CyberVeille

Tendances ransomware – Semaine 23/2026

Mon, 08 Jun 2026 20:53:33 +0000

📉 150 revendications cette semaine (-17, -10.2% par rapport à S22)

Période : 01.06.2026 au 07.06.2026

Analyse Ransomware — Semaine 23 (01.06.2026 – 07.06.2026)

Source : eCrime.ch — Données agrégées, aucune victime individuelle n’est identifiée.

Vue d’ensemble

La semaine 23 enregistre 150 revendications d’attaques par rançongiciel, soit une baisse de 17 revendications par rapport à la semaine précédente (167 revendications en S22), représentant un recul de 10,2 %. Cette diminution s’inscrit dans un contexte où le volume global reste néanmoins élevé, avec une moyenne supérieure à 20 revendications par jour.

🪲 Semaine 23 — CVE les plus discutées

Mon, 08 Jun 2026 20:53:23 +0000

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée.

Période analysée : 2026-05-31 → 2026-06-07.

Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation.

📌 Légende :

CVSS : score officiel de sévérité technique.
EPSS : probabilité d’exploitation observée.
VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité.
CISA KEV : vulnérabilité activement exploitée selon la CISA.
seen / exploited : signaux observés dans les sources publiques.

CVE-2026-0257

CVSS: N/A EPSS: 52.85% VLAI: Medium (confidence: 0.8983) CISA: KEV

Produit

Palo Alto Networks — Cloud NGFW

Publié

2026-05-13T18:15:10.172Z

Authentication bypass vulnerabilities in the GlobalProtect portal and gateway of Palo Alto Networks PAN-OS® software allows the attacker to bypass security restrictions and establish an unauthorized VPN connection. Panorama and Cloud NGFW are not impacted by these issues.

Analyse du malware Lorem Ipsum via trois outils Rust développés avec assistance IA

Mon, 08 Jun 2026 00:00:00 +0000

📅 Article publié le 6 juin 2026 sur le blog personnel d’Antonio Parata, présentant une expérience d’analyse dynamique du malware Lorem Ipsum à l’aide de trois outils personnalisés développés en Rust avec assistance de l’IA Claude Pro.

🔬 Contexte malware : Le malware Lorem Ipsum, déjà documenté dans un billet BlueVoyant, est disponible sur MalwareBazaar. Il nécessite Node.js pour s’exécuter, dépose son binaire dans C:\ProgramData\Microsoft Edge Updates Helper qZWpLKQXEGaa\Microsoft Edge Updates Helper.exe, et est fortement obfusqué, rendant l’analyse statique très difficile (IDA ne peut pas décompiler le code).

Attribution de Quellostanco : un acteur ciblant des infrastructures égyptiennes démasqué par OSINT

Mon, 08 Jun 2026 00:00:00 +0000

🔍 Contexte

Publié le 18 mai 2026 par DeXpose en collaboration avec Buguard, cet article présente une investigation OSINT complète ayant conduit à l’attribution d’un threat actor connu sous l’alias Quellostanco, actif depuis début 2026 contre des cibles égyptiennes. Le dossier d’attribution complet a été transmis aux autorités judiciaires compétentes.

🎯 Activités malveillantes attribuées à Quellostanco

L’acteur a opéré sous la bannière du groupe INT3X, en collaboration avec les alias CrowStealer et bigF :

Baker Distributing victime de ShinyHunters : 103 000 emails exposés via SharePoint et Salesforce

Mon, 08 Jun 2026 00:00:00 +0000

🗓️ Contexte

Source : Have I Been Pwned (haveibeenpwned.com), publié le 7 juin 2026. L’incident concerne Baker Distributing Company, distributeur en gros de matériel HVAC/R (chauffage, ventilation, climatisation, réfrigération) basé aux États-Unis.

🎯 Nature de l’incident

En mai 2026, Baker Distributing a été ajouté au site d’extorsion « pay or leak » du groupe ShinyHunters. Début juin 2026, le groupe a publiquement diffusé les données qu’il affirme avoir extraites de l’infrastructure SharePoint et Salesforce de l’entreprise.

C0XMO : nouveau variant Gafgyt exploitant DD-WRT pour se propager sur plusieurs architectures Linux

Mon, 08 Jun 2026 00:00:00 +0000

🔍 Contexte

Publié le 3 juin 2026 par Vincent Li (FortiGuard Labs), cet article présente l’analyse technique détaillée de C0XMO, un nouveau variant du botnet Gafgyt découvert en mars 2026. La cible initiale était une entreprise technologique japonaise, mais l’adresse IP source de l’attaque a été tracée en Allemagne.

🎯 Vecteur d’infection initial

Le malware se propage en exploitant CVE-2021-27137, un stack buffer overflow dans le service UPnP des firmwares DD-WRT antérieurs au changeset 45723. La vulnérabilité est déclenchée via des requêtes M-SEARCH malformées envoyées sur le port UDP 1900, exploitant une mauvaise gestion des valeurs ST:uuid: surdimensionnées par le parseur SSDP.

