TTP

📰 Source : Kyodo News via Mainichi Shimbun — Date : 20 avril 2026 — Contexte : Résultats d’une enquête menée en janvier 2026 par le Japan Institute for Promotion of Digital Economy and Community (JIPDEC) auprès de 1 107 entreprises japonaises. 📊 Chiffres clés de l’enquête : 507 entreprises sur 1 107 interrogées ont déclaré avoir été victimes d’une attaque par ransomware 222 entreprises ont choisi de payer la rançon aux attaquants Parmi celles ayant payé : 83 ont pu restaurer leurs systèmes et données, 139 n’ont pas pu les récupérer (soit environ 62,6% d’échec) 141 entreprises ont refusé de payer et ont néanmoins réussi à restaurer leurs systèmes et données 💥 Impact : L’enquête met en évidence l’inefficacité fréquente du paiement de rançon comme moyen de récupération des données, avec une majorité des entreprises ayant payé qui n’ont pas obtenu la restauration promise. ...

🗓️ Contexte Source : 20min.ch (Le Nouvelliste), publiée le 22 avril 2026. L’article relate les conséquences d’une cyberattaque par rançongiciel survenue le 12 avril 2026 contre la commune de Vétroz (Valais, Suisse), toujours en cours de rétablissement dix jours après les faits. 🎯 Victimes identifiées L’attaque a touché plusieurs entités partageant le même prestataire informatique : Commune de Vétroz : perte d’accès aux bases de données et logiciels essentiels pendant près d’une semaine ; suppression de tous les courriels reçus depuis le 7 avril. Abrifeu SA (Riddes) : perte totale des mails, de la bureautique et du logiciel de gestion des stocks, livraisons et facturation — paralysie financière. Air-Glaciers : impact limité, les sauvetages héliportés n’ont pas été affectés. Foire du Valais : perte d’accès à deux serveurs (comptabilité toujours bloquée au moment de la publication ; gestion des tourniquets rétablie). 🦠 Acteur de la menace L’attaque est attribuée au groupe transnational AKIRA, spécialisé dans les rançongiciels. Ce groupe est dans le viseur du Ministère public de la Confédération (MPC) suisse, qui a ouvert une procédure pénale en avril 2024. En octobre 2025, le MPC signalait une intensification des activités d’AKIRA en Suisse, évaluant à 200 le nombre d’entreprises victimes et le préjudice à plusieurs millions de francs suisses en Suisse, et plusieurs centaines de millions de dollars à l’échelle mondiale. ...

📰 Source : TechCrunch — Date : 20 avril 2026 Au cours du week-end précédant la publication, des hackers ont dérobé plus de 290 millions de dollars en cryptomonnaies à Kelp DAO, un protocole de rendement sur actifs crypto inactifs. Il s’agit du plus grand vol de cryptomonnaies de l’année 2026 à ce jour, dépassant le précédent record établi lors du hack de l’exchange Drift en avril 2026 (~285 M$). ...

🗓️ Contexte Source : The Record Media, publié le 20 avril 2026. L’article couvre un incident majeur survenu le week-end précédent, impliquant le vol de près de 290 millions de dollars en cryptomonnaies sur la plateforme Kelp, attribué au groupe nord-coréen TraderTraitor, une composante de l’opération Lazarus. 🎯 Déroulement de l’attaque L’attaque a débuté un samedi après-midi, détectée par des sociétés de sécurité blockchain. La chaîne d’attaque est la suivante : ...

🗞️ Contexte Source : The Verge (Jess Weatherbed), publié le 22 avril 2026, relayant un rapport Bloomberg. L’article couvre un incident de sécurité impliquant Anthropic et son modèle d’IA confidentiel Claude Mythos Preview. 🔍 Incident Le 7 avril 2026, jour de l’annonce par Anthropic de la mise à disposition limitée de Mythos, un groupe non identifié d’utilisateurs non autorisés a accédé illicitement au modèle. L’accès a été obtenu via : L’exploitation des accès d’un sous-traitant tiers d’Anthropic Des outils courants de recherche sur internet (« internet sleuthing tools ») Des connaissances sur les formats de modèles d’Anthropic obtenues lors d’une fuite de données chez Mercor, permettant de deviner l’emplacement en ligne du modèle 🎯 Cible et périmètre Claude Mythos Preview est décrit par Anthropic comme capable d’identifier et d’exploiter des vulnérabilités dans tous les principaux systèmes d’exploitation et navigateurs web. L’accès officiel est restreint à un nombre limité d’entreprises via le programme Project Glasswing : Nvidia, Google, Amazon Web Services, Apple et Microsoft. Des gouvernements s’y intéressent également. ...

