TTP

🏛️ Contexte Ce document est un avis conjoint de cybersécurité (AA26-097A) publié le 7 avril 2026 par le FBI, la CISA, la NSA, l’EPA, le DOE et le CNMF. Il alerte sur une campagne active d’exploitation d’automates programmables industriels (PLC) par des acteurs APT affiliés à l’Iran, ciblant des infrastructures critiques américaines. 🎯 Acteurs et attribution Les agences attribuent cette activité à un groupe APT affilié à l’Iran, distinct mais similaire aux CyberAv3ngers (alias Shahid Kaveh Group, Hydro Kitten, Storm-0784, APT Iran, Bauxite, Mr. Soul, Soldiers of Solomon, UNC5691), eux-mêmes affiliés à l’IRGC Cyber Electronic Command (CEC). L’escalade des attaques est probablement liée aux hostilités entre l’Iran, les États-Unis et Israël. ...

🏥 Contexte Publié le 8 avril 2026 par The Register, cet article rapporte la découverte par le chercheur Nick Hatter de plusieurs sous-domaines du namespace scot.nhs.uk compromis et utilisés pour héberger des liens vers du contenu adulte et des streams sportifs illégaux. 🔍 Domaines concernés Domaine compromis (The New Surgery, Kilmacolm) : thenewsurgery-kilmacolm-langbank.scot.nhs.uk — ancien domaine du cabinet, non utilisé depuis au moins 2019 Domaine compromis (Lerwick GP Practice, Shetland) : domaine actuellement en usage par le cabinet, servant des liens illicites Des liens malveillants ont été indexés par Google, certains créés dès janvier 2026 ⚙️ Vecteur d’attaque suspecté Les requêtes dig montrent que les domaines NHS pointent correctement vers WP Engine, suggérant que la compromission est intervenue côté WordPress (CMS). Les hypothèses avancées incluent : ...

📰 Source : Wired | Date : 8 avril 2026 | Auteur : Matt Burgess L’organisation européenne à but non lucratif AI Forensics a publié une étude portant sur 16 communautés Telegram italiennes et espagnoles actives dans le partage de contenus abusifs ciblant des femmes et des filles. L’analyse a couvert 2,8 millions de messages sur une période de six semaines début 2026, impliquant plus de 24 000 membres ayant posté 82 723 images, vidéos et fichiers audio. ...

🔬 Contexte Article de recherche académique présenté au symposium NDSS 2026 (23-27 février 2026, San Diego), publié par des chercheurs de la Hong Kong Polytechnic University et de la Chinese University of Hong Kong. L’étude démontre pour la première fois la faisabilité pratique d’une attaque d’écoute acoustique via les fibres optiques de télécommunication standard. 🎯 Principe de l’attaque Les fibres optiques sont sensibles aux vibrations mécaniques externes. Des ondes sonores provoquent de légères déformations de la structure de la fibre, induisant des déphasages dans les signaux laser qui la traversent. Ces variations de phase peuvent être captées et démodulées pour reconstruire les sons originaux. ...

📰 Source : Sekoia TDR (blog.sekoia.io) — Date de publication : 7 avril 2026 (rapport FLINT TLP:AMBER distribué le 30 mars 2026) Contexte EvilTokens est un kit de Phishing-as-a-Service (PhaaS) apparu depuis mi-février 2026, spécialisé dans le device code phishing Microsoft et la fraude BEC (Business Email Compromise). Cet article constitue la partie 2 d’une analyse technique approfondie publiée par l’équipe TDR de Sekoia. Fonctionnement du PhaaS Le service est opéré via Telegram par l’administrateur eviltokensadmin, qui propose trois produits : ...

🗓️ Contexte Article publié le 9 avril 2026 par Malwarebytes sur Security Boulevard. Il s’agit d’une analyse technique d’une campagne de distribution de malware via un faux site de support Windows, ciblant principalement les utilisateurs francophones. 🎣 Vecteur d’infection La campagne repose sur le domaine typosquatté microsoft-update[.]support, qui imite une page officielle Microsoft. Le site, rédigé entièrement en français, propose une fausse mise à jour cumulative Windows 24H2 avec un numéro d’article KB plausible. Le fichier distribué est WindowsUpdate 1.0.0.msi (83 Mo), construit avec WiX Toolset 4.0.0.5512, créé le 4 avril 2026, avec des métadonnées usurpant l’identité de Microsoft. ...