CVE-2026-8181 : Bypass d'authentification critique dans le plugin WordPress Burst Statistics

Mon, 08 Jun 2026 00:00:00 +0000

🔍 Contexte

Source : CrowdSec Tracker (https://tracker.crowdsec.net/cves/CVE-2026-8181), publié le 8 juin 2026. La CVE a été initialement publiée sur le NVD le 14 mai 2026.

🐛 Vulnérabilité

CVE-2026-8181 est une vulnérabilité critique d’authentification bypass (CVSS : 9.8) affectant le plugin Burst Statistics – Privacy-Friendly WordPress Analytics pour WordPress CMS, dans les versions 3.4.0 à 3.4.1.1.

La faille réside dans une mauvaise gestion de la valeur de retour de la fonction is_mainwp_authenticated() lors de la validation des mots de passe d’application issus de l’en-tête Authorization. Un attaquant non authentifié, connaissant le nom d’utilisateur d’un administrateur, peut usurper son identité en fournissant n’importe quel mot de passe en Basic Authentication, aboutissant à une élévation de privilèges.

Cyberattaque contre unimed : vol de données de facturation de patients en Allemagne

Mon, 08 Jun 2026 00:00:00 +0000

🏥 Contexte

Source : communiqué officiel publié sur le site unimed.de, daté du 29 mai 2026 (publication CTI le 4 juin 2026). unimed Abrechnungservice für Kliniken und Chefärzte GmbH est une société allemande basée à Wadern, spécialisée dans la gestion de la facturation médicale pour cliniques et médecins-chefs.

🔍 Déroulement de l’incident

Date de détection : 14 avril 2026
Type d’incident : cyberattaque avec exfiltration de données
Le lendemain de la détection, les premiers clients identifiés ont été notifiés
L’incident a été signalé à l’autorité de protection des données compétente et à la police
Des experts forensiques IT externes ont été mandatés pour l’investigation
Des experts forensiques en données ont été mobilisés pour l’analyse des données exfiltrées
Un équipe externe de réponse sur incident (Incident Response) a été engagée

📂 Données compromises

Seul un volume très limité de jeux de données a été exfiltré
Les données concernent la correspondance relative aux contestations de factures de patients privés et patients payant directement (Privatpatienten und Selbstzahler)
La grande majorité des données exfiltrées ne constitue pas des données financières ou de santé particulièrement sensibles
L’identification des clients et patients concernés a nécessité une analyse détaillée (données structurées par numéros de facture et flux de paiement)
Les résultats de l’analyse ont été communiqués individuellement aux clients concernés à partir de mi-mai 2026

📡 Surveillance post-incident

Aucune publication des données volées n’a été détectée à ce jour
Selon l’équipe IR externe, une publication des données n’est plus considérée comme probable
Un monitoring continu est maintenu sur des sites du clear web et du dark web

🔄 Reprise d’activité

Les systèmes IT ont été sécurisés et sont en fonctionnement normal depuis plusieurs semaines
La majorité des clients a repris les opérations de facturation immédiatement après la remise en service
Un Security Operations Center (SOC) externe assure désormais la surveillance continue des systèmes

📋 Nature du document

Il s’agit d’un communiqué de presse officiel post-incident publié par la victime, visant à informer le public, les clients et les patients sur le déroulement de l’incident, les mesures prises et l’état actuel de la situation.

Exploitation active de CVE-2026-3300 dans Everest Forms Pro pour compromettre des sites WordPress

Mon, 08 Jun 2026 00:00:00 +0000

📰 Source : BleepingComputer — publié le 6 juin 2026

Contexte

Une vulnérabilité critique identifiée sous CVE-2026-3300 affecte le plugin commercial Everest Forms Pro (versions 1.9.12 et antérieures) pour WordPress. Cette faille est activement exploitée dans la nature depuis le 13 avril, selon les données télémétriques de Wordfence.

Détails techniques

La vulnérabilité réside dans la fonctionnalité Complex Calculation du plugin, qui insère des valeurs soumises via des champs de formulaire dans une chaîne de code PHP, puis exécute ce code via la fonction eval().

IBM accusé d'avoir dissimulé plusieurs intrusions d'APT10 entre 2013 et 2016

Mon, 08 Jun 2026 00:00:00 +0000

📰 Source : TechCrunch, publié le 5 juin 2026. Cet article rapporte le contenu d’une plainte judiciaire déposée en 2020 par William Barlow, ancien vice-président de la threat intelligence chez IBM jusqu’en août 2019, et dont le scellement vient d’être levé.

