TTP

🔍 Contexte Article publié le 29 mars 2026 sur le blog personnel de la chercheuse Persephone Karnstein, adapté d’une présentation donnée avec Mitchell Marasch à BSides Seattle 2026, pour le compte de Bureau Veritas Cybersecurity North America (anciennement Security Innovation). L’évaluation a été conduite fin 2025 / début 2026. 🎯 Périmètre de l’évaluation Les chercheurs ont évalué trois surfaces d’attaque : Le hardware physique (PCB/MBB de la moto Zero Motorcycles) L’application Android com.zeromotorcycles.nextgen Le firmware embarqué distribué via OTA (Over-The-Air) 🔓 Vulnérabilités identifiées 1. Secrets hardcodés dans l’application Android L’analyse de l’APK via JADX révèle dans com.zeromotorcycles.nextgen.BuildConfig : ...

🔬 Contexte Article de recherche académique publié sur arXiv le 25 mars 2026, co-écrit par des chercheurs de l’Université de l’Illinois (Springfield), de l’Université de Lancaster (UK), du KIIT (Inde) et de l’équipe de recherche Splunk/Cisco. Il présente un framework de threat hunting proactif et automatisé. 🎯 Problématique adressée Les approches de sécurité traditionnelles (EDR, SIEM à base de règles) sont insuffisantes face aux APT (Advanced Persistent Threats) en constante évolution. Les analystes SOC sont submergés par le volume de logs. Kaspersky rapporte une augmentation de 74% des APTs en 2024, et Fortinet signale une hausse de 16,7% par an de l’activité de reconnaissance. ...

🗓️ Contexte L’article est publié le 27 mars 2026 par TechCrunch (auteur : Zack Whittaker). Il rapporte la confirmation officielle par la Commission européenne d’une cyberattaque ayant ciblé son infrastructure cloud. 🎯 Nature de l’incident Des hackers ont compromis le compte Amazon Web Services (AWS) de la Commission européenne, hébergeant la présence web de l’institution sur la plateforme Europa.eu. Selon Bleeping Computer, qui a rapporté l’incident en premier, des centaines de gigaoctets de données ont été dérobés, incluant plusieurs bases de données. ...

📰 Source : BleepingComputer, article publié le 27 mars 2026, par Sergiu Gatlan. 🔍 Contexte La Police nationale néerlandaise (Politie) a annoncé avoir été la cible d’une attaque de phishing ayant conduit à une violation de sécurité. L’incident a été détecté rapidement par le Security Operations Center (SOC) de la police, qui a immédiatement bloqué l’accès des attaquants aux systèmes compromis. ⚠️ Impact déclaré L’impact est décrit comme limité Aucune donnée citoyenne ni information d’enquête n’a été exposée ou consultée Une enquête criminelle a été ouverte en parallèle de l’investigation technique La date exacte de détection et l’éventuelle exposition de données d’employés n’ont pas été divulguées 🔗 Contexte historique Cet incident fait suite à une violation de données en septembre 2024, attribuée à un acteur étatique, lors de laquelle des informations professionnelles de plusieurs agents de police avaient été dérobées (noms, adresses e-mail, numéros de téléphone, et dans certains cas données privées). L’enquête sur cet incident précédent est toujours en cours. ...

📅 Source : NCSC Suisse (ncsc.admin.ch), publié le 29 mars 2026 — Rétrospective hebdomadaire semaine 12. 🎯 Contexte général Le NCSC suisse décrit l’évolution des arnaques aux fausses offres d’emploi ciblant les chercheurs d’emploi en Suisse. Ces escroqueries ont progressivement gagné en sophistication au fil des années. 📈 Évolution des techniques frauduleuses Première vague : ciblage de personnes cherchant un emploi dans la restauration, avec demande de paiement anticipé de fausses cotisations d’assurance maladie. Deuxième vague : fausses plateformes de missions où les candidats devaient payer plus qu’ils ne gagnaient. Variante la plus récente : les escrocs imitent des entreprises suisses existantes et publient de fausses offres d’emploi jusque dans les journaux, combinant usurpation d’identité d’entreprise et présence dans des médias traditionnels. 🔍 Techniques identifiées Les attaquants recourent à l’ingénierie sociale, à l’usurpation d’identité d’entreprises légitimes et à des leurres financiers pour tromper les victimes. ...

🔬 Contexte Article de recherche publié sur arXiv le 29 mars 2026 par des chercheurs de JOANNEUM RESEARCH (Graz, Autriche), TU Graz, Alias Robotics (Espagne) et Jamk University (Finlande), dans le cadre du projet européen ResilMesh (GA No. 101119681). 🤖 Architecture proposée Les auteurs présentent un workflow multi-agents basé sur LangGraph pour l’automatisation des tests de pénétration sur des environnements ROS (Robot Operating System) / ROS2. L’architecture repose sur trois agents coopératifs : ...

