TTP

📰 Contexte Publié le 1er juin 2026 par BleepingComputer, cet article rapporte l’alerte émise par le Centre pour la Cybersécurité Belgique (CCB) concernant l’exploitation active dans la nature d’une vulnérabilité critique récemment corrigée dans Windows Netlogon. 🔍 Vulnérabilité CVE-2026-41089 CVE-2026-41089 est un stack-based buffer overflow dans le service Windows Netlogon (interface RPC utilisée pour l’authentification sur les réseaux de domaine Windows). Elle permet à un attaquant non authentifié d’obtenir une exécution de code à distance (RCE) sur des contrôleurs de domaine ciblés. ...

🗓️ Contexte Publié le 2 juin 2026 sur le blog Calif (blog.calif.io), cet article présente la divulgation publique d’un exploit de déni de service distant baptisé HTTP/2 Bomb, découvert par l’IA Codex de OpenAI. La découverte a été réalisée par Quang Luong, avec confirmation par Jun Rong et Duc Phan. 🎯 Nature de l’attaque L’exploit chaîne deux techniques connues depuis une décennie : HPACK Indexed Reference Bomb : insertion d’un header dans la table dynamique HPACK (RFC 7541), puis émission de milliers de références indexées d’un seul octet. Chaque octet sur le réseau provoque une allocation mémoire côté serveur allant de ~70 octets (nginx, IIS, Pingora) à ~4 000 octets (Apache httpd, Envoy). HTTP/2 Window Stall : annonce d’une fenêtre de contrôle de flux à zéro octet, empêchant le serveur de libérer la mémoire allouée, avec envoi de trames WINDOW_UPDATE d’un octet pour maintenir la connexion ouverte indéfiniment. La nouveauté réside dans la source de l’amplification : contrairement aux bombes classiques qui stockent une grande valeur, ici le header est quasi vide et l’amplification provient du bookkeeping par entrée alloué par le serveur, contournant les limites de taille de header décodé. ...

🗓️ Contexte Publié le 3 juin 2026 sur BleepingComputer, cet article présente une nouvelle technique d’attaque par déni de service (DoS) nommée HTTP/2 Bomb, découverte par l’agent logiciel Codex d’OpenAI sous la direction de chercheurs de la société de sécurité offensive Calif. 🔍 Mécanisme de l’attaque L’attaque combine deux méthodes DoS HTTP/2 préexistantes : Amplification HPACK : un en-tête est inséré dans la table dynamique HPACK et référencé répétitivement via une représentation indexée compacte d’un seul octet. Un octet envoyé par l’attaquant peut provoquer des milliers d’octets d’allocation mémoire côté serveur (ratio jusqu’à 5 700:1 pour Envoy, 4 000:1 pour Apache httpd). Blocage de libération mémoire via flow-control HTTP/2 (style Slowloris) : en annonçant une fenêtre de contrôle de flux à zéro octet, le serveur ne peut jamais finaliser la réponse et continue d’envoyer des trames WINDOW_UPDATE pour éviter les timeouts. La mémoire allouée n’est jamais libérée. Cette combinaison permet à une seule machine sur une connexion 100 Mbps d’épuiser des dizaines de gigaoctets de RAM en quelques secondes. ...

🗓️ Contexte Source : cryptika.com (relayant cybersecuritynews.com), publiée le 4 juin 2026. L’analyse est basée sur les recherches d’Arctic Wolf, qui ont cartographié l’infrastructure complète de l’opération Kali365. 🎣 Description de la menace Kali365 est une plateforme phishing-as-a-service (PhaaS) détectée pour la première fois en avril 2026. Elle exploite le flux d’autorisation de périphérique OAuth 2.0 de Microsoft (device authorization flow) pour contourner le MFA et voler des tokens d’authentification valides sans jamais avoir besoin du mot de passe de la victime. ...

🗓️ Contexte Rapport publié le 1er juin 2026 par The Register, basé sur une étude de Check Point Software portant sur les menaces numériques ciblant les élections de mi-mandat américaines de novembre 2026. 📊 Infrastructure de domaines électoraux Entre avril 13 et mai 14 2026, Check Point a recensé : ~1 140 nouveaux domaines contenant le mot « election » ~4 010 nouveaux domaines contenant le mot « vote » Pour comparaison, en janvier 2026, environ 1 300 domaines contenaient « election » et 2 957 contenaient « vote ». ...