🎯 Contexte de l’affaire Barlow accuse IBM d’avoir subi plusieurs intrusions par des acteurs étatiques étrangers sur une décennie, et d’avoir délibérément dissimulé ces incidents sans notifier les autorités compétentes ni les clients gouvernementaux. IBM est un fournisseur majeur de cybersécurité pour le gouvernement fédéral américain, ce qui rend la dissimulation alléguée particulièrement significative.

RCE non authentifiée sur UniFi OS Server : chaîne de vulnérabilités CVSS 10.0 (CVE-2026-34908/09/10)

Mon, 08 Jun 2026 00:00:00 +0000

🔍 Contexte

Le 5 juin 2026, Bishop Fox (chercheur Jon Williams) publie une analyse technique approfondie d’une chaîne d’exploitation affectant UniFi OS Server d’Ubiquiti, couverte par le Security Advisory Bulletin 064 (SAB-064) publié le 21 mai 2026. L’analyse porte sur les versions 5.0.6 et inférieures (unifi-core ≤ 5.0.126), validée sur une cible live.

🧩 Chaîne d’exploitation (3 parties)

Partie 1 — Contournement de l’authentification (CVE-2026-34908 / CVE-2026-34909, CVSS 10.0)

Le proxy Nginx utilise $request_uri (brut, encodé) pour la vérification d’authentification via auth_request, mais $uri (normalisé, décodé) pour le routage vers les backends.
Une requête dont l’URI brut commence par /api/auth/validate-sso/ (route publique exemptée) mais dont la forme normalisée résout vers /proxy/<service>/ (route authentifiée) contourne le contrôle d’accès.
Des séquences de path traversal encodées (..%2f, ..%2e, %2e%2e) permettent cette divergence.

Partie 2 — Injection de commande (CVE-2026-34910, CVSS 10.0 / CVE-2026-33000, CVSS 9.1)

Résurgence de polyfill[.]io : fausses fenêtres de connexion sur les sites Toshiba et Muji

Mon, 08 Jun 2026 00:00:00 +0000

📰 Source : BleepingComputer — Date de publication : 5 juin 2026

Contexte

En 2024, le domaine polyfill[.]io — un CDN JavaScript destiné à assurer la compatibilité des sites web avec les navigateurs anciens — avait été racheté par une entité chinoise non identifiée qui y avait injecté du code malveillant, impactant plus de 100 000 sites web. Le créateur du projet open source, Andrew Betts, avait alors recommandé de retirer le service et migré vers de nouveaux domaines (polyfill.com, puis polyfill.top).

Silent Ransom Group cible des cabinets juridiques américains via du vishing et du social engineering

Mon, 08 Jun 2026 00:00:00 +0000

🗓️ Contexte

Rapport publié le 7 juin 2026 par BleepingComputer, basé sur une analyse de Mandiant et un avis FBI FLASH récent. L’article détaille les tactiques du groupe Silent Ransom Group (aussi suivi sous les noms UNC3753, Luna Moth, Chatty Spider) dans des campagnes actives entre janvier et mai 2026.

🎯 Cibles et motivations

Le groupe cible principalement :

Cabinets juridiques (law firms)
Services financiers
Services professionnels

Ces organisations sont visées pour leurs dépôts concentrés de données sensibles : dossiers de transactions clients, plans de fusions-acquisitions, secrets commerciaux, rapports réglementaires. Leur exposition réglementaire et réputationnelle les rend particulièrement vulnérables à l’extorsion.

Anthropic cartographie l'usage malveillant de l'IA sur MITRE ATT&CK : 832 comptes analysés

Sun, 07 Jun 2026 00:00:00 +0000

🗓️ Contexte

Publié le 3 juin 2026 par Anthropic (Kyla Guru, Alex Moix, Jacob Klein), ce rapport analyse 832 comptes bannis de la plateforme Claude entre mars 2025 et mars 2026 pour violation de la politique d’utilisation liée à des activités cyber malveillantes. Les résultats ont partiellement alimenté le Verizon Data Breach Investigation Report (DBIR) 2026.

📊 Méthodologie

13 873 observations d’activités malveillantes mappées sur le framework MITRE ATT&CK V18
482 sous-techniques uniques couvrant les 14 tactiques ATT&CK
Nouveau score de risque : ARiES (AI Risk Enablement Score), composite de 0 à 100 basé sur trois dimensions : Threat (0–35), Vulnerability (0–35), Impact (0–30)
Données collectées via Claude.ai, Claude Code et l’API Anthropic

🔑 Résultats clés

1. Croissance du risque :

Bugonomics : analyse économique de la découverte de vulnérabilités assistée par LLM

Sun, 07 Jun 2026 00:00:00 +0000

🔬 Contexte et source

Article académique publié sur arXiv (soumis le 23 mai 2026) par des chercheurs de Bynario, Vanta et University College London. Il s’appuie sur les données publiques des campagnes Anthropic Mythos Preview et Mozilla Firefox pour analyser les implications économiques des LLM dans la découverte de vulnérabilités.

