TTP

📰 Source : Computer Weekly | Date de publication : 3 juin 2026 | Incident : Attaque ransomware contre la NFSP 🎯 La National Federation of Subpostmasters (NFSP), organisation représentant les gérants de bureaux de poste au Royaume-Uni, a été ciblée par une attaque ransomware le 30 avril 2026. 🔓 Le vecteur d’entrée identifié est l’exploitation d’une vulnérabilité critique dans le logiciel cPanel, un panneau de contrôle d’hébergement web utilisé par le prestataire d’hébergement de la NFSP. cPanel avait publié un avis de sécurité en avril pour corriger cette faille, mais celle-ci a été découverte et exploitée par des attaquants avant ou pendant la fenêtre de remédiation. ...

🔍 Contexte Publié le 21 mai 2026 par Trend Micro Research (Philippe Lin, Joseph C Chen, Fyodor Yarochkin, Vladimir Kropotov), cet article documente une opération d’influence et de fraude financière conduite par un acteur solo russophone, tracké sous le pseudonyme bandcampro, sur une période de 5 ans. 🎭 L’opération ‘American Patriot’ L’acteur a créé le canal Telegram @americanpatriotus le 6 février 2021, soit un mois après l’assaut du Capitole, ciblant les communautés QAnon et MAGA en pleine migration vers Telegram. Le canal a atteint environ 17 000 abonnés et s’est étendu à Truth Social via le compte @USGuardianEagle. ...

🗓️ Source : CyberProof Research Team (blog CyberProof), publié le 2 juin 2026. Auteur : Yevgeni Pak. Contexte L’équipe de threat hunting de CyberProof a identifié une campagne de phishing multi-étapes usurpant l’identité de PUMA Careers, ciblant des chercheurs d’emploi via des techniques de reconnaissance LinkedIn et d’ingénierie sociale assistée par IA. La détection initiale a été déclenchée par une anomalie comportementale : l’email de phishing s’adressait à la victime avec son identité LinkedIn publique, alors que le compte email utilisait un format de nom différent. ...

🗓️ Contexte Source : TechCrunch, publié le 3 juin 2026. L’article couvre une campagne de piratage de masse ciblant des comptes Instagram, exploitant le chatbot IA de support de Meta déployé en mars 2026. 🎯 Nature de l’attaque La technique est d’une simplicité extrême : les attaquants ont demandé directement au chatbot IA de Meta de lier le compte cible à une adresse email qu’ils contrôlaient, en se présentant faussement comme le propriétaire légitime du compte. Le chatbot a obtempéré sans vérification, permettant ensuite la réinitialisation du mot de passe et la prise de contrôle totale du compte, parfois avec verrouillage de la victime. ...

🔍 Contexte Publié le 5 juin 2026 par l’équipe Howler Cell de Cyderes, cet article constitue une analyse technique approfondie d’une campagne active de supply chain compromise. Il fait suite à un premier rapport sur CPUID HWMonitor et étend la portée à 11 packages trojanisés au total. 🎯 Description de la campagne Un acteur opérant sous l’alias Leda Elacoate (email : pufferfish11@firemail[.]cc) a maintenu un dépôt Bitbucket (amos-trading/dist-internal) hébergeant des installateurs légitimes repackagés avec une CRYPTBASE.dll malveillante. La technique exploite la CWE-427 (Uncontrolled Search Path Element) : Windows cherche CRYPTBASE.dll dans le dossier applicatif avant System32, permettant le chargement du DLL malveillant. ...

🏛️ Contexte Le 2 juin 2026, la CISA, le FBI, la NSA, le DOE, l’EPA, la TSA, le DOT et l’USDA ont publié conjointement une fiche d’information (TLP:CLEAR) alertant sur des activités malveillantes ciblant les systèmes de jauges automatiques de réservoirs (ATG) basés aux États-Unis. L’activité n’a pas encore été attribuée à un État ou à un groupe d’acteurs spécifique. 🎯 Cibles et contexte opérationnel Les systèmes ATG sont utilisés dans les secteurs de l’énergie, de la chimie, de l’alimentation/agriculture et des transports pour la surveillance automatisée et à distance des paramètres de stockage (niveaux de carburant, température, détection de fuites). Les acteurs malveillants ciblent spécifiquement les systèmes exposés directement sur internet. ...

🗓️ Contexte Source : nau.ch, publiée le 3 juin 2026. L’article rapporte une cyberattaque ayant touché une joint-venture de Metall Zug, groupe industriel suisse coté. 🎯 Nature de l’incident L’attaque a ciblé Belimed Infection Control, entité spécialisée dans le contrôle des infections. Des données ont été copiées depuis des zones délimitées (abgegrenzte Bereiche) des systèmes IT de Belimed Infection Control. La société sœur Steelco Belimed (basée à Zoug) est également mentionnée dans le contexte de l’incident. ...

🗓️ Contexte Source : BleepingComputer, publié le 1er juin 2026. L’incident a été détecté le 31 mai 2026 à 15h19 UTC et marqué comme résolu à 22h30 UTC le même jour. 🔍 Nature de l’incident Des attaques par force brute menées par un tiers externe ont ciblé des comptes utilisateurs du gestionnaire de mots de passe Dashlane. Ces attaques consistaient à tenter de multiples combinaisons de mots de passe depuis des localisations géographiques distantes et des appareils inconnus, dans le but de prendre le contrôle des comptes. ...

🏥 Contexte Source : HaveIBeenPwned (https://haveibeenpwned.com/Breach/DentaQuest), publié le 3 juin 2026. DentaQuest est un administrateur de prestations dentaires opérant aux États-Unis, notamment dans le cadre du programme Medicaid. ⚔️ Nature de l’attaque En mai 2026, le groupe cybercriminel ShinyHunters a mené une campagne d’extorsion de type “pay or leak” contre DentaQuest. Face au refus ou à l’absence de paiement, le groupe a publiquement divulgué des centaines de gigaoctets de données prétendument extraites des systèmes de l’entreprise. ...

🗓️ Contexte Source : Cyber Press (cyberpress.org), publié le 5 juin 2026. L’article s’appuie sur des recherches publiées par G DATA Software. Il documente la découverte de plusieurs extensions Chrome malveillantes ciblant les utilisateurs de plateformes d’IA générative. 🎯 Contexte de la menace En mars 2026, l’écosystème des extensions Chrome liées à l’IA comptait environ 115 millions d’utilisateurs. Des acteurs malveillants exploitent la confiance accordée aux outils de productivité IA pour déguiser des stealers en extensions légitimes. Les données ciblées incluent des conversations confidentielles, du code source propriétaire et des informations médicales personnelles. ...