compromis plusieurs fois VMware ESXi : exploité via un bug de corruption mémoire Agents de codage IA : zero-days démontrés le jour 2 Microsoft SharePoint et Microsoft Exchange : ciblés par DEVCORE 📋 Catégories ciblées Navigateurs web, applications d’entreprise, élévation de privilèges locale, serveurs, inférence locale, environnements cloud-native/conteneurs, virtualisation, LLM ⏳ Divulgation responsable Conformément aux règles ZDI, les vendeurs disposent de 90 jours pour publier des correctifs avant la divulgation publique des vulnérabilités. ...

🎯 Contexte Publié le 15 mai 2026 par Guardsix (anciennement Logpoint), cet article constitue une analyse de menace approfondie sur le groupe ransomware Qilin, initialement connu sous le nom Agenda lors de son émergence en mi-2022. 🕵️ Profil du groupe Qilin est un groupe cybercriminel basé en Russie opérant sous un modèle Ransomware-as-a-Service (RaaS). Les opérateurs développent et maintiennent la plateforme tandis que des affiliés conduisent les intrusions en échange d’un pourcentage des rançons. Le groupe a connu une montée en puissance significative en 2023, s’accélérant en 2024 et 2025. ...

🔍 Contexte Publié le 18 mai 2026 par la Microsoft Defender Security Research Team, cet article constitue un rapport d’incident détaillé analysant une campagne sophistiquée menée par le groupe Storm-2949. L’attaque a ciblé une organisation non nommée dont l’infrastructure repose massivement sur les services cloud Microsoft (Microsoft 365, Azure). 🎯 Vecteur d’accès initial L’accès initial a été obtenu via ingénierie sociale ciblée combinée à un abus du processus SSPR (Self-Service Password Reset) de Microsoft Entra ID. Le groupe a : ...

🗓️ Contexte Source : BleepingComputer, publié le 14 mai 2026. L’article rapporte une tentative d’extorsion par le groupe cybercriminel TeamPCP à l’encontre de Mistral AI, société française spécialisée dans les grands modèles de langage (LLM). 🎯 Incident L’attaque s’inscrit dans le cadre de l’opération Mini Shai-Hulud, une attaque de la chaîne d’approvisionnement logicielle qui a débuté par la compromission de packages officiels de TanStack et Mistral AI via des identifiants CI/CD volés et des workflows légitimes détournés. ...

🔍 Contexte Le 14 mai 2026, KELA Cyber Intelligence Center publie une analyse approfondie d’une fuite de données internes concernant The Gentlemen, une opération RaaS (Ransomware-as-a-Service) active depuis septembre 2025. La fuite, initialement postée le 4 mai 2026 sur Exploit.in par l’utilisateur XxHDSandwichxX, couvre des communications internes du 7 novembre 2025 au 30 avril 2026. 📊 Ampleur et positionnement Entre janvier et mai 2026, KELA a recensé 3 349 victimes de ransomware revendiquées publiquement (+14,5% vs 2025). The Gentlemen revendique 328 victimes sur cette période, soit 10% des attaques mondiales, se positionnant en 2e place mondiale derrière Qilin (17%). ...

🔍 Contexte L’équipe de recherche de Socket a publié le 19 mai 2026 une analyse technique détaillée d’une attaque de chaîne d’approvisionnement ciblant l’écosystème Go. Le module malveillant github.com/shopsprint/decimal imite la bibliothèque légitime github.com/shopspring/decimal (38 634 importateurs connus), en ne différant que d’un seul caractère dans le nom du vendeur (shopsprint vs shopspring). 🗓️ Chronologie de l’attaque Le module typosquat a été publié pour la première fois le 2017-11-08, avec sept versions non malveillantes servant de miroir fidèle de la bibliothèque légitime. Le 2023-08-19, deux versions ont été publiées à sept minutes d’intervalle : ...