TTP

🔍 Contexte Publié le 26 mars 2026 par Infoblox Threat Intel en collaboration avec Confiant, cet article constitue le second volet d’une étude de quatre mois portant sur l’abus du tracker publicitaire commercial Keitaro par des acteurs malveillants. Confiant surveille près de 90 milliards d’impressions publicitaires par mois. 🎯 Keitaro comme infrastructure criminelle Keitaro est un outil adtech commercial (tracker, TDS et cloaker en un seul produit) massivement détourné par des cybercriminels. Il leur permet d’externaliser la distribution, le ciblage et le routage des victimes sans construire leur propre infrastructure. Plus de 20% des acteurs malveillants suivis par Confiant ont utilisé Keitaro sur la période, certains générant des dizaines de millions d’impressions. ...

📰 Source : Clubic — Article publié le 29 mars 2026, relatant une annonce faite sur un forum cybercriminel concernant un prétendu piratage d’OVH Cloud. 🎯 Allégation de l’attaquant Un individu disposant du statut d’administrateur sur un forum cybercriminel affirme avoir eu accès à un compte parent d’OVH ainsi qu’à des serveurs. Il revendique : La récupération de 590 To de données La compromission des données de 1,6 million de clients La vente partielle des données à ce jour 🛡️ Réaction d’OVH Aucune confirmation officielle n’a été émise par OVH. Le fondateur Octave Klaba a répondu sur X (ex-Twitter) à une publication relayant l’annonce du forum, indiquant de manière concise que « le sample [échantillon] cité ne se trouve pas dans nos bases », remettant en cause l’authenticité des preuves présentées. ...

🗓️ Contexte Article publié le 27 mars 2026 sur Generation-NT, relatant une affaire de violences numériques de longue durée en Allemagne impliquant des technologies d’IA générative. 🎭 Faits principaux L’acteur Christian Ulmen a mené pendant près de dix ans une campagne de harcèlement numérique contre son ex-femme, l’actrice Collien Fernandes. Le mode opératoire comprenait : Création et diffusion de deepfakes (photos et vidéos) à caractère sexuel Utilisation de logiciels de clonage vocal par IA pour simuler la voix de la victime lors de conversations téléphoniques Création de fausses adresses email et profils au nom de la victime pour contacter des hommes, y compris dans leur cercle professionnel Organisation de faux rendez-vous pour entretenir l’illusion d’une liaison Envoi d’un script décrivant une scène de viol virtuel collectif Une des vidéos manipulées a été vue plus de 270 000 fois. ...

🔍 Contexte Cet article, publié le 26 mars 2026 par 404 Media en collaboration avec Court Watch, s’appuie sur un document judiciaire récemment déposé pour révéler une divulgation de données par Apple aux autorités américaines. 📋 Faits principaux Apple a transmis au FBI l’adresse email iCloud réelle d’un utilisateur qui se cachait derrière la fonctionnalité ‘Hide My Email’ d’iCloud+. Cette fonctionnalité permet aux abonnés payants de générer des adresses email anonymes afin de masquer leur identité réelle. ...

🔍 Contexte Publié le 23/03/2026 par Simon Msika de Synacktiv, cet article présente une recherche approfondie sur l’exploitation de la délégation contrainte basée sur les ressources (RBCD) dans des environnements Active Directory multi-domaines et multi-forêts, un scénario peu documenté jusqu’alors. ⚙️ Mécanisme de l’attaque L’attaque RBCD repose sur la modification de l’attribut msDS-AllowedToActOnBehalfOfOtherIdentity d’un compte machine pour permettre l’usurpation d’identité d’utilisateurs. Dans un contexte cross-domaine, le workflow Kerberos implique plusieurs étapes supplémentaires : ...

