TTP

🌐 Contexte Publié le 11 mai 2026 par DomainTools sur leur portail de recherche, ce rapport constitue une analyse technique et stratégique complète de la campagne d’influence Doppelgänger, attribuée à des acteurs liés à la Russie et opérée par deux entités complémentaires : la Social Design Agency (SDA) et Structura. 🏗️ Structure organisationnelle SDA : organe de planification stratégique et narrative, coordonne le développement des thèmes, le timing et la distribution Structura : fournisseur d’infrastructure technique (enregistrement de domaines, hébergement, systèmes de redirection, analytics) Connexions documentées avec l’Administration présidentielle russe, l’organisation ANO Dialog et Sergei Kiriyenko Couche de personnel synthétique (RRN) : faux organigramme de rédaction avec rôles hiérarchiques (rédacteur en chef, éditeurs, journalistes) basés sur des identités fabriquées 🔧 Architecture d’infrastructure Réseau de sites feeder : ...

🔍 Contexte Publié le 13 mai 2026 sur GitHub, cet article présente Fragnesia, un exploit d’élévation de privilèges locale (LPE) universel sous Linux, découvert par William Bowling de l’équipe V12 Security. Le code source est disponible publiquement sur GitHub. 🐛 Vulnérabilité Fragnesia appartient à la classe de vulnérabilités Dirty Frag, distincte du bug original dirtyfrag mais exploitant la même surface d’attaque : le sous-système Linux XFRM ESP-in-TCP. Le bug est un logic bug : le SKB (socket buffer) « oublie » qu’un fragment est partagé lors de la coalescence. ...

🔍 Contexte Cet article est une mise à jour officielle publiée par Checkmarx le 9 mai 2026 sur leur blog, relatant un incident de sécurité supply chain en cours ayant débuté le 23 mars 2026. L’article compile plusieurs mises à jour successives (23 mars, 22 avril, 26 avril, 27 avril, 9 mai 2026). 🗓️ Chronologie de l’incident 23 mars 2026 : Checkmarx identifie un incident supply chain lié à l’attaque TeamPCP ciblant le scanner Trivy (signalée le 19 mars). Des artefacts malveillants sont publiés sur OpenVSX et dans des GitHub Actions. L’attaquant pousse du code malveillant directement dans les dépôts GitHub de Checkmarx. 30 mars 2026 : Exfiltration de données depuis les dépôts GitHub de Checkmarx. 22 avril 2026 : Deuxième vague de publications d’artefacts malveillants (KICS DockerHub, ast-github-action, extensions VS Code), indiquant un accès persistant ou renouvelé de l’attaquant. 25 avril 2026 : LAPSUS$ publie sur le dark web des données estampillées du 30 mars, issues des dépôts GitHub de Checkmarx. 9 mai 2026 : Publication d’une version malveillante du plugin Jenkins AST (version 2026.5.09) sur le Jenkins Marketplace. 🎯 Artefacts compromis Vague 1 (23 mars 2026) : ...

📰 Source : Cybernews, publié le 11 mai 2026 (mis à jour le 13 mai 2026). L’article rapporte une fuite de données revendiquée par le groupe Lapsus$ à l’encontre de Vodafone, l’un des plus grands opérateurs de télécommunications mondiaux. 🎯 Nature de l’incident Lapsus$ affirme avoir exfiltré du code source interne de Vodafone et avoir accordé un délai de 15 jours à l’entreprise pour entamer des négociations. Face au refus de Vodafone, le groupe a publié l’intégralité du dataset sur son site de fuite avec le message : « Time expired. Vodafone refused to pay. Data is now public. » ...