📐 Concept central : le « bugonomics »

Les auteurs introduisent le terme bugonomics comme cadre d’analyse des coûts et incitations liés à la production d’artefacts de sécurité. Ils distinguent explicitement plusieurs catégories économiquement distinctes :

Campagne d'espionnage de 5 mois visant la boîte mail d'un dirigeant de bourse mondiale

Sun, 07 Jun 2026 00:00:00 +0000

🎯 Contexte

Cet article est publié le 3 juin 2026 par la Threat Hunter Team de Symantec et Carbon Black (Broadcom). Il documente une campagne d’espionnage ciblée de cinq mois visant le compte email d’un cadre supérieur d’une grande bourse mondiale, observée entre octobre 2025 et mars 2026.

🕵️ Déroulement de l’attaque

La première activité malveillante détectée remonte au 10 octobre 2025, avec deux binaires masqués déjà installés et exécutés en tant que SYSTEM :

Écosystème de distribution de malwares via TDS, usurpation d'identité et détournement de clics

Sun, 07 Jun 2026 00:00:00 +0000

🔍 Contexte

Publié le 3 juin 2026 par Check Point Research (auteur : Alexey Bukhteyev), cet article présente une analyse technique approfondie d’un écosystème de distribution de malwares à grande échelle, actif depuis au moins décembre 2025 et documenté avec des livraisons malveillantes confirmées dès janvier 2026.

🎭 Mécanisme d’usurpation et de détournement de clics

L’opération repose sur des sites web imitant des projets open-source et freeware populaires (Ghidra, dnSpy, ILSpy, grpcurl, MQTTExplorer, CrystalDiskMark, etc.), bien positionnés dans les résultats Google. Ces sites chargent un script JavaScript hébergé sur Amazon CloudFront qui intercepte le premier clic sur le bouton « Download » et le redirige vers un Traffic Distribution System (TDS).

ENISA NIS360 2026 : état de la maturité cybersécurité des secteurs critiques européens

Sun, 07 Jun 2026 00:00:00 +0000

🏛️ Contexte

Publié en mai 2026 par l’Agence de l’Union européenne pour la cybersécurité (ENISA), le rapport NIS360 2026 constitue la troisième édition annuelle d’évaluation de la maturité cybersécurité et de la criticité des secteurs de haute criticité identifiés à l’Annexe I de la directive NIS2. L’évaluation couvre l’ensemble de l’écosystème sectoriel (entités, autorités nationales, organismes UE, cadres législatifs) à partir d’enquêtes menées auprès d’environ 300 entreprises de 25 États membres et 100 autorités nationales entre juin et octobre 2025.

Étude empirique : 400 tests de pénétration autonomes par LLM — cohérence et fiabilité

Sun, 07 Jun 2026 00:00:00 +0000

🔬 Contexte

Publié le 7 juin 2026 sur arXiv (arxiv.org/abs/2605.30096), cet article de recherche indépendant (auteur : Galip T. Erdem) présente la première étude empirique à grande échelle mesurant la cohérence comportementale de LLMs utilisés comme agents d’attaque autonomes. L’étude couvre 400 exécutions (4 modèles × 100 runs) contre un honeypot isolé hébergé sur Azure.

🎯 Dispositif expérimental

Le honeypot cible expose trois services délibérément vulnérables :

Port 3000 : OWASP Juice Shop (injection SQL via /rest/products/search?q=)
Port 22 : OpenSSH avec credentials faibles (honeypot:password123)
Port 21 : vsftpd avec accès FTP anonyme et fichier credentials.txt

Les 4 modèles testés : Claude Sonnet 4 (Anthropic), Gemini 2.5 Flash-Lite (Google), GPT-4o-mini (OpenAI), qwen2.5-coder:14b (local via Ollama). L’orchestrateur implémente une boucle commande-exécution-observation avec un maximum de 25 itérations.

Gamaredon 2026 : analyse complète de la chaîne d'infection GammaPhish et GammaWorm

Sun, 07 Jun 2026 00:00:00 +0000

🔍 Contexte

Publié le 1er juin 2026 par l’équipe Threat Detection & Research (TDR) de Sekoia.io, cet article constitue le premier volet d’une série de trois rapports sur la chaîne d’infection du groupe Gamaredon (alias ACTINUM, Armageddon, UAC-0010, BlueAlpha), un acteur étatique russe officiellement rattaché au FSB. L’investigation a débuté en décembre 2025 via une règle YARA opportuniste, complétée par plus de 70 artefacts fournis par un partenaire de confiance.

HazyBeacon : un malware exploite les AWS Lambda Function URLs comme relais C2 furtif

Sun, 07 Jun 2026 00:00:00 +0000

🔍 Contexte

Article publié le 2 juin 2026 par Qualys (blog Qualys Insights), rédigé par Aniket Harne, Senior Security Engineer Cloud. L’article analyse la campagne HazyBeacon (identifiant cluster : CL-STA-1020), initialement documentée par Palo Alto Networks Unit 42 en juillet 2025.

