TTP

🗓️ Contexte Article publié le 1 avril 2026 par The Record Media. Il rapporte la confirmation par la startup Mercor d’un incident de sécurité lié à une attaque supply chain ciblant le projet open-source LiteLLM. 🏢 Victime : Mercor Mercor est une plateforme de recrutement spécialisée dans l’IA, valorisée à 10 milliards de dollars en octobre 2025. Elle travaille notamment avec OpenAI pour recruter des experts et entraîner des modèles d’IA. La porte-parole Heidi Hagberg a confirmé l’incident et indiqué que l’équipe sécurité a procédé à la containment et remédiation. Une investigation est en cours avec des experts forensiques externes. ...

🗓️ Contexte Article publié le 2 avril 2026 par CodeAnt AI, analysant en détail l’attaque supply chain ayant ciblé la bibliothèque JavaScript axios sur le registre npm le 31 mars 2026. Axios est le client HTTP JavaScript le plus utilisé au monde avec plus de 100 millions de téléchargements hebdomadaires. 🔓 Vecteur d’accès initial L’attaquant a obtenu un token npm classique à longue durée de vie appartenant au mainteneur principal (jasonsaayman). Ce type de token ne possède ni expiration, ni MFA, ni vérification de session. Il a permis de publier directement sur le registre sans passer par le mécanisme OIDC Trusted Publisher habituellement utilisé par les releases légitimes d’axios. ...

🌐 Contexte Publié le 2 avril 2026 sur The Cyber Express, cet article fait suite au démantèlement du service proxy résidentiel criminel SocksEscort par le FBI et plusieurs agences internationales. L’enquête a mis en lumière le rôle central du malware AVrecon dans la construction et l’exploitation de cette infrastructure. 🦠 Fonctionnement d’AVrecon AVrecon se propage en scannant Internet à la recherche de dispositifs exposant des services vulnérables. Les vecteurs d’infection incluent : ...

🔍 Contexte Publié le 1 avril 2026 par l’équipe GReAT de Kaspersky, cet article présente l’analyse d’un nouveau cheval de Troie d’accès à distance (RAT) nommé CrystalX, découvert en mars 2026 sur des canaux Telegram privés. Le malware est distribué selon un modèle malware-as-a-service (MaaS) avec trois niveaux d’abonnement. 🧬 Origine et évolution Première mention en janvier 2026 dans un chat Telegram privé pour développeurs de RAT, sous le nom WebCrystal RAT Identifié comme un clone de WebRat, un RAT préexistant Rebaptisé CrystalX RAT peu après, avec création d’un canal Telegram dédié pour sa commercialisation Des vidéos tutorielles publiées sur YouTube sous couvert de « fins éducatives » facilitent son utilisation 💣 Capacités malveillantes Vol de données et surveillance : ...

🗓️ Contexte Source : BleepingComputer — Article publié le 2 avril 2026. Shadowserver, organisation à but non lucratif spécialisée dans la surveillance des menaces Internet, a identifié plus de 14 000 instances F5 BIG-IP APM encore exposées à des attaques exploitant une vulnérabilité critique d’exécution de code à distance. 🔍 Vulnérabilité concernée CVE-2025-53521 : faille vieille de 5 mois, initialement divulguée en octobre 2025 comme une vulnérabilité de déni de service (DoS). Reclassifiée en RCE (Remote Code Execution) le week-end précédant la publication, suite à de nouvelles informations obtenues en mars 2026. Exploitable sans privilèges sur des systèmes BIG-IP APM non patchés disposant de politiques d’accès configurées sur un serveur virtuel. F5 a confirmé que la vulnérabilité est activement exploitée dans les versions vulnérables. 📊 Exposition et impact Shadowserver suit plus de 17 100 IPs avec des empreintes BIG-IP APM exposées sur Internet. Plus de 14 000 instances restent vulnérables aux attaques CVE-2025-53521. La CISA a ajouté cette CVE à sa liste des failles activement exploitées et a ordonné aux agences fédérales américaines de sécuriser leurs systèmes BIG-IP APM avant minuit le lundi. 🏢 Contexte éditeur F5 est un géant technologique Fortune 500 fournissant des services de cybersécurité et de livraison d’applications à plus de 23 000 clients, dont 48 entreprises du Fortune 50. Les vulnérabilités BIG-IP ont historiquement été ciblées par des groupes étatiques et cybercriminels pour compromettre des réseaux, déployer des malwares destructeurs et exfiltrer des données. ...

CVE-2025-53521 : La faille F5 BIG-IP requalifiée en RCE critique, exploitation active confirmée par CISA Source : SecurityWeek — Date : Mars 2026 🧩 Contexte La CISA a ajouté CVE-2025-53521 à son catalogue Known Exploited Vulnerabilities (KEV) et appelle les agences fédérales à appliquer le correctif sous trois jours. La vulnérabilité, initialement divulguée en octobre 2025 comme un problème de déni de service (DoS) de sévérité haute, a été requalifiée en RCE critique (CVSS 9.3) la semaine précédant l’alerte. F5 a mis à jour son advisory en conséquence. ...

🏛️ Contexte Publié le 31 mars 2026 par l’Internet Crime Complaint Center (IC3) du FBI, ce communiqué d’intérêt public met en garde les utilisateurs américains contre les risques de sécurité liés aux applications mobiles développées par des entreprises étrangères, en particulier celles basées en Chine. 📱 Risques de collecte de données Les applications développées par des entreprises dont l’infrastructure numérique est hébergée en Chine sont soumises aux lois chinoises sur la sécurité nationale, permettant potentiellement au gouvernement chinois d’accéder aux données des utilisateurs. ...