🌐 Contexte Article publié le 26 mars 2026 par WIRED, relatant les sanctions financières émises par le Foreign, Commonwealth and Development Office (FCDO) britannique contre la plateforme Xinbi Guarantee, un marché noir en ligne opérant principalement via Telegram. 🏴 Xinbi Guarantee : profil de la menace Plateforme de marché noir en langue chinoise, active depuis 2021-2022 A traité entre $19,7 et $19,9 milliards en cryptomonnaies selon Elliptic et Chainalysis Facilite la vente de données personnelles volées, services de blanchiment d’argent, technologies pour arnaques en ligne et esclavage/traite humaine Opère via des canaux Telegram avec jusqu’à 175 000 abonnés sur certains canaux A développé sa propre application de paiement : XinbiPay A dupliqué son infrastructure de paiement crypto sur une application de messagerie alternative 💰 Activités criminelles documentées Soutien aux centres d’arnaques en Asie du Sud-Est (Cambodge notamment) Arnaques à l’investissement en cryptomonnaies et romance scams Blanchiment des fonds issus des victimes d’arnaques Liens avec des groupes criminels organisés chinois Implication dans des violations des droits humains (torture, travail forcé dans des compounds) ⚖️ Actions de sanctions et répression Sanctions financières britanniques émises contre Xinbi Guarantee Sanctions contre des individus liés aux compounds d’arnaques au Cambodge, dont le compound #8 Park (20 000 personnes) Saisie de propriétés à Londres, dont un penthouse d’une valeur de £9 millions Précédentes sanctions US-UK en octobre contre des opérations liées au Cambodge Arrestation de Chen Zhi, présenté comme cerveau criminel présumé, par les autorités chinoises Telegram avait supprimé des canaux Xinbi et Huione après un reportage WIRED en mai (année précédente), mais Xinbi a reconstruit sa présence 📊 Données chiffrées clés $8,4 milliards de transactions facilitées depuis 2022 (Elliptic) $19,9 milliards traités entre 2021 et 2025 (Chainalysis) 456 000 plaintes pour arnaques numériques reçues par le FBI en 2025 $17,7 milliards de pertes déclarées aux États-Unis en 2025 Augmentation de 350% des pertes déclarées depuis 2019 (FBI) 🔍 Résilience de l’infrastructure Xinbi a démontré une forte capacité de résilience : après la suppression de ses canaux Telegram, la plateforme a rapidement reconstitué sa présence, augmenté sa part de marché suite à la fermeture de Huione Guarantee, et diversifié son infrastructure avec XinbiPay et des canaux alternatifs. ...

🎵 Contexte Article publié le 26 mars 2026 sur Ars Technica, relatant les développements judiciaires aux États-Unis (SDNY) opposant Spotify et les majors musicales (Sony, Universal Music Group, Warner) à la bibliothèque fantôme Anna’s Archive. ⚖️ Procédure judiciaire Les plaignants ont déposé une demande de jugement par défaut après qu’Anna’s Archive n’a jamais répondu aux procédures judiciaires. Le montant réclamé s’élève à 322 millions de dollars : 300 M$ à Spotify (violations DMCA, $2 500 par acte de contournement) 7,5 M$ à Sony 7,5 M$ à Universal Music Group 7,2 M$ à Warner 22,2 M$ en dommages pour violation du copyright (150 000 $/œuvre) 🔓 Nature de l’incident Anna’s Archive a scrapé 86 millions de fichiers musicaux depuis Spotify en contournant ses mesures de protection technologiques. Le 9 février 2026, 2,8 millions de fichiers ont été publiés sous forme de torrents, constituant selon les plaignants une violation flagrante d’une injonction préliminaire déjà en vigueur. ...

🔍 Contexte Publié le 26 mars 2026 sur GitHub par l’utilisateur Meowmycks, le projet trustme est un Beacon Object File (BOF) conçu pour s’intégrer à Cobalt Strike et permettre une élévation de privilèges avancée sur les systèmes Windows. 🎯 Objectif L’outil élève un beacon Cobalt Strike depuis un contexte administrateur vers NT AUTHORITY\SYSTEM avec le SID NT SERVICE\TrustedInstaller dans les groupes du token. Cela permet de modifier des fichiers, clés de registre et objets protégés par TrustedInstaller, inaccessibles même avec les droits SYSTEM classiques. ...

📰 Contexte Source : France 3 Régions, publié le 24 mars 2026. Le ministère de l’Éducation nationale français a communiqué le 23 mars 2026 sur un incident de sécurité ayant compromis les données personnelles de 243 000 agents, essentiellement des enseignants. 🎯 Cible et données compromises L’attaque a ciblé Compas, un logiciel de ressources humaines du ministère dédié à la gestion des stagiaires du premier et second degré. Les données exfiltrées comprennent : ...