🌐 Contexte Source : Microsoft Threat Intelligence Blog, publié le 7 avril 2026. Cet article présente une analyse technique d’une campagne active attribuée à Forest Blizzard (acteur lié au renseignement militaire russe), active depuis au moins août 2025, impliquant la compromission massive de dispositifs SOHO (Small Office/Home Office). 🎯 Acteurs et ciblage Forest Blizzard et son sous-groupe Storm-2754 sont les acteurs identifiés. Plus de 200 organisations et 5 000 appareils grand public ont été impactés. Secteurs ciblés : gouvernement, technologies de l’information, télécommunications, énergie. Des attaques AiTM spécifiques ont visé au moins trois organisations gouvernementales en Afrique. 🔗 Chaîne d’attaque Compromission de routeurs SOHO : exploitation de dispositifs vulnérables pour modifier leur configuration DNS par défaut. DNS Hijacking : redirection des requêtes DNS vers des résolveurs contrôlés par l’acteur via l’outil légitime dnsmasq (port 53). Attaques AiTM sur TLS : dans un sous-ensemble de cas, l’acteur usurpe les réponses DNS pour forcer les victimes à se connecter à une infrastructure malveillante présentant un certificat TLS invalide imitant des services Microsoft. Interception de trafic : si la victime ignore l’avertissement de certificat invalide, l’acteur peut intercepter le trafic en clair, incluant potentiellement emails et contenus cloud. 🛠️ Techniques observées Utilisation de dnsmasq pour la résolution DNS et l’écoute sur le port 53. Proxying transparent des requêtes DNS dans la majorité des cas. Usurpation ciblée de réponses DNS pour des domaines spécifiques dans les cas d’AiTM. Ciblage des domaines Microsoft Outlook on the web pour les attaques AiTM M365. Exploitation des appareils edge en amont des cibles principales pour pivoter vers des environnements enterprise. 📊 Impact Collecte passive de trafic DNS à grande échelle. Interception potentielle d’emails et de contenus cloud. Aucun actif ou service Microsoft directement compromis selon la télémétrie. Accès potentiel à des environnements cloud via des appareils SOHO d’employés en télétravail. 📄 Type d’article Il s’agit d’une analyse de menace publiée par Microsoft Threat Intelligence, dont le but principal est de documenter les TTPs de Forest Blizzard dans cette campagne et de fournir des indicateurs de détection et des requêtes de chasse aux défenseurs. ...

🌐 Contexte Publié le 7 avril 2026 par Lumen Technologies (source : ir.lumen.com), ce rapport annuel « Defender Threatscape 2026 » est produit par Black Lotus Labs, la division de recherche et d’opérations sur les menaces de Lumen. Il s’appuie sur une visibilité backbone couvrant 99% des adresses IPv4 publiques, avec monitoring quotidien de plus de 200 milliards de sessions NetFlow et requêtes DNS, 2,3 millions de menaces uniques et 46 000 C2 suivis chaque jour. ...

🗞️ Contexte Article publié le 8 avril 2026 par The Register, basé sur une interview de Cynthia Kaiser, ancienne directrice adjointe de la division cyber du FBI (départ en juin 2025) et désormais SVP au Halcyon Ransomware Research Center, lors de la RSA Conference. 🎯 Menace 1 : Pay2Key — groupe lié à l’Iran, secteur santé américain Attaque survenue fin février 2026, coïncidant avec les frappes militaires américano-israéliennes contre l’Iran Cible : organisation de santé américaine Accès initial via un compte administrateur compromis, présent sur le réseau plusieurs jours avant l’attaque Chiffrement de l’environnement en 3 heures après activation Aucune exfiltration de données détectée — inhabituel pour ce groupe, suggérant une visée destructrice plutôt que financière Le variant utilisé montre une mise à niveau significative par rapport aux intrusions de juillet 2025 : meilleures capacités anti-détection Parallèle établi avec les attaques contre l’Albanie en 2022 : Iran présent 14 mois sur les réseaux albanais avant de transférer l’accès à un groupe d’attaque 💣 Menace 2 : Sicarii — ransomware amateur au comportement destructeur Groupe apparu en décembre 2025 Défaut critique de conception : l’encrypteur génère une nouvelle paire de clés cryptographiques à chaque exécution mais supprime la clé privée, rendant le déchiffrement impossible Résultat : le ransomware se comporte comme un wiper / destruction-ware Kaiser attribue ce défaut à l’utilisation d’IA pour générer le code, assemblé de façon incohérente (« ugly-chaining ») ⚡ Menace 3 : Akira — vitesse d’exécution extrême Dans la majorité de ses centaines de compromissions sur 12 mois : moins de 4 heures entre accès initial et chiffrement complet Certaines attaques : moins d’une heure Outil de déchiffrement doté d’un système de checkpoint pour garantir la récupération des gros fichiers même en cas d’interruption 📊 Tendances générales Coût combiné ransomware + extorsion pour les entreprises et consommateurs américains : ~155 millions de dollars en 2025 Les wannabes utilisant l’IA représentent une menace croissante par le volume d’attaques, même si leur sophistication reste faible L’IA permet à des acteurs peu qualifiés de passer de 0 % à 5-10 % d’efficacité, augmentant la pression sur les équipes défensives Le dwell time (temps de présence avant détection) a drastiquement diminué chez les groupes sophistiqués 📌 Nature de l’article Article de presse spécialisée sous forme d’interview, visant à présenter l’analyse de menace ransomware d’une experte issue du renseignement fédéral américain, avec des cas concrets investigués par Halcyon. ...

🗓️ Contexte Article publié le 7 avril 2026 (mis à jour le 8 et 9 avril 2026) par BleepingComputer. L’article rapporte une campagne de vol de données ciblant des clients de la plateforme cloud Snowflake, initiée via la compromission d’un fournisseur tiers d’intégration SaaS. 🔓 Incident initial : compromission d’Anodot Le vecteur initial est une violation de sécurité chez Anodot, société d’analyse de données basée sur l’IA spécialisée dans la détection d’anomalies en temps réel, acquise par Glassbox en novembre 2025. Des tokens d’authentification ont été dérobés depuis les systèmes d’Anodot, permettant aux attaquants d’accéder aux environnements cloud des clients. ...