TTP

🔍 Contexte Publié le 7 mai 2026 par l’équipe SOCRadar Threat Research, ce rapport constitue la première documentation publique d’Operation HookedWing, une campagne de phishing active depuis 2022 et non attribuée à ce jour à un acteur connu. 🎯 Ciblage et victimologie La campagne a compromis plus de 2 500 victimes uniques réparties dans plus de 500 organisations à travers le monde. Les secteurs les plus touchés sont : Aviation / Voyage (~28%) Gouvernement / Administration publique (~16%) Énergie / Pétrole (~12%) Logistique / Transport (~10%) Finance / Banque (~8%) Géographiquement, les victimes se concentrent en Afrique subsaharienne et Asie du Sud (Nigeria, Népal, Ouganda, Sri Lanka, Sénégal). Le ciblage suit les corridors aériens stratégiques reliant l’Afrique, le Golfe Persique, l’Asie du Sud et l’Asie du Sud-Est. ...

🔍 Contexte Publié le 15 mai 2026 par la Ransom-ISAC Research Team, ce whitepaper technique de 120 minutes analyse le corpus Rocket.Chat du groupe The Gentlemen, un opérateur RaaS russophone actif depuis juillet/août 2025. La fuite a été initiée par un utilisateur « n345 » qui a proposé les données à la vente le 5 mai 2026 pour 10 000 USD en Bitcoin sur PwnForums, avant de les publier gratuitement le 8 mai sur CryptBB. ...

🗓️ Contexte Article de perspective senior publié dans The Cyber Defense Review (vol. 11, n°2, 2026), rédigé par Rob Joyce, ancien chef de la Cybersecurity Directorate de la NSA et ancien conseiller à la sécurité intérieure du NSC. L’article est une analyse stratégique et politique, non un rapport technique d’incident. 🎯 Campagnes analysées Deux campagnes chinoises majeures sont au cœur de l’analyse : Volt Typhoon : campagne attribuée à la PLA Strategic Support Force, révélée publiquement en 2023. Cibles : centres de commandement du transport, logistique portuaire de la côte Ouest, infrastructures de communication à Guam, interconnexions fibre critiques pour les opérations militaires dans le Pacifique. Salt Typhoon : intrusion dans les plus grandes entreprises de télécommunications américaines, compromettant des communications liées aux candidats présidentiels Trump et Vance. Qualifiée de « violation la plus dommageable du système téléphonique américain ». 🧨 Nature des opérations Joyce argue que ces campagnes ne relèvent pas de l’espionnage classique mais d’une préparation militaire en temps de paix : ...

📰 Contexte Cette publication émane du Bundeskriminalamt (BKA), l’office fédéral de police criminelle allemand, datée du 12-13 mai 2026. Elle dresse un bilan statistique des attaques ransomware enregistrées en Allemagne au cours de l’année 2025. 📊 Chiffres clés 1 041 attaques ransomware signalées en 2025, soit une hausse de 10% par rapport à 2024 Les paiements de rançons moyens ont significativement augmenté Le montant total des rançons versées s’élève à environ 15,5 millions USD Paradoxalement, de moins en moins de victimes paient la rançon, ce qui est interprété comme un signe de résilience accrue des entreprises 🎯 Secteurs ciblés Les victimes principalement touchées sont : ...

🔍 Contexte Publié le 13 mai 2026 sur le blog officiel d’OpenAI, cet article constitue un post-mortem détaillé d’un incident de sécurité survenu le 11 mai 2026 UTC, impliquant une attaque de type supply chain via la bibliothèque open-source TanStack npm. 💥 Nature de l’attaque L’attaque, baptisée Mini Shai-Hulud, a compromis TanStack, une bibliothèque open-source largement utilisée. Deux appareils d’employés dans l’environnement corporate d’OpenAI ont été infectés. L’incident s’est produit durant le déploiement progressif de nouveaux contrôles de sécurité, les deux appareils impactés ne disposant pas encore des configurations mises à jour. ...

📰 Source : SecurityAffairs — Date de publication : 11 mai 2026 🔍 Contexte Crimenetwork était l’une des principales marketplaces cybercriminelles germanophones, active depuis 2012 et démantelée une première fois en décembre 2024 par les autorités allemandes. Quelques jours après ce premier démantèlement, une version relancée de la plateforme avait émergé sur une nouvelle infrastructure. ⚙️ Déroulement de l’opération L’opération a été conduite conjointement par : Le Parquet de Francfort-sur-le-Main Le ZIT (Zentralstelle zur Bekämpfung der Internetkriminalität — Bureau central de lutte contre la cybercriminalité) Le BKA (Bundeskriminalamt — Police criminelle fédérale allemande) Un suspect de 35 ans, ressortissant allemand, présumé administrateur de la plateforme relancée, a été arrêté à Majorque par les autorités espagnoles dans le cadre de cette opération. ...

