TTP

🗓️ Contexte Article de presse d’investigation publié le 3 mai 2026 par ABC News (Four Corners), basé sur le travail d’un chercheur en sécurité anonyme ayant découvert et signalé la vulnérabilité dès 2024. 🔍 Nature de la vulnérabilité Les équipements Axon Bluetooth (tasers T7, T10 et caméras corporelles) utilisent une adresse MAC fixe et publique non randomisée, contrairement aux pratiques de confidentialité standard (ex : Apple iPhone). Cette adresse MAC statique permet à quiconque disposant d’un téléphone ou d’un ordinateur portable de détecter, identifier et géolocaliser en temps réel les officiers de police portant ces équipements. ...

📰 Source : Libération — publié le 11 mai 2026. L’article rapporte une cyberattaque confirmée contre La France Insoumise (LFI), mouvement politique français dirigé par Jean-Luc Mélenchon. 🎯 Nature de l’incident : Un hackeur anonyme a revendiqué l’attaque le 7 mai 2026 sur un forum spécialisé. LFI a confirmé l’incident par mail à ses adhérents le 9 mai 2026. L’attaque a ciblé Action populaire, le réseau social interne de LFI destiné à mettre en contact les militants. ...

🌐 Contexte Publié le 11 mai 2026 par le Google Threat Intelligence Group (GTIG), ce rapport constitue une mise à jour du rapport de février 2026 sur l’activité liée à l’IA. Il s’appuie sur des engagements Mandiant, des données Gemini et des recherches proactives de GTIG. 🤖 IA comme outil offensif Découverte de vulnérabilités et exploitation Premier cas documenté d’un acteur cybercriminel ayant utilisé l’IA pour développer un exploit zero-day : un bypass de 2FA dans un outil d’administration web open-source, implémenté en Python. L’exploitation de masse a été évitée grâce à la divulgation responsable de GTIG. UNC2814 (nexus PRC) a utilisé des prompts de persona experte pour rechercher des vulnérabilités dans des firmwares TP-Link et des implémentations OFTP. APT45 (nexus DPRK) a envoyé des milliers de prompts répétitifs pour analyser des CVEs et valider des PoC exploits de manière automatisée. Des acteurs expérimentent avec le dépôt wooyun-legacy (plugin Claude intégrant +85 000 cas de vulnérabilités réelles) pour l’apprentissage en contexte. Utilisation d’outils agentiques OpenClaw et OneClaw dans des environnements de test vulnérables. Obfuscation et évasion (malwares AI-augmentés) Malware Type d’obfuscation PROMPTFLUX Modification dynamique du code HONESTCUE Génération de payload d’évasion (VBScript via Gemini API) CANFAIL Logique de leurre (decoy logic) LONGSTREAM Logique de leurre (decoy logic) APT27 (nexus PRC) a utilisé Gemini pour développer une application de gestion de flotte pour un réseau ORB (Operational Relay Box), avec paramètre maxHops=3 et support de dispositifs MOBILE_WIFI/ROUTER. CANFAIL et LONGSTREAM (nexus Russie) ciblent des organisations ukrainiennes et intègrent du code leurre généré par LLM pour masquer leur fonctionnalité malveillante. 🦠 PROMPTSPY : Orchestration autonome d’attaques PROMPTSPY est un backdoor Android qui intègre un module agent autonome nommé GeminiAutomationAgent : ...

🔍 Contexte Publié le 7 mai 2026 par la Push Security Research Team, cet article présente les résultats d’une infiltration directe de panels de phishing criminels actifs, liés aux groupes ShinyHunters (UNC6240) et BlackFile (UNC6671), dans le cadre de campagnes hybrides de vishing et phishing AiTM actives depuis août 2025. 🎯 Campagnes et victimes confirmées Les attaques ciblent des centaines d’organisations dans les secteurs financier, technologique, crypto, santé, hôtellerie et aviation privée. Des violations publiquement confirmées incluent : ...

🔍 Contexte Source : BleepingComputer, publié le 8 mai 2026. NVIDIA a confirmé à BleepingComputer une violation de données affectant les utilisateurs du service de cloud gaming GeForce NOW, limitée à l’Arménie et causée par la compromission de l’infrastructure d’un partenaire régional tiers, GFN.am. 🎯 Nature de l’incident L’incident a eu lieu entre le 20 et le 26 mars 2026 et a affecté les systèmes opérés par GFN.am, l’opérateur régional de GeForce NOW en Arménie. Les infrastructures propres de NVIDIA n’ont pas été impactées. Les partenaires Alliance opèrent des systèmes d’authentification, bases de données clients et infrastructures locales indépendants. ...