🔍 Contexte Publié le 22 avril 2026 par Joe Security LLC sur joesecurity.org, cet article présente une reconstruction technique complète d’une chaîne d’infection multi-étages aboutissant au déploiement d’un Cobalt Strike Beacon stageless. L’analyse a été conduite via Joe Sandbox Cloud Pro et le nouvel outil Joe Reverser. 🧩 Chaîne d’infection L’échantillon initial se présentait comme peu suspect mais dissimulait plusieurs couches d’exécution : Stage 1 : Loader .NET (classe CPLoadNET.Runner.cs) avec mécanisme anti-sandbox vérifiant l’appartenance à un domaine Active Directory Stage 2 : Payload chiffré (XOR + Base64), injecté dans un processus iexplore.exe suspendu via process hollowing Stage 3 : Loader en mémoire qui résout les APIs, mappe les sections, corrige les relocations et transfère l’exécution au beacon Cobalt Strike embarqué 🔐 Protocole C2 et cryptographie Le beacon utilise un schéma cryptographique hybride : ...

🗓️ Contexte Source : Le Parisien, publié le 22 avril 2026. L’article rapporte l’interpellation d’un hacker français soupçonné de cyberattaques massives contre de nombreuses organisations françaises, sur la base d’informations communiquées par le parquet de Paris. 👤 Acteur identifié Le suspect opère sous le pseudonyme « HexDex ». Il s’agit d’un homme né en août 2004, âgé d’une vingtaine d’années, interpellé le 20 avril 2026 en Vendée. Il a reconnu l’utilisation de ce pseudonyme lors de sa garde à vue. Il a été arrêté alors qu’il s’apprêtait à publier de nouvelles données. ...

🔍 Contexte Rapport publié le 22 avril 2026 par The DFIR Report, basé sur l’analyse d’un serveur exposé appartenant à un opérateur malveillant. Le serveur contenait plus de 13 000 fichiers répartis dans 150+ répertoires liés à l’exploitation, la collecte de credentials et la gestion de workflow. 🎯 Nature de l’opération L’opération repose sur la plateforme modulaire Bissa Scanner, un outil d’exploitation à grande échelle intégrant des capacités d’IA (Claude Code et OpenClaw) pour l’orchestration, le dépannage et le raffinement du pipeline de collecte. L’opérateur est identifié via Telegram sous le pseudonyme @BonJoviGoesHard (display name “Dr. Tube”, user ID 1609309278). ...

🔍 Contexte Article publié le 18 avril 2026 par Alexander Hanff sur thatprivacyguy.com. L’auteur, analyste en vie privée et sécurité, documente une découverte forensique réalisée sur son MacBook lors d’un audit de son environnement navigateur. 🛠️ Comportement technique documenté L’installation de Claude Desktop (application Electron macOS, bundle ID com.anthropic.claudefordesktop) dépose automatiquement et silencieusement un manifeste Native Messaging (com.anthropic.claude_browser_extension.json) dans les répertoires de configuration de sept navigateurs Chromium : Arc, Brave, Chromium, Google Chrome, Microsoft Edge, Vivaldi et Opera. ...

🗓️ Contexte Le 22 avril 2026, la Sysdig Threat Research Team (TRT) publie une analyse d’incident documentant l’exploitation de CVE-2026-33626, une vulnérabilité Server-Side Request Forgery (SSRF) affectant LMDeploy, un toolkit d’inférence pour modèles de langage vision-language (VLM) développé par Shanghai AI Laboratory / InternLM. 🔍 Vulnérabilité La faille réside dans le traitement du champ image_url lors des requêtes de complétion de chat. Le serveur déréférence l’URL fournie sans vérification de résolution de nom d’hôte, sans liste de blocage des adresses privées, ni protection des adresses link-local. Tout schéma http:// ou https:// est accepté, y compris http://169.254.169.254/, http://127.0.0.1:3306 ou toute adresse RFC 1918. ...