📰 Source : ICTjournal.ch — Article publié le 15 mai 2026, par Yannick Chavanne, relayant un article de la Tribune de Genève. 🎯 Contexte de l’incident La Fondation genevoise pour la formation des adultes (Ifage) a été victime d’une cyberattaque survenue les 11 et 12 avril 2026, détectée le 13 avril 2026. L’incident a conduit à une exfiltration non autorisée de données RH concernant le personnel actuel et ancien de l’organisation. ...

🔍 Contexte Publié le 14 mai 2026 par l’équipe Research Special Operations (RSO) de Tenable, cet article de type FAQ documente l’exploitation active et continue de cinq vulnérabilités critiques dans Cisco Catalyst SD-WAN Controller et Manager, ainsi qu’une sixième vulnérabilité plus ancienne utilisée pour l’élévation de privilèges. 📅 Chronologie des divulgations 25 février 2026 : Cisco divulgue CVE-2026-20127 (CVSS 10.0, authentication bypass, déjà exploitée) et trois autres CVEs (CVE-2026-20133, CVE-2026-20128, CVE-2026-20122). CISA ajoute CVE-2026-20127 et CVE-2022-20775 au catalogue KEV. Mars 2026 : Exploitation de CVE-2026-20128 et CVE-2026-20122 confirmée. ZeroZenX Labs publie un PoC pour la chaîne CVE-2026-20133/20128/20122. Avril 2026 : Exploitation de CVE-2026-20133 confirmée. CISA ajoute CVE-2026-20133, CVE-2026-20128 et CVE-2026-20122 au KEV. 14 mai 2026 : Cisco divulgue CVE-2026-20182 (CVSS 10.0, zero-day, authentication bypass). CISA émet la Directive d’urgence 26-03 et ajoute CVE-2026-20182 au KEV avec échéance de remédiation au 17 mai 2026. 🛡️ Vulnérabilités impliquées CVE Description CVSS CVE-2026-20182 Authentication Bypass (Controller & Manager) 10.0 CVE-2026-20127 Authentication Bypass (Controller & Manager) 10.0 CVE-2026-20133 Information Disclosure (Manager) 7.5 CVE-2026-20128 Credential Access (Manager) 7.5 CVE-2026-20122 Arbitrary File Overwrite (Manager) 5.4 CVE-2022-20775 CLI Path Traversal / Privilege Escalation 7.8 🎯 Acteur principal : UAT-8616 UAT-8616, désigné par Cisco Talos comme un acteur de menace « hautement sophistiqué », exploite les infrastructures Cisco SD-WAN depuis au moins 2023. Son infrastructure présente des chevauchements avec des réseaux Operational Relay Box (ORB). Il cible des secteurs d’infrastructure critique. ...

📅 Source : GBHackers Security | Date de publication : 11 mai 2026 Contexte Une campagne malveillante a été identifiée exploitant un faux site de téléchargement de l’IA Claude (Anthropic) pour distribuer un malware. Les attaquants ont enregistré le domaine claude-pro[.]com, imitant visuellement le site légitime d’Anthropic, afin de tromper les victimes. Mécanisme d’attaque La chaîne d’infection repose sur plusieurs composants : 🎯 Malvertising : vecteur initial pour diriger les victimes vers le faux site 📦 Installateur trojanisé : faux installateur Claude distribué via le site frauduleux 🔗 DLL sideloading style PlugX : technique d’exécution furtive utilisant des composants de logiciels de sécurité signés légitimement 🚪 Backdoor “Beagle” : nouveau backdoor Windows déployé en charge finale, permettant persistance et contrôle à distance Caractéristiques notables La campagne combine malvertising, ingénierie sociale (usurpation d’identité d’un outil IA populaire), et l’abus de binaires signés pour contourner les défenses. Le recours à des composants légitimes de logiciels de sécurité pour le sideloading vise à échapper à la détection. ...

📰 Source : Wired | Date de publication : 12 mai 2026 Un groupe de ransomware non nommé revendique une attaque contre Foxconn, géant mondial de la fabrication électronique, affirmant avoir exfiltré 8 téraoctets de données, dont des schémas techniques et des détails de projets appartenant à des clients majeurs tels que Dell, Google, Apple et Nvidia. 🏭 Foxconn a reconnu publiquement que certaines de ses usines nord-américaines ont subi une cyberattaque dans les jours précédant la publication de l’article. La société indique que les usines affectées reprennent progressivement leur production normale après des interruptions. ...