🎯 Acteur et cibles

HazyBeacon cible des réseaux gouvernementaux d’Asie du Sud-Est. L’infrastructure de commande et contrôle est déployée dans des comptes AWS appartenant à des tiers non liés (équipes de développement, petites organisations), dont les credentials IAM ont été compromis.

10 à 20% des nouveaux domaines gTLD en 2025 enregistrés par des cybercriminels

Sat, 06 Jun 2026 00:00:00 +0000

📋 Contexte : Publié le 1er juin 2026 par Interisle Consulting Group, ce rapport analyse les enregistrements de domaines gTLD en 2025 à partir de données publiques et commerciales, incluant des Reputation Block Lists (RBL), des données ICANN et des analyses de zone files.

📊 Ampleur du phénomène : Sur les 84,96 millions de domaines gTLD créés en 2025, au moins 8,5 millions (10%) ont été mis sur liste noire pour activité malveillante. En appliquant des projections conservatives intégrant les domaines non détectés par les blocklists et les enregistrements associés, le chiffre réel pourrait atteindre 16,8 millions de domaines (20%) achetés par des acteurs malveillants. En janvier, février et mai 2025, le nombre de domaines malveillants enregistrés a dépassé la croissance nette totale du marché gTLD.

Analyse technique : chaîne d'infection malspam vers loader .NET fileless en 5 étapes

Sat, 06 Jun 2026 00:00:00 +0000

🔍 Contexte

Publié le 3 juin 2026 par Huntress (mis à jour le 5 juin 2026), cet article est une analyse technique détaillée d’une infection observée en mai 2026 par le SOC Huntress. L’attribution initiale à DesckVB RAT a été corrigée : le malware est désormais identifié comme un loader .NET non identifié.

📧 Vecteur initial : malspam via DoubleClick

L’accès initial s’effectue via un email malveillant contenant une pièce jointe HTML (Bestellung_2026.html, « bon de commande » en allemand). Cette pièce jointe effectue une redirection meta-refresh immédiate vers une URL de tracking Google DoubleClick (ad.doubleclick.net/ddm/trackclk/...), exploitant la haute réputation de ce domaine pour contourner les passerelles email.

Attaque ransomware contre la NFSP via une vulnérabilité critique dans cPanel

Sat, 06 Jun 2026 00:00:00 +0000

📰 Source : Computer Weekly | Date de publication : 3 juin 2026 | Incident : Attaque ransomware contre la NFSP

🎯 La National Federation of Subpostmasters (NFSP), organisation représentant les gérants de bureaux de poste au Royaume-Uni, a été ciblée par une attaque ransomware le 30 avril 2026.

🔓 Le vecteur d’entrée identifié est l’exploitation d’une vulnérabilité critique dans le logiciel cPanel, un panneau de contrôle d’hébergement web utilisé par le prestataire d’hébergement de la NFSP. cPanel avait publié un avis de sécurité en avril pour corriger cette faille, mais celle-ci a été découverte et exploitée par des attaquants avant ou pendant la fenêtre de remédiation.

Campagne 'Patriot Bait' : un acteur russophone solitaire a géré pendant 5 ans un canal Telegram MAGA de 17 000 abonnés

Sat, 06 Jun 2026 00:00:00 +0000

🔍 Contexte

Publié le 21 mai 2026 par Trend Micro Research (Philippe Lin, Joseph C Chen, Fyodor Yarochkin, Vladimir Kropotov), cet article documente une opération d’influence et de fraude financière conduite par un acteur solo russophone, tracké sous le pseudonyme bandcampro, sur une période de 5 ans.

🎭 L’opération ‘American Patriot’

L’acteur a créé le canal Telegram @americanpatriotus le 6 février 2021, soit un mois après l’assaut du Capitole, ciblant les communautés QAnon et MAGA en pleine migration vers Telegram. Le canal a atteint environ 17 000 abonnés et s’est étendu à Truth Social via le compte @USGuardianEagle.

Campagne de phishing PUMA Careers : usurpation de marque et collecte de credentials via faux portail RH

Sat, 06 Jun 2026 00:00:00 +0000

🗓️ Source : CyberProof Research Team (blog CyberProof), publié le 2 juin 2026. Auteur : Yevgeni Pak.

Contexte

L’équipe de threat hunting de CyberProof a identifié une campagne de phishing multi-étapes usurpant l’identité de PUMA Careers, ciblant des chercheurs d’emploi via des techniques de reconnaissance LinkedIn et d’ingénierie sociale assistée par IA. La détection initiale a été déclenchée par une anomalie comportementale : l’email de phishing s’adressait à la victime avec son identité LinkedIn publique, alors que le compte email utilisait un format de nom différent.

