TTP

🎯 Contexte L’article est publié le 25 avril 2026 par StepSecurity, société spécialisée en sécurité de la chaîne d’approvisionnement logicielle. Il documente la compromission du package Python elementary-data (outil de data observability pour dbt) via une attaque de supply chain ciblant l’infrastructure CI/CD du projet. 🔓 Vecteur d’attaque : injection de script GitHub Actions L’attaquant, opérant depuis le compte GitHub realtungtungtungsahur (créé le 22 avril 2026), a exploité une vulnérabilité d’injection de script dans le workflow .github/workflows/update_pylon_issue.yml. Ce workflow interpolait directement ${{ github.event.comment.body }} dans un bloc run:, permettant l’exécution de code arbitraire via un simple commentaire sur la PR #2147. ...

🔍 Contexte Publié le 20 avril 2026 par Netcraft (Harry Freeborough), cet article présente une investigation approfondie sur Fibergrid, un hébergeur bulletproof actif depuis au moins 2018, identifié comme infrastructure centrale d’une criminalité en ligne à grande échelle. 🏗️ Infrastructure et adresses IP volées Netcraft a identifié 16 700 faux shops actifs hébergés sur l’infrastructure liée à Fibergrid. L’une des caractéristiques distinctives de Fibergrid est la possession de trois plages d’adresses IPv4 issues de l’AFRINIC, représentant 1 million d’adresses IP (valeur estimée : 20 à 25 millions USD), obtenues dans le cadre du scandale dit du « Great African IP Address Heist » (2019) impliquant un ex-dirigeant de l’AFRINIC : ...

🔍 Contexte Publié le 23 avril 2026 par Cisco Talos, cet article constitue une analyse technique détaillée d’une campagne active menée par le groupe UAT-4356, précédemment attribué à la campagne étatique ArcaneDoor (début 2024), ciblant les équipements réseau périmètriques à des fins d’espionnage. 🎯 Vecteur d’accès initial UAT-4356 a exploité deux vulnérabilités n-day affectant le système d’exploitation Cisco FXOS (Firepower eXtensible Operating System) : CVE-2025-20333 CVE-2025-20362 Ces vulnérabilités ont permis un accès non autorisé aux équipements Cisco Firepower, ASA et FTD. ...

🔍 Contexte Publié le 23 avril 2026 par Mandiant / Google Threat Intelligence Group (GTIG), cet article documente une campagne d’intrusion multistade attribuée à un nouveau groupe de menace, UNC6692, détectée fin décembre 2025. 🎯 Vecteur initial et chaîne d’infection L’attaque débute par une campagne d’emails massifs destinée à saturer la boîte de réception de la victime, créant un sentiment d’urgence. L’attaquant contacte ensuite la victime via Microsoft Teams, en se faisant passer pour un employé du helpdesk IT, et l’incite à cliquer sur un lien de « patch anti-spam ». ...

📰 Source : TechCrunch, publié le 22 avril 2026. Cet article couvre la publication d’un correctif de sécurité par Apple pour un bug affectant iOS et iPadOS. 🔍 Contexte : Plus tôt dans le mois, le média indépendant 404 Media avait révélé que le FBI avait réussi à extraire des messages Signal supprimés depuis un iPhone à l’aide d’outils forensiques. La cause identifiée : le contenu des messages affichés en notification était stocké dans une base de données du système, et ce même après suppression des messages dans l’application Signal. ...

🗓️ Contexte Article publié le 23 avril 2026 par The Register (Jessica Lyons), relatant le témoignage exclusif de Boris Vujičić, développeur web basé en Serbie, victime d’une arnaque à l’emploi hautement sophistiquée attribuée à des acteurs liés au gouvernement nord-coréen. 🎭 Déroulement de l’attaque L’attaque a débuté par un message LinkedIn d’un faux recruteur prétendant représenter une entreprise blockchain fictive nommée Genusix Labs. L’infrastructure de la campagne comprenait : Un site web d’apparence légitime avec photos de l’équipe dirigeante Un profil LinkedIn cohérent Des interviews Zoom caméra activée avec des personnages convaincants (dont une RH nommée Zam Villalon) Des ingénieurs fictifs correspondant aux photos du site Lors du second entretien technique, les attaquants ont proposé un test de codage en direct via un dépôt GitHub. Après avoir rassuré la victime (« Feel free to look for backdoors »), ils l’ont amenée à exécuter le code. ...

📰 Source : 24heures.ch — Article de presse généraliste publié le 20 avril 2026, rédigé par Aymeric Dejardin-Verkinder. Contexte Une arnaque de type phishing circulant sur WhatsApp a été détectée en Suisse romande et en France. Initialement repérée en octobre 2025 par Kaspersky, elle s’est d’abord propagée en Europe avant d’atteindre la Suisse ces dernières semaines, faisant déjà des victimes selon des témoignages recueillis par la rédaction. Mécanisme d’attaque Le scénario repose sur une ingénierie sociale exploitant la confiance et l’urgence : ...

🌐 Contexte Publié le 23 avril 2026 par le NCSC (National Cyber Security Centre) du Royaume-Uni lors de la conférence CYBERUK 2026, cet avis conjoint implique 15 agences partenaires issues de 9 pays (Australie, Canada, Allemagne, Japon, Pays-Bas, Nouvelle-Zélande, Espagne, Suède, États-Unis). 🎯 Menace identifiée L’avis porte sur l’utilisation à grande échelle de réseaux couverts (covert networks) par des acteurs liés à la Chine pour masquer l’origine de leurs cyberattaques. Ces réseaux sont constitués d’appareils connectés compromis (routeurs domestiques, objets connectés, équipements edge) formant des botnets. ...

🔍 Contexte Publié le 24 avril 2026 par DomainTools (SecuritySnacks), cet article présente une analyse technique approfondie de la campagne AiFrame, active depuis au moins début 2025, ciblant les utilisateurs de navigateurs Chrome via des extensions malveillantes. 🎯 Extension principale : faux Google Authenticator Une extension Chrome intitulée “2FA Authenticator” (ID : ebhcbenbgjmaebpgbldimndmfomjmphd), publiée le 2 avril 2026 avec plus de 30 000 téléchargements, usurpe l’identité de Google Authenticator. Elle utilise : ...

🔍 Contexte Publié le 23 avril 2026 par le Citizen Lab (Université de Toronto), ce rapport de recherche documente deux campagnes distinctes de surveillance télécom menées par des acteurs désignés STA1 et STA2, identifiés comme des vendeurs commerciaux de surveillance (CSV) opérant probablement pour le compte d’États. L’investigation a débuté fin 2024 suite à l’analyse de logs de pare-feu de signalisation mobile, en collaboration avec Cellusys, Telenor Linx, Roaming Audit et P1 Security. ...