TTP

🔍 Contexte Publié le 28 mai 2026 par le chercheur Paul Newton sur son blog de cybersécurité, cet article constitue une analyse technique approfondie de Device Code Lab (DCL), également connu sous le nom AUTHOV, une plateforme de phishing-as-a-service (PhaaS) professionnelle découverte lors d’activités de threat hunting. L’infrastructure initiale a été identifiée sur l’IP 192.3.225.100 avec le titre de panneau « Device Code Lab ». 🎯 Fonctionnement général DCL est une plateforme centralisée de vol de tokens OAuth exploitant le flux d’authentification Device Code Flow de Microsoft. Elle génère des codes de périphérique via l’endpoint /oauth2/v2.0/devicecode, affiche le user_code à la victime via une landing page Cloudflare Workers, puis capture le jeu complet de tokens OAuth (access token ~1h, refresh token ~90 jours) dès que la victime s’authentifie. ...

🔍 Contexte Publié le 24 mai 2026 par OCCRP et ses partenaires médias (Delfi Estonia, Le Monde, Profil, Radio Svoboda, etc.), cet article s’appuie sur une cache de documents internes fuités obtenus par Delfi Estonia. Les fichiers couvrent les opérations de la Social Design Agency (SDA) tout au long de 2025 et incluent des plans pour 2026. 🎯 Acteurs et structure La Social Design Agency (SDA), firme de relations publiques russe, déjà sanctionnée par les États-Unis, le Royaume-Uni et l’UE, est identifiée comme l’opérateur principal. L’administration présidentielle russe supervise et finance les opérations, avec Sofia Zakharova (alias « Kristin Kiler »), cheffe de département communications, comme figure centrale. Sergei Kiriyenko, premier chef de cabinet adjoint de l’administration présidentielle, est référencé comme autorité supérieure (alias « SVK »). Ilya Gambashidze, directeur de la SDA, est mentionné comme opérationnel sous surveillance interne. 🕵️ Opérations documentées Faux drapeaux physiques : ...

🌐 Contexte Publié le 25 mai 2026 par le Google Threat Intelligence Group (GTIG), cet article présente une analyse approfondie de l’écosystème Phishing-as-a-Service (PhaaS) en langue chinoise, en pleine expansion face à l’écosystème russophone historiquement dominant. GTIG a analysé une douzaine de plateformes actives, toutes considérées comme matures. 🎯 Caractéristiques distinctives de l’écosystème PhaaS chinois Cibles quasi exclusivement non-chinoises : les organisations imitées sont étrangères, suggérant que la Chine elle-même est rarement visée Ciblage opportuniste du grand public, contrairement aux PhaaS russophones qui visent les clients de grandes organisations Opérations ouvertes : faible souci de l’OPSEC, publications de photos de style de vie luxueux sur Telegram Publicité via Telegram plutôt que WeChat ou QQ Offre étendue : PII, enregistrement de domaines, hébergement VPS, location de serveurs, blanchiment d’argent, IMSI catchers, services de spam, données de cartes bancaires volées ⚙️ TTPs notables Livraison via RCS et iMessage : exploitation du chiffrement de bout en bout pour contourner les filtres de sécurité des opérateurs SMS ; messages enrichis (accusés de lecture, indicateurs de frappe, images HD) pour maximiser la crédibilité des leurres Interception en temps réel : panneau d’administration live permettant à l’attaquant de capturer les OTP en quelques secondes, contournant ainsi le MFA Exploitation des wallets numériques : provisionnement de la carte de la victime dans un wallet numérique sur un appareil contrôlé par l’attaquant via les credentials et OTP volés, permettant paiements sans contact, transactions de haute valeur et retraits ATM Automatisation par IA : génération de pages de phishing uniques par clonage de sites légitimes (HTML, CSS, JavaScript) via des outils comme Puppeteer, rendant la détection par signature inefficace 🔍 Cas d’étude : YY Lai Yu (YY来鱼) Première publicité en août 2024, géré par « YY Lai Yu », « Jeffrey Carrie » et « Very casual » Supporte le phishing dans 119 pays, avec focus principal sur le Japon Depuis novembre 2025 : plus de 400 templates de phishing ciblant des marques japonaises (Amazon, Apple, DMM, Epos Card, JA Bank, JCB Card, JR, Matsui Securities, Mercari, Monex, Nintendo, Nomura Securities, Orico Card, PayPay, Rakuten Securities, Sagawa Express) Leurres culturellement adaptés : expiration de points de fidélité, subvention hivernale d’électricité au Japon Anti-bot via vérification humaine (clic manuel requis avant la page de phishing) pour contrer l’analyse automatisée Utilisation du service d’enregistrement de domaines Alibaba Panel permettant : requête des données phishées, blocklist par numéro BIN, blocklist par pays/territoire, gestion de domaines et d’utilisateurs opérateurs 📊 Type d’article Il s’agit d’une publication de recherche produite par GTIG, visant à documenter l’évolution structurelle et technique de l’écosystème PhaaS sinophone, ses TTPs émergents et ses capacités de localisation à l’échelle mondiale. ...