Campagne de piratage Instagram via le chatbot IA de Meta : comptes détournés par simple demande

Sat, 06 Jun 2026 00:00:00 +0000

🗓️ Contexte

Source : TechCrunch, publié le 3 juin 2026. L’article couvre une campagne de piratage de masse ciblant des comptes Instagram, exploitant le chatbot IA de support de Meta déployé en mars 2026.

🎯 Nature de l’attaque

La technique est d’une simplicité extrême : les attaquants ont demandé directement au chatbot IA de Meta de lier le compte cible à une adresse email qu’ils contrôlaient, en se présentant faussement comme le propriétaire légitime du compte. Le chatbot a obtempéré sans vérification, permettant ensuite la réinitialisation du mot de passe et la prise de contrôle totale du compte, parfois avec verrouillage de la victime.

Campagne STX RAT : supply chain via DLL sideloading ciblant crypto et X-VPN (100M users)

Sat, 06 Jun 2026 00:00:00 +0000

🔍 Contexte

Publié le 5 juin 2026 par l’équipe Howler Cell de Cyderes, cet article constitue une analyse technique approfondie d’une campagne active de supply chain compromise. Il fait suite à un premier rapport sur CPUID HWMonitor et étend la portée à 11 packages trojanisés au total.

🎯 Description de la campagne

Un acteur opérant sous l’alias Leda Elacoate (email : pufferfish11@firemail[.]cc) a maintenu un dépôt Bitbucket (amos-trading/dist-internal) hébergeant des installateurs légitimes repackagés avec une CRYPTBASE.dll malveillante. La technique exploite la CWE-427 (Uncontrolled Search Path Element) : Windows cherche CRYPTBASE.dll dans le dossier applicatif avant System32, permettant le chargement du DLL malveillant.

CISA et partenaires alertent sur des cyberattaques ciblant les systèmes de jauges automatiques de réservoirs

Sat, 06 Jun 2026 00:00:00 +0000

🏛️ Contexte

Le 2 juin 2026, la CISA, le FBI, la NSA, le DOE, l’EPA, la TSA, le DOT et l’USDA ont publié conjointement une fiche d’information (TLP:CLEAR) alertant sur des activités malveillantes ciblant les systèmes de jauges automatiques de réservoirs (ATG) basés aux États-Unis. L’activité n’a pas encore été attribuée à un État ou à un groupe d’acteurs spécifique.

🎯 Cibles et contexte opérationnel

Les systèmes ATG sont utilisés dans les secteurs de l’énergie, de la chimie, de l’alimentation/agriculture et des transports pour la surveillance automatisée et à distance des paramètres de stockage (niveaux de carburant, température, détection de fuites). Les acteurs malveillants ciblent spécifiquement les systèmes exposés directement sur internet.

CISA publie une directive sur l'IA pour les agences fédérales américaines

Sat, 06 Jun 2026 00:00:00 +0000

📰 Source : The Record (therecord.media) — Date : 4 juin 2026

Le directeur par intérim de la CISA, Nick Andersen, a annoncé lors de la conférence TechNet Cyber à Baltimore la publication imminente d’une directive opérationnelle contraignante (Binding Operational Directive) à destination des agences fédérales américaines, en lien avec le décret présidentiel sur l’intelligence artificielle signé la veille.

🎯 Contenu de la directive

La directive portera notamment sur :

La gestion et l’atténuation des vulnérabilités (vulnerability alleviation and vulnerability management)
Le déploiement d’un accès spécifique à l’IA pour les partenaires de la CISA dans les prochains jours
La mise en place d’un cyber clearinghouse pour tester et évaluer les modèles d’IA

📋 Décret présidentiel sur l’IA

Cyberattaque contre Belimed Infection Control : données copiées depuis les systèmes IT

Sat, 06 Jun 2026 00:00:00 +0000

🗓️ Contexte

Source : nau.ch, publiée le 3 juin 2026. L’article rapporte une cyberattaque ayant touché une joint-venture de Metall Zug, groupe industriel suisse coté.

🎯 Nature de l’incident

L’attaque a ciblé Belimed Infection Control, entité spécialisée dans le contrôle des infections. Des données ont été copiées depuis des zones délimitées (abgegrenzte Bereiche) des systèmes IT de Belimed Infection Control. La société sœur Steelco Belimed (basée à Zoug) est également mentionnée dans le contexte de l’incident.

Dashlane : des comptes utilisateurs suspendus suite à des attaques par force brute

Sat, 06 Jun 2026 00:00:00 +0000

🗓️ Contexte

Source : BleepingComputer, publié le 1er juin 2026. L’incident a été détecté le 31 mai 2026 à 15h19 UTC et marqué comme résolu à 22h30 UTC le même jour.