📅 Contexte Article publié le 12 mai 2026 sur Krebs on Security, couvrant le Patch Tuesday de mai 2026. Il s’agit d’un tour d’horizon mensuel des correctifs de sécurité publiés par les principaux éditeurs logiciels. 🪟 Microsoft – 118 vulnérabilités corrigées Microsoft publie des correctifs pour 118 vulnérabilités dans ses systèmes Windows et autres produits. C’est le premier Patch Tuesday depuis près de deux ans sans zero-day activement exploité ni vulnérabilité préalablement divulguée publiquement. ...

🔍 Contexte Le 11 mai 2026, TanStack a publié un post-mortem détaillé d’une compromission de chaîne d’approvisionnement npm survenue entre 19:20 et 19:26 UTC. L’incident a affecté 42 packages @tanstack/* avec 84 versions malveillantes publiées via un enchaînement de trois vulnérabilités dans le pipeline GitHub Actions. ⚙️ Vecteur d’attaque — Trois vulnérabilités chaînées 1. Pattern « Pwn Request » via pull_request_target Le workflow bundle-size.yml utilisait le déclencheur pull_request_target et effectuait un checkout du code de la PR fork, permettant l’exécution de code non approuvé dans le contexte du dépôt de base. ...

🧭 Contexte Publié le 12 mai 2026 par Ross McKerchar (CSO de Sophos), cet article de recherche traite des risques de sécurité liés au déploiement d’agents IA en entreprise, en particulier face à la menace d’injection de prompt indirecte (indirect prompt injection). L’article s’appuie sur des travaux de recherche récents, notamment une étude Google d’avril 2026 sur le dépôt Common Crawl. ⚠️ La menace : la « trifecta létale » Les agents IA opèrent souvent au centre de ce que Simon Wilson nomme la « lethal trifecta » : ils accèdent à des données privées, traitent du contenu non fiable, et communiquent vers l’extérieur. Cette combinaison les rend vulnérables à l’injection de prompt indirecte, où un attaquant plante des instructions dans du contenu lu par l’agent (email, page web, document), qui les exécute avec les privilèges de l’utilisateur légitime. ...

🔍 Contexte Publié le 14 avril 2026 par Elastic Security Labs (auteurs : Salim Bitam, Samir Bousseaden, Daniel Stepanic), cet article détaille la campagne REF6598, une opération d’ingénierie sociale sophistiquée ciblant des individus dans les secteurs financier et des cryptomonnaies. 🎯 Vecteur d’accès initial Les attaquants se font passer pour une société de capital-risque et contactent leurs cibles via LinkedIn, puis migrent la conversation vers Telegram. Ils invitent la victime à utiliser Obsidian comme base de données partagée, en lui fournissant des identifiants pour se connecter à un vault cloud contrôlé par l’attaquant. ...

🔍 Contexte Le 13 mai 2026, Datadog Security Labs publie une analyse statique approfondie du code source du framework offensif Shai-Hulud, attribué au groupe TeamPCP. Ce code a brièvement été disponible sur GitHub avant d’être retiré par la plateforme, mais plusieurs forks ont permis à Datadog d’en obtenir une copie complète. 🎯 Attribution et contexte de la campagne Tout au long du début 2026, TeamPCP a mené une série d’attaques supply chain escaladantes sur les écosystèmes npm et PyPI : hijacking de tags Trivy/Checkmarx KICS, empoisonnement de LiteLLM sur PyPI, compromission des packages TanStack et UiPath sur npm. Le dépôt publié contient le message “Love - TeamPCP” et “Change keys and C as needed”, avec tous les commits datés au 2099-01-01 et signés TeamPCP_OSS <TeamPCP>. ...

🛒 Violation de données chez Skoda Auto Source : Cybernews — Date de publication : 13 mai 2026 Lors d’un exercice de surveillance technique de sécurité, Skoda a découvert que plusieurs individus non autorisés avaient exploité une vulnérabilité dans le logiciel de sa boutique en ligne. Ces attaquants ont obtenu un accès temporaire à la boutique et aux données qui y étaient stockées. 📋 Données exposées Les informations personnelles potentiellement compromises incluent : ...