🔍 Contexte WithSecure Labs publie le 28 mai 2026 une analyse approfondie d’un groupe de menace nouvellement tracké sous le nom GREYVIBE, actif depuis au moins août 2025 et ciblant principalement l’Ukraine et les entités liées à l’Ukraine dans le contexte du conflit russo-ukrainien. 🎯 Victimologie et ciblage Le groupe cible une population diverse : Entités militaires ukrainiennes (dont des combattants à Kharkiv) Entités gouvernementales (Conseil municipal de Kyiv, Service d’État des communications spéciales) Entités civiles et commerciales Secteur énergie (entreprise énergétique ukrainienne) 📦 Vecteurs d’attaque et campagnes PhantomMail : Spear-phishing par e-mail depuis août 2025, avec archives ZIP/RAR hébergées sur Google Drive et 4sync, contenant des loaders PyInstaller ou JavaScript lançant la chaîne d’infection PhantomRelay. ...

🔍 Contexte Publié le 22 mai 2026 par PolySwarm (The Hivemind), cet article s’appuie sur une analyse de Microsoft pour décrire l’évolution significative du malware Kazuar, associé à l’acteur étatique russe Secret Blizzard (alias Turla, Venomous Bear, Uroburos, Snake). L’analyse couvre des campagnes ciblant l’Europe, l’Asie centrale et l’Ukraine. 🎯 Cibles Les secteurs visés incluent : Gouvernements et ministères des affaires étrangères Organisations diplomatiques et ambassades Secteur de la défense et contractants Institutions de recherche 🧩 Architecture modulaire de Kazuar Kazuar a abandonné sa structure monolithique pour un écosystème modulaire composé de trois types de modules : ...

🔍 Contexte Publié le 29 mai 2026 par Push Security, cet article de recherche documente une campagne active baptisée LLMShare, qui exploite les fonctionnalités de partage de contenu des plateformes d’IA conversationnelle ChatGPT (chatgpt.com) et Claude (claude.ai) pour distribuer des malwares ciblant les utilisateurs macOS et Windows. 🎯 Technique d’attaque Les attaquants exploitent la confiance implicite accordée aux domaines chatgpt.com et claude.ai par les outils de réputation d’URL et les utilisateurs : ...

🗓️ Contexte Article publié le 23 mai 2026 par Hudson Rock sur la plateforme infostealers.com. L’analyse croise les découvertes de OX Security, SafeDep et Datadog Security Labs sur une campagne d’attaque supply chain massive nommée Megalodon. 🎯 Description de l’attaque En l’espace de six heures, des acteurs malveillants ont poussé des milliers de commits vers des dépôts GitHub publics, infectant plus de 5 000 repositories. Le vecteur principal repose sur l’injection de payloads encodés en Base64 directement dans des fichiers de workflow YAML ciblant GitHub Actions. ...

🗞️ Contexte Article publié le 29 mai 2026 par TechCrunch (Lorenzo Franceschi-Bicchierai). Il couvre un conflit public entre Microsoft et un chercheur en sécurité indépendant opérant sous le pseudonyme “Nightmare Eclipse”, autour de la divulgation de plusieurs vulnérabilités non corrigées. 🔍 Faits rapportés Le chercheur Nightmare Eclipse a publié publiquement plusieurs vulnérabilités affectant des produits Microsoft, accompagnées de code d’exploitation (proof-of-concept) : BlueHammer RedSun UnDefend YellowKey Ces failles affectent notamment : Windows Defender (moteur antivirus intégré) BitLocker (outil de chiffrement de disque) Les vulnérabilités ont été publiées sur GitHub et GitLab, les deux comptes du chercheur ayant ensuite été bannis. Selon Microsoft et la CISA, certaines de ces vulnérabilités ont depuis été exploitées dans des attaques réelles. ...

📰 Source : BBC News, publié le 27 mai 2026. Article de presse généraliste couvrant la compétition Pwn2Own Berlin 2026 et les implications de l’IA sur la recherche en vulnérabilités. 🏆 Contexte compétitif La compétition Pwn2Own, organisée par la ZeroDay Initiative, a récompensé des hackers éthiques à Berlin. Près de 1,3 million de dollars ont été distribués pour 47 nouvelles méthodes de hacking découvertes sur divers logiciels et systèmes. La hackeuse Valentina Palmiotti (alias Chompie), chercheuse en sécurité chez IBM X-Force, a remporté 20 000 $ pour un hack lié à Nvidia et 50 000 $ pour une intrusion sur un système Linux. Le hacker Orange Tsai (Taiwan) a mené son équipe à gagner 375 000 $ grâce à des chemins d’attaque complexes. ...

🔍 Contexte Publié le 22 mai 2026 par Unit 42 (Palo Alto Networks), cet article documente les activités récentes du groupe APT à nexus iranien Screening Serpens (alias UNC1549, Smoke Sandstorm, Iranian Dream Job), actif depuis au moins 2022. Les campagnes analysées couvrent la période mi-février à avril 2026, en corrélation avec un conflit régional débuté le 28 février 2026 au Moyen-Orient. 🎯 Ciblage et victimologie Les entités ciblées sont localisées dans : ...