📌 Contexte Le 27 mars 2026, Telnyx publie un avis de sécurité officiel concernant la compromission temporaire de son SDK Python sur PyPI, survenue le 27 mars 2026. Cet incident s’inscrit dans une campagne supply chain multi-semaines ayant également ciblé Trivy (19 mars 2026), LiteLLM (24 mars 2026) et Checkmarx. 🎯 Déroulement de l’incident Deux versions non autorisées du package telnyx ont été publiées sur PyPI : telnyx==4.87.1 : publiée à 03:51:28 UTC le 27 mars 2026 telnyx==4.87.2 : publiée peu après Les deux versions contenaient du code malveillant. Elles ont été mises en quarantaine à 10:13 UTC le même jour, soit environ 6h22 après la première publication. Les deux packages ont depuis été retirés de PyPI. ...

🔍 Contexte Source : Kaspersky Blog (kaspersky.fr), publié le 29 mars 2026. Cet article présente les résultats d’une investigation approfondie menée par Kaspersky sur plusieurs campagnes malveillantes exploitant la popularité des outils d’intelligence artificielle. 🎯 Description de l’attaque Des acteurs malveillants diffusent des infostealers en se faisant passer pour des outils d’IA populaires via des annonces Google Ads sponsorisées. Les leurres utilisés incluent : AI Doubao (application chinoise populaire) OpenClaw (assistant IA viral) Claude Code (assistant de programmation d’Anthropic) Lorsqu’un utilisateur clique sur l’annonce malveillante, il est redirigé vers un faux site de documentation hébergé sur Squarespace (plateforme légitime), ce qui permet de contourner les filtres anti-phishing. ...

🔍 Contexte Publié le 28 mars 2026 sur le blog de recherche QriouSec, cet article présente une analyse technique approfondie de la vulnérabilité CVE-2025-14325, découverte dans le moteur JavaScript SpiderMonkey de Mozilla Firefox. La découverte a été facilitée par du fuzzing assisté par IA (Claude Code) ciblant la fonctionnalité TypedArray resizable. 🐛 Vulnérabilité : Type Confusion dans le JIT Baseline La vulnérabilité réside dans le mécanisme des inline caches (IC) du tier Baseline JIT de SpiderMonkey. Le flux d’exploitation repose sur une fenêtre de ré-entrance : ...

🔍 Contexte Publié le 27 mars 2026 par The Register, cet article rend compte d’une publication de recherche académique (preprint) intitulée “Keys on Doormats: Exposed API Credentials on the Web”, réalisée par des chercheurs de Stanford, UC Davis et TU Delft. 📊 Méthodologie et résultats Les chercheurs ont analysé environ 10 millions de sites web à l’aide de l’outil TruffleHog, en se concentrant sur l’analyse dynamique de sites en production (et non sur les dépôts de code). Ils ont découvert : ...

📋 Contexte Le Centre national des œuvres universitaires et scolaires (Cnous) a publié le 29 mars 2026 une annonce officielle concernant une exfiltration de données détectée le 23 mars 2026 sur la plateforme mesrdv.etudiant.gouv.fr, utilisée pour la prise de rendez-vous avec les services sociaux et logement des Crous. 🎯 Périmètre de l’incident 774 000 personnes au total sont concernées, issues de rendez-vous pris sur les dix dernières années 139 000 personnes ont subi une exfiltration de pièces jointes déposées dans l’application 635 000 personnes ont subi une exfiltration de données limitées : nom, prénom, adresse mail, objet et date du rendez-vous 🔧 Réponse à l’incident Les accès concernés ont été immédiatement sécurisés dès la détection Une investigation technique approfondie a été lancée L’accès au site est temporairement suspendu Une déclaration a été faite auprès de la CNIL Un dépôt de plainte est en cours Chaque personne concernée sera notifiée individuellement par le Cnous 📌 Type d’article Il s’agit d’une annonce d’incident officielle publiée par l’organisation victime, visant à informer les personnes concernées et le public de la nature, du périmètre et des mesures prises suite à la violation de données. ...