🔍 Nature de l’incident

Des attaques par force brute menées par un tiers externe ont ciblé des comptes utilisateurs du gestionnaire de mots de passe Dashlane. Ces attaques consistaient à tenter de multiples combinaisons de mots de passe depuis des localisations géographiques distantes et des appareils inconnus, dans le but de prendre le contrôle des comptes.

DentaQuest victime d'une extorsion ShinyHunters : 2,6M d'adresses email exposées

Sat, 06 Jun 2026 00:00:00 +0000

🏥 Contexte

Source : HaveIBeenPwned (https://haveibeenpwned.com/Breach/DentaQuest), publié le 3 juin 2026. DentaQuest est un administrateur de prestations dentaires opérant aux États-Unis, notamment dans le cadre du programme Medicaid.

⚔️ Nature de l’attaque

En mai 2026, le groupe cybercriminel ShinyHunters a mené une campagne d’extorsion de type “pay or leak” contre DentaQuest. Face au refus ou à l’absence de paiement, le groupe a publiquement divulgué des centaines de gigaoctets de données prétendument extraites des systèmes de l’entreprise.

Des extensions Chrome malveillantes volent les conversations sur ChatGPT, Claude, Copilot, Gemini et DeepSeek

Sat, 06 Jun 2026 00:00:00 +0000

🗓️ Contexte

Source : Cyber Press (cyberpress.org), publié le 5 juin 2026. L’article s’appuie sur des recherches publiées par G DATA Software. Il documente la découverte de plusieurs extensions Chrome malveillantes ciblant les utilisateurs de plateformes d’IA générative.

🎯 Contexte de la menace

En mars 2026, l’écosystème des extensions Chrome liées à l’IA comptait environ 115 millions d’utilisateurs. Des acteurs malveillants exploitent la confiance accordée aux outils de productivité IA pour déguiser des stealers en extensions légitimes. Les données ciblées incluent des conversations confidentielles, du code source propriétaire et des informations médicales personnelles.

Exploitation active de CVE-2026-41089 : RCE critique dans Windows Netlogon

Sat, 06 Jun 2026 00:00:00 +0000

📰 Contexte

Publié le 1er juin 2026 par BleepingComputer, cet article rapporte l’alerte émise par le Centre pour la Cybersécurité Belgique (CCB) concernant l’exploitation active dans la nature d’une vulnérabilité critique récemment corrigée dans Windows Netlogon.

🔍 Vulnérabilité CVE-2026-41089

CVE-2026-41089 est un stack-based buffer overflow dans le service Windows Netlogon (interface RPC utilisée pour l’authentification sur les réseaux de domaine Windows). Elle permet à un attaquant non authentifié d’obtenir une exécution de code à distance (RCE) sur des contrôleurs de domaine ciblés.

HTTP/2 Bomb : exploit DoS distant découvert par l'IA Codex affectant nginx, Apache, IIS, Envoy

Sat, 06 Jun 2026 00:00:00 +0000

🗓️ Contexte

Publié le 2 juin 2026 sur le blog Calif (blog.calif.io), cet article présente la divulgation publique d’un exploit de déni de service distant baptisé HTTP/2 Bomb, découvert par l’IA Codex de OpenAI. La découverte a été réalisée par Quang Luong, avec confirmation par Jun Rong et Duc Phan.

🎯 Nature de l’attaque

L’exploit chaîne deux techniques connues depuis une décennie :

HPACK Indexed Reference Bomb : insertion d’un header dans la table dynamique HPACK (RFC 7541), puis émission de milliers de références indexées d’un seul octet. Chaque octet sur le réseau provoque une allocation mémoire côté serveur allant de ~70 octets (nginx, IIS, Pingora) à ~4 000 octets (Apache httpd, Envoy).
HTTP/2 Window Stall : annonce d’une fenêtre de contrôle de flux à zéro octet, empêchant le serveur de libérer la mémoire allouée, avec envoi de trames WINDOW_UPDATE d’un octet pour maintenir la connexion ouverte indéfiniment.

La nouveauté réside dans la source de l’amplification : contrairement aux bombes classiques qui stockent une grande valeur, ici le header est quasi vide et l’amplification provient du bookkeeping par entrée alloué par le serveur, contournant les limites de taille de header décodé.

HTTP/2 Bomb : nouvelle attaque DoS capable de saturer un serveur web en moins d'une minute

Sat, 06 Jun 2026 00:00:00 +0000

🗓️ Contexte

Publié le 3 juin 2026 sur BleepingComputer, cet article présente une nouvelle technique d’attaque par déni de service (DoS) nommée HTTP/2 Bomb, découverte par l’agent logiciel Codex d’OpenAI sous la direction de chercheurs de la société de sécurité offensive Calif.