🔍 Contexte Publié le 7 mai 2026 par Assaf Morag (Flare), cet article analyse un outil malveillant nommé PamDOORa, dont le code source est mis en vente sur Rehub, un forum cybercriminel russophone, initialement à 1 600 USD puis réduit à 900 USD. 🛠️ Description technique de PamDOORa PamDOORa est un backdoor post-exploitation pour Linux (x86_64) qui s’intègre dans la couche PAM (Pluggable Authentication Module) du système d’exploitation. Ses capacités incluent : ...

🔍 Contexte Source : SecurityWeek, article publié le 11 mai 2026 par Ionut Arghire. SailPoint, fournisseur de solutions de gestion et gouvernance des identités, a divulgué un incident de cybersécurité via un dépôt auprès de la SEC (Securities and Exchange Commission). 📋 Déroulement de l’incident Date de l’incident : 20 avril 2026 Vecteur d’accès : vulnérabilité dans une application tierce ayant permis l’accès aux dépôts GitHub Périmètre compromis : un sous-ensemble des dépôts GitHub de SailPoint L’activité non autorisée a été immédiatement détectée et stoppée par l’équipe de réponse aux incidents La vulnérabilité sous-jacente a été corrigée 📊 Impact Aucune donnée client dans les environnements de production ou de staging n’a été accédée selon l’investigation Aucune interruption de service n’a été constatée Les clients dont des informations étaient stockées dans les dépôts compromis ont été directement notifiés Le type exact de données potentiellement compromises n’a pas été précisé par SailPoint 🕵️ Attribution Aucun acteur de menace n’a été officiellement identifié par SailPoint L’article mentionne une possible relation avec la vague récente d’attaques supply chain revendiquées par le groupe TeamPCP, sans confirmation L’investigation a été conduite en collaboration avec une firme de cybersécurité tierce 📰 Nature de l’article Annonce d’incident basée sur un dépôt SEC, à visée informationnelle pour les professionnels de la cybersécurité et les clients de SailPoint. ...

📰 Source : Boston Globe — publié le 7 mai 2026, relatant un incident en cours affectant la plateforme d’apprentissage en ligne Canvas d’Instructure. 🎯 Nature de l’incident Une cyberattaque attribuée au groupe ShinyHunters a ciblé Instructure, éditeur de la plateforme Canvas (LMS — Learning Management System). L’attaque a provoqué une panne nationale aux États-Unis, rendant la plateforme inaccessible à des milliers d’étudiants et d’enseignants en pleine période d’examens finaux. ...

🔍 Contexte Publié le 29 avril 2026 par Darktrace (blog Inside the SOC), cet article présente l’analyse technique d’une campagne observée le 18 mars 2026 sur le réseau de honeypots “CloudyPots” de Darktrace. Un acteur malveillant a exploité une instance Jenkins intentionnellement mal configurée pour déployer un botnet DDoS ciblant les serveurs de jeux vidéo. 🎯 Vecteur d’accès initial L’attaquant a abusé de l’endpoint scriptText de Jenkins, qui permet l’exécution de scripts Groovy via la JVM. L’instance honeypot était configurée avec un mot de passe faible, permettant une exécution de code à distance (RCE). Le script malveillant a été envoyé en form-data (URL-encodé) et décodé via CyberChef par les analystes. ...

📰 Source : Cofense Intelligence Blog, publié le 6 mai 2026, par Micah DeHarty (Intelligence Team). Contexte Cofense Intelligence documente une tendance croissante d’abus de la plateforme Vercel, un outil de développement web basé sur l’IA, à des fins de phishing de credentials. L’article s’appuie sur des observations issues de la base de données Active Threat Reports (ATR) de la plateforme ThreatHQ de Cofense. Mécanisme d’abus Vercel intègre un outil GenAI appelé v0[.]dev qui permet de générer des pages web fonctionnelles à partir de simples prompts textuels. Les acteurs malveillants exploitent cette fonctionnalité pour : ...