XMRig

🔍 Contexte WithSecure Labs publie le 28 mai 2026 une analyse approfondie d’un groupe de menace nouvellement tracké sous le nom GREYVIBE, actif depuis au moins août 2025 et ciblant principalement l’Ukraine et les entités liées à l’Ukraine dans le contexte du conflit russo-ukrainien. 🎯 Victimologie et ciblage Le groupe cible une population diverse : Entités militaires ukrainiennes (dont des combattants à Kharkiv) Entités gouvernementales (Conseil municipal de Kyiv, Service d’État des communications spéciales) Entités civiles et commerciales Secteur énergie (entreprise énergétique ukrainienne) 📦 Vecteurs d’attaque et campagnes PhantomMail : Spear-phishing par e-mail depuis août 2025, avec archives ZIP/RAR hébergées sur Google Drive et 4sync, contenant des loaders PyInstaller ou JavaScript lançant la chaîne d’infection PhantomRelay. ...

🔍 Contexte Publié le 14 mai 2026 par l’équipe Research Special Operations (RSO) de Tenable, cet article de type FAQ documente l’exploitation active et continue de cinq vulnérabilités critiques dans Cisco Catalyst SD-WAN Controller et Manager, ainsi qu’une sixième vulnérabilité plus ancienne utilisée pour l’élévation de privilèges. 📅 Chronologie des divulgations 25 février 2026 : Cisco divulgue CVE-2026-20127 (CVSS 10.0, authentication bypass, déjà exploitée) et trois autres CVEs (CVE-2026-20133, CVE-2026-20128, CVE-2026-20122). CISA ajoute CVE-2026-20127 et CVE-2022-20775 au catalogue KEV. Mars 2026 : Exploitation de CVE-2026-20128 et CVE-2026-20122 confirmée. ZeroZenX Labs publie un PoC pour la chaîne CVE-2026-20133/20128/20122. Avril 2026 : Exploitation de CVE-2026-20133 confirmée. CISA ajoute CVE-2026-20133, CVE-2026-20128 et CVE-2026-20122 au KEV. 14 mai 2026 : Cisco divulgue CVE-2026-20182 (CVSS 10.0, zero-day, authentication bypass). CISA émet la Directive d’urgence 26-03 et ajoute CVE-2026-20182 au KEV avec échéance de remédiation au 17 mai 2026. 🛡️ Vulnérabilités impliquées CVE Description CVSS CVE-2026-20182 Authentication Bypass (Controller & Manager) 10.0 CVE-2026-20127 Authentication Bypass (Controller & Manager) 10.0 CVE-2026-20133 Information Disclosure (Manager) 7.5 CVE-2026-20128 Credential Access (Manager) 7.5 CVE-2026-20122 Arbitrary File Overwrite (Manager) 5.4 CVE-2022-20775 CLI Path Traversal / Privilege Escalation 7.8 🎯 Acteur principal : UAT-8616 UAT-8616, désigné par Cisco Talos comme un acteur de menace « hautement sophistiqué », exploite les infrastructures Cisco SD-WAN depuis au moins 2023. Son infrastructure présente des chevauchements avec des réseaux Operational Relay Box (ORB). Il cible des secteurs d’infrastructure critique. ...

🔍 Contexte Publié le 16 avril 2026 par BitSight, cet article constitue le second volet d’une série d’analyses sur le botnet RondoDox, actif depuis mai 2025 jusqu’à au moins janvier 2026. Il couvre en détail l’implant initial, le binaire principal, le protocole C2 et l’évolution des capacités du malware. 🦠 Chaîne d’infection L’infection débute par l’exploitation de vulnérabilités sur des systèmes exposés (ex: React2Shell, Netgear, Linksys, Edimax). Un script shell est exécuté en mémoire sans écriture disque, réalisant : ...

Source: Blog personnel de Jake Saunders. Contexte: l’auteur reçoit un abus report de son hébergeur Hetzner signalant du scanning réseau sortant; il découvre que son instance Umami (analytics) a été compromis via une faille Next.js récemment divulguée. L’incident démarre par un email d’abus Hetzner signalant du scanning vers une plage d’IP en Thaïlande. Sur le serveur (hébergé chez Hetzner et orchestré avec Coolify), l’auteur observe une charge CPU anormale et des processus de minage (xmrig) tournant en tant qu’utilisateur UID 1001. L’investigation montre la présence d’un dossier xmrig-6.24.0 à l’emplacement interne de Next.js dans le conteneur Umami, avec une commande pointant vers un pool Monero. ⛏️ ...