TTP

🌐 Contexte Source : FBI Atlanta (fbi.gov), publiée le 10 avril 2026. Il s’agit d’une annonce officielle relative à une opération judiciaire internationale coordonnée entre les États-Unis et l’Indonésie, une première entre ces deux pays dans le domaine de la cybercriminalité. 🎯 Nature de la menace L’opération ciblait le kit de phishing W3LL, un outil cybercriminel vendu en tant que service permettant à ses utilisateurs de déployer des fausses pages de connexion imitant des portails légitimes. Pour environ 500 dollars, les acheteurs pouvaient accéder au kit et l’utiliser pour : ...

🗓️ Contexte Source : Have I Been Pwned (haveibeenpwned.com), publié le 12 avril 2026. L’incident concerne la société Hallmark et son service de streaming Hallmark+. 🔓 Nature de l’incident En mars 2026, des attaquants ont obtenu un accès non autorisé à des données stockées dans Salesforce, la plateforme CRM utilisée par Hallmark. Suite à cet accès, les attaquants ont procédé à une tentative d’extorsion. À l’expiration du délai fixé par les attaquants, les données ont été publiées publiquement. ...

🔍 Contexte Publié le 10 avril 2026 par Flashpoint, cet article de threat intelligence présente une analyse approfondie de l’écosystème Phishing-as-a-Service (PhaaS), réalisée en collaboration avec des institutions financières partenaires. Il décrit la transformation du phishing d’une tactique isolée en un modèle économique cybercriminel industrialisé. 🏗️ Structure de l’écosystème PhaaS Le PhaaS moderne fonctionne comme une plateforme SaaS légitime : Abonnements à partir de 10 USD pour des kits basiques Templates préconçus pour usurper des marques connues Mécanismes de livraison intégrés : email, SMS, QR phishing Dashboards en temps réel pour le suivi des campagnes et la collecte de credentials Le pipeline d’attaque implique des acteurs spécialisés : développeurs de kits, fournisseurs d’infrastructure, services de livraison SMS, et acteurs de monétisation. ...

🌐 Contexte Publié le 13 avril 2026 par la Cloud Security Alliance (CSA), SANS Institute, [un]prompted et l’OWASP Gen AI Security Project, ce document de stratégie (version 0.4) analyse l’émergence de Claude Mythos (Preview) d’Anthropic comme point d’inflexion majeur dans la découverte automatisée de vulnérabilités et l’exploitation offensive par IA. ⚡ Événement déclencheur : Claude Mythos & Project Glasswing Anthropic a annoncé le 7 avril 2026 le modèle Claude Mythos Preview, accompagné du Project Glasswing, décrit comme le plus grand effort de coordination multi-parties de l’histoire pour la divulgation de vulnérabilités. Mythos se distingue par : ...

📰 Source : The Cyber Express — Date de publication : 13 avril 2026 🎯 Contexte Rockstar Games, éditeur de GTA 5 et de la franchise Grand Theft Auto, a confirmé avoir subi une violation de données impliquant un accès non autorisé à des informations internes. L’entreprise attribue l’incident à une vulnérabilité d’un prestataire tiers. 🔓 Vecteur d’intrusion Le groupe cybercriminel ShinyHunters revendique l’attaque et affirme avoir compromis l’infrastructure cloud de Rockstar. Selon les informations disponibles : ...

🔍 Contexte Publié le 9 avril 2026 par Evgen Blohm (InfoGuard Labs), cet article est issu d’une investigation de réponse à incident liée à une attaque DragonForce ransomware. Lors de la revue de persistance, un artefact inhabituel a été identifié : une tâche planifiée nommée 523135538 exécutant C:\ProgramData\cp49s\pythonw.exe sans arguments. 🧩 Mécanisme de persistance et chargement La persistance repose sur sitecustomize.py, un module Python auto-importé au démarrage. Ce fichier utilise ctypes pour appeler Py_GetArgcArgv et vérifier le contexte d’exécution. Si argc == 1, il charge et exécute b5yogiiy3c.dll (un script Python déguisé en DLL) via runpy.run_path(). ...