📰 Contexte Source : blog.sucuri.net — Publication du 1er juin 2026. Il s’agit du récapitulatif mensuel de Sucuri listant les vulnérabilités de sécurité découvertes et patchées dans l’écosystème WordPress (plugins et thèmes) au cours du mois de mai 2026. 🔴 Vulnérabilités critiques Trois vulnérabilités sont classées Critical : Advanced Custom Fields: Extended (≤ 0.9.2.5) — Privilege Escalation sans authentification — CVE-2026-8809 — patché en 0.9.2.6 Avada (Fusion) Builder (≤ 3.15.2) — Remote Code Execution sans authentification — CVE-2026-6279 — patché en 3.15.3 Gravity Forms (≤ 2.10.0.1) — Arbitrary File Deletion sans authentification — CVE-2026-48866 — patché en 2.10.1 🟠 Vulnérabilités High sans authentification (sélection) LiteSpeed Cache (≤ 7.7) — XSS — CVE-2026-3375 — 7M+ installations WooCommerce PayPal Payments (≤ 4.0.1) — Broken Access Control — CVE-2026-9284 Forminator Forms (≤ 1.52.1) — Arbitrary File Read — CVE-2026-5192 ManageWP Worker (≤ 4.9.31) — XSS — CVE-2026-3718 Database Backup for WordPress (≤ 2.5.2) — Arbitrary File Read + Broken Access Control (x2) — CVE-2026-4030, CVE-2026-4029, CVE-2026-4031 Kirki (≤ 6.0.6) — Arbitrary File Read — CVE-2026-8073 Post SMTP (≤ 3.6.2) — XSS — CVE-2026-48838 Appointment Booking Calendar (≤ 1.6.11.8) — SQL Injection — CVE-2026-7797 Email Marketing for WooCommerce by Omnisend (≤ 1.18.0) — Broken Authentication — CVE-2026-42668 PixelYourSite Pro (≤ 12.5.0.1) — SSRF — CVE-2026-7049 Avada (Fusion) Builder (≤ 3.15.1) — SQL Injection — CVE-2026-4798 Slider Revolution — Arbitrary File Upload — CVE-2026-6692 Betheme (≤ 28.4) — Remote Code Execution — CVE-2026-6261 Roneous (≤ 2.1.5) — Local File Inclusion sans authentification — CVE-2025-69177 — pas de patch disponible 🟡 Plugins sans patch disponible au moment de la publication Meta for WooCommerce (≤ 3.7.0) — Open Redirect — CVE-2026-49059 Adminimize (≤ 1.11.11) — Broken Access Control — CVE-2026-49045 Duplicate Page and Post (≤ 2.9.5) — SQL Injection — CVE-2026-49046 The Post Grid (≤ 7.9.2) — Broken Access Control — CVE-2026-49054 Roneous (≤ 2.1.5) — Local File Inclusion — CVE-2025-69177 📊 Périmètre global L’article couvre plus de 100 entrées CVE réparties sur des dizaines de plugins et thèmes WordPress, avec des bases d’installation allant de 90 000 à plus de 10 millions (Yoast SEO). Les types de vulnérabilités incluent : XSS, Broken Access Control, SQL Injection, RCE, Privilege Escalation, Arbitrary File Read/Upload/Deletion, IDOR, SSRF, Path Traversal, Local File Inclusion, Information Disclosure, Open Redirect, Broken Authentication, Denial of Service, Content Injection. ...

🗓️ Contexte Source : Blick.ch (ATS), publié le 6 juin 2026. L’article rapporte la confirmation publique par le président du conseil d’administration de Ruag, Jürg Rötheli, du paiement d’une rançon à la suite d’une cyberattaque survenue en automne 2025. 🎯 Victime et périmètre de l’attaque Victime principale : Ruag LLC, filiale américaine de Ruag (entreprise d’armement appartenant à la Confédération suisse), basée en Virginie (USA) La filiale emploie 8 personnes et sert de bureau de liaison avec des partenaires américains (pièces de rechange pour avions de combat, maintenance) Les systèmes informatiques de la filiale sont autonomes, ce qui a limité l’impact sur le reste du groupe 🦠 Acteur de la menace et mode opératoire Le groupe Akira, apparu en mars 2023, est responsable de l’attaque. Il pratique la double extorsion : ...

🏛️ Contexte Source : BleepingComputer, publié le 3 juin 2026. L’OFAC (Office of Foreign Assets Control) du Trésor américain a annoncé des sanctions contre Nobitex, le plus grand exchange de cryptomonnaies iranien, ainsi que contre trois autres plateformes : Wallex, Bitpin et Ramzinex. Ces mesures s’inscrivent dans la campagne gouvernementale américaine dénommée « Economic Fury ». 🎯 Motifs des sanctions Nobitex est accusé d’avoir : Traité plus de 50 % de l’ensemble des flux entrants d’actifs numériques iraniens en 2025 Facilité des paiements liés aux activités terroristes de l’Iran Permis des transactions associées à l’IRGC (Corps des Gardiens de la Révolution Islamique), incluant des acteurs ransomware affiliés Aidé la Banque centrale d’Iran à accéder à des centaines de millions de dollars en stablecoins pour soutenir le rial iranien Permis à des initiés du régime d’accéder à des exchanges internationaux et d’éluder les sanctions dans plusieurs juridictions 👤 Individus désignés L’OFAC a également désigné des dirigeants de Nobitex : ...

🔍 Contexte Publié le 5 juin 2026 par Resecurity, ce rapport de threat intelligence détaille l’infrastructure technique du Silent Ransom Group (SRG), également connu sous les alias Luna Moth, Chatty Spider et UNC3753. Le groupe est actif depuis au moins 2022 et se spécialise dans le vol de données et l’extorsion sans chiffrement. 🎯 Cibles et secteurs visés Le SRG cible prioritairement : Cabinets d’avocats (AmLaw 100, au moins 38 firmes compromises) Prestataires de services comptables Secteurs santé, hôtellerie, finance et assurance Les cabinets juridiques représentent près d’un quart des incidents ransomware du Q1 2026, faisant du secteur légal le 4e secteur le plus ciblé. ...

🔍 Contexte Publié le 3 juin 2026 par l’équipe Proofpoint Threat Research, cet article présente une analyse détaillée de TA4922, un acteur cybercriminel sinophone nouvellement désigné, actif depuis le printemps 2025 et dont l’activité s’est fortement intensifiée entre mars et avril 2026. 🎭 Profil de l’acteur TA4922 est évalué comme financièrement motivé, ciblant principalement les organisations en Asie de l’Est (Japon, Taïwan, Corée, Singapour, Inde, Malaisie, Indonésie) avec une expansion récente vers l’Europe (Royaume-Uni, Allemagne, Italie) et l’Afrique du Sud. L’acteur présente des chevauchements d’outillage et d’infrastructure avec les clusters Silver Fox et Void Arachne, mais Proofpoint le suit comme un cluster distinct à orientation cybercriminelle. ...