🏛️ Contexte Le 30 mars 2026, la Generalstaatsanwaltschaft Karlsruhe (Parquet général de Karlsruhe) a publié un communiqué de presse annonçant une avancée majeure dans la lutte contre la cybercriminalité organisée. L’enquête a été menée conjointement par le Cyber-crime-Zentrum (CCZ) rattaché au Parquet général de Karlsruhe et le Landeskriminalamt Baden-Württemberg (LKA). 🎯 Suspects identifiés Deux individus ont été formellement identifiés et font l’objet de mandats d’arrêt : Le chef présumé des groupes ransomware GandCrab et REvil (aussi connu sous le nom Sodinokibi) Le programmeur présumé des malwares utilisés par ces groupes Les deux suspects sont notamment soupçonnés d’être coresponsables de l’attaque contre les Württembergische Staatstheater Stuttgart en 2019. Une recherche internationale (Öffentlichkeitsfahndung) a été lancée. ...

🗓️ Contexte Source : The Cyber Express, publié le 2 avril 2026. Hasbro, Inc., fabricant de jouets basé dans le Rhode Island (États-Unis), a divulgué un incident de cybersécurité via un dépôt officiel auprès de la SEC (Form 8-K, soumis le 1er avril 2026). 🔍 Détails de l’incident Date de détection : 28 mars 2026 Nature : Accès non autorisé au réseau de l’entreprise Acteur menaçant : non identifié à ce stade Vecteur d’attaque : non précisé dans l’article 🛡️ Réponse de l’entreprise Activation immédiate des protocoles de réponse aux incidents Mise hors ligne de certains systèmes affectés pour contenir l’activité non autorisée Engagement d’experts tiers en cybersécurité pour investiguer la portée et l’impact Mise en œuvre de plans de continuité d’activité pour maintenir les opérations essentielles (traitement des commandes, expédition) Revue des fichiers potentiellement compromis et notification des parties impactées si requis par la loi 📊 Impact opérationnel et financier Les mesures provisoires pourraient durer plusieurs semaines et entraîner des retards opérationnels L’incident survient dans un contexte de forte croissance boursière (+56% sur un an, cours à 93,60 $ par action) Publication des résultats financiers prévue le 23 avril 2026, sous surveillance des investisseurs 📄 Type d’article Article de presse spécialisée relatant une annonce d’incident en cours, basé sur un dépôt réglementaire SEC. L’enquête est toujours ouverte au moment de la publication. ...

📋 Contexte Publié en avril 2026 par InterCERT France (communauté de plus de 130 CERT français), ce rapport d’incidentologie analyse 366 incidents de sécurité documentés en 2025 par 66 membres (40 CERT internes, 21 CERT externes, 5 CERT institutionnels), en hausse de 154 incidents par rapport à 2024. L’étude a été conduite avec l’appui de Wavestone via l’outil « Le Sphinx ». 🎯 Ciblage et motivations Les attaques opportunistes restent largement majoritaires (83% des cas déterminés) Les attaques ciblées ne représentent que 17% de l’échantillon La motivation financière domine (72% des attaques) Les grandes entreprises sont presque deux fois plus ciblées par des attaques d’espionnage, d’influence et de déstabilisation Les 3 secteurs les plus touchés : santé/action sociale (+515% vs 2024), industrie manufacturière (+34%), administration publique (+45%) 🦠 Outils et techniques Près d’une attaque outillée sur trois utilise un rançongiciel Les infostealers constituent le deuxième type d’outil le plus utilisé, en forte hausse en 2025 (campagnes ClickFix et EpiBrowser) La technique la plus observée : exploitation de comptes légitimes (Valid Accounts), centrale dans les kill-chains 2025 Les backdoors et RATs sont utilisés pour établir une persistance avant déploiement de ransomware 34% des systèmes ciblés sont des environnements Microsoft 💥 Rançongiciels — focus 266 attaques recensées par l’OFAC en 2025, en baisse de 37% vs 2024 et 89% vs 2023 Familles les plus actives : Qilin, LockBit, Akira (toutes des franchises RaaS) Qilin revendique une attaque contre l’académie d’Amiens (10 octobre 2025), touchant 80% des lycées publics des Hauts-de-France et vol de plus d'1 To de données ; l’ANSSI recense plus de 700 revendications Qilin en 2025 Le secteur santé est le plus touché, avec une multiplication par deux des incidents vs 2024 85% des attaques par rançongiciel nécessitent une reconstruction partielle ou totale du SI Les PME sont les plus touchées proportionnellement Double levier de négociation : chiffrement du SI + chantage à la fuite de données 🕵️ Infostealers — focus Hausse importante des incidents impliquant des infostealers en 2025 Utilisés dans 13% des cas en amont de l’exécution d’un rançongiciel Dans 1 cas sur 3, combinés avec des backdoors ou RATs Impacts principaux : fuite/vol de données (36%), arrêts d’activité (18%), campagnes de phishing ultérieures (13%) Actifs les plus touchés : comptes utilisateurs, comptes de messagerie, postes utilisateurs 🌐 Attaques non-lucratives — focus Échantillon de 44 incidents à motivation non-lucrative Majorité liée à l’espionnage et au pré-positionnement Les attaques de déstabilisation passent principalement par des DDoS (notamment contre les administrations publiques) Les infostealers sont majoritairement utilisés à des fins de pré-positionnement Les grandes entreprises sont les plus touchées par tous types d’attaques non-lucratives 📊 Type d’article Il s’agit d’un rapport statistique d’incidentologie à visée opérationnelle et décisionnelle, produit par une communauté nationale de CERT. Son but principal est de présenter les tendances de la menace cyber en France en 2025 à partir de données terrain déclaratives, et de fournir des éléments comparatifs avec l’année 2024. ...