🗓️ Contexte Source : The Record Media, publié le 10 avril 2026. Drift, une plateforme de cryptomonnaies, a publié un post-mortem complet décrivant une opération de compromission longue de six mois attribuée au groupe nord-coréen UNC4736, également suivi sous les noms AppleJeus et Citrine Sleet. 🎭 Déroulement de l’opération L’opération a débuté environ six mois avant le vol, lorsque des membres d’une société fictive de trading quantitatif ont approché des contributeurs de Drift lors d’une conférence crypto. Ces individus : ...

🔍 Contexte Analyse technique publiée le 12 avril 2026 sur GitHub par le chercheur Kavan00, portant sur des projecteurs Android vendus sur Amazon, eBay et AliExpress sous les marques Hotack, Huyukang, Magcubic et Nonete. L’analyse couvre la période du 11 au 12 avril 2026 et documente une attaque de chaîne d’approvisionnement similaire aux cas BADBOX. 🎯 Dispositifs affectés Chipset : Allwinner H713 / sun50iw12p1 OS : SpectraOS (Android 11, Kernel 5.4.99) Fabricant OEM : Blue Shark, Shenzhen (opérateur C2 : Shenzhen Aodin Technology) Firmware : HY260Pro_SpectraOS_TPYB SELinux en mode Permissive (non appliqué) Clé de signature plateforme : AOSP Test Key publique 🦠 Écosystème malveillant Quatre applications système interagissent, toutes signées avec la clé AOSP test et exécutées avec UID 1000 (System) : ...

🔍 Contexte Rapport technique publié le 10 avril 2026 par Gambit Security (Eyal Sela, Director of Threat Intelligence). L’analyse est basée sur des matériaux forensiques récupérés depuis trois VPS utilisés dans la campagne, incluant des logs de sessions AI, des scripts d’exploitation et des rapports de reconnaissance automatisés. 🎯 Victimes et périmètre Entre fin décembre 2025 et mi-février 2026, neuf organisations gouvernementales mexicaines ont été compromises : SAT (Servicio de Administración Tributaria) : 195M dossiers fiscaux + 52M annuaires exfiltrés, compromission domaine-wide, API de requête live construite et exposée publiquement, mécanisme de falsification de certificats fiscaux opérationnalisé, 305 serveurs internes analysés Estado de Mexico : 15,5M dossiers véhicules, 3,6M propriétaires, millions de dossiers population Registro Civil CDMX : ~220M dossiers civils, centaines de dossiers judiciaires, milliers de credentials employés Jalisco : 50K dossiers patients, 17K victimes violences domestiques, 36K employés santé, 180K dossiers numériques ; infrastructure virtualisation complète compromise (cluster Nutanix 13 nœuds, 37/38 serveurs DB) ; rootkits déployés sur 20 agences INE (Instituto Nacional Electoral) : 13,8K dossiers cartes électeurs exfiltrés, pool estimé à dizaines de millions Michoacán : 2,28M dossiers propriétés, 2K comptes avec mots de passe en clair SADM Monterrey : 3,5K dossiers achats/fournisseurs, 5K dossiers appels d’offres Tamaulipas : Compromission Active Directory Salud CDMX : Exploitation serveur Zimbra 🤖 Rôle des plateformes AI Claude Code (Anthropic) a généré et exécuté ~75% des commandes d’exécution distante via son interface tool-use. Il a servi d’assistant d’exploitation interactif : écriture d’exploits, construction de tunnels, cartographie d’architecture, escalade de privilèges, harvesting de credentials, anti-forensics. ...

📅 Source : Clubic, publié le 5 avril 2026. Contexte La SNCF a diffusé un courrier électronique d’alerte à ses voyageurs pour les prévenir de campagnes malveillantes actives usurpant l’identité de SNCF Connect. Ces campagnes sont diffusées via plusieurs canaux : e-mail, SMS (SMiShing), Messenger et WhatsApp. Techniques d’attaque observées Reproduction fidèle du logo, des couleurs et de la mise en page des communications officielles SNCF Connect Fausses promotions : réduction de 95% sur la Carte Avantage, valable 48 heures, incitant à cliquer en urgence Prétexte de remboursement : exploitation de grèves ou perturbations récentes pour soutirer des coordonnées bancaires SMiShing : envoi de SMS frauduleux Faux comptes sur Messenger et WhatsApp se faisant passer pour SNCF Connect Reproduction de l’apparence de l’application mobile SNCF Connect Objectif des attaquants Vol de données personnelles et de coordonnées bancaires des victimes. ...