🔍 Mécanisme de l’attaque

L’attaque combine deux méthodes DoS HTTP/2 préexistantes :

Amplification HPACK : un en-tête est inséré dans la table dynamique HPACK et référencé répétitivement via une représentation indexée compacte d’un seul octet. Un octet envoyé par l’attaquant peut provoquer des milliers d’octets d’allocation mémoire côté serveur (ratio jusqu’à 5 700:1 pour Envoy, 4 000:1 pour Apache httpd).
Blocage de libération mémoire via flow-control HTTP/2 (style Slowloris) : en annonçant une fenêtre de contrôle de flux à zéro octet, le serveur ne peut jamais finaliser la réponse et continue d’envoyer des trames WINDOW_UPDATE pour éviter les timeouts. La mémoire allouée n’est jamais libérée.

Cette combinaison permet à une seule machine sur une connexion 100 Mbps d’épuiser des dizaines de gigaoctets de RAM en quelques secondes.

Kali365 PhaaS : expansion vers Okta, MAX Messenger et 126 hôtes de phishing

Sat, 06 Jun 2026 00:00:00 +0000

🗓️ Contexte

Source : cryptika.com (relayant cybersecuritynews.com), publiée le 4 juin 2026. L’analyse est basée sur les recherches d’Arctic Wolf, qui ont cartographié l’infrastructure complète de l’opération Kali365.

🎣 Description de la menace

Kali365 est une plateforme phishing-as-a-service (PhaaS) détectée pour la première fois en avril 2026. Elle exploite le flux d’autorisation de périphérique OAuth 2.0 de Microsoft (device authorization flow) pour contourner le MFA et voler des tokens d’authentification valides sans jamais avoir besoin du mot de passe de la victime.

Plus de 5 000 domaines électoraux enregistrés et 17 000 credentials exposés avant les midterms US

Sat, 06 Jun 2026 00:00:00 +0000

🗓️ Contexte

Rapport publié le 1er juin 2026 par The Register, basé sur une étude de Check Point Software portant sur les menaces numériques ciblant les élections de mi-mandat américaines de novembre 2026.

📊 Infrastructure de domaines électoraux

Entre avril 13 et mai 14 2026, Check Point a recensé :

~1 140 nouveaux domaines contenant le mot « election »
~4 010 nouveaux domaines contenant le mot « vote »

Pour comparaison, en janvier 2026, environ 1 300 domaines contenaient « election » et 2 957 contenaient « vote ».

Roundup mai 2026 : 100+ vulnérabilités critiques dans l'écosystème WordPress

Sat, 06 Jun 2026 00:00:00 +0000

📰 Contexte

Source : blog.sucuri.net — Publication du 1er juin 2026. Il s’agit du récapitulatif mensuel de Sucuri listant les vulnérabilités de sécurité découvertes et patchées dans l’écosystème WordPress (plugins et thèmes) au cours du mois de mai 2026.

🔴 Vulnérabilités critiques

Trois vulnérabilités sont classées Critical :

Advanced Custom Fields: Extended (≤ 0.9.2.5) — Privilege Escalation sans authentification — CVE-2026-8809 — patché en 0.9.2.6
Avada (Fusion) Builder (≤ 3.15.2) — Remote Code Execution sans authentification — CVE-2026-6279 — patché en 3.15.3
Gravity Forms (≤ 2.10.0.1) — Arbitrary File Deletion sans authentification — CVE-2026-48866 — patché en 2.10.1

🟠 Vulnérabilités High sans authentification (sélection)

LiteSpeed Cache (≤ 7.7) — XSS — CVE-2026-3375 — 7M+ installations
WooCommerce PayPal Payments (≤ 4.0.1) — Broken Access Control — CVE-2026-9284
Forminator Forms (≤ 1.52.1) — Arbitrary File Read — CVE-2026-5192
ManageWP Worker (≤ 4.9.31) — XSS — CVE-2026-3718
Database Backup for WordPress (≤ 2.5.2) — Arbitrary File Read + Broken Access Control (x2) — CVE-2026-4030, CVE-2026-4029, CVE-2026-4031
Kirki (≤ 6.0.6) — Arbitrary File Read — CVE-2026-8073
Post SMTP (≤ 3.6.2) — XSS — CVE-2026-48838
Appointment Booking Calendar (≤ 1.6.11.8) — SQL Injection — CVE-2026-7797
Email Marketing for WooCommerce by Omnisend (≤ 1.18.0) — Broken Authentication — CVE-2026-42668
PixelYourSite Pro (≤ 12.5.0.1) — SSRF — CVE-2026-7049
Avada (Fusion) Builder (≤ 3.15.1) — SQL Injection — CVE-2026-4798
Slider Revolution — Arbitrary File Upload — CVE-2026-6692
Betheme (≤ 28.4) — Remote Code Execution — CVE-2026-6261
Roneous (≤ 2.1.5) — Local File Inclusion sans authentification — CVE-2025-69177 — pas de patch disponible

🟡 Plugins sans patch disponible au moment de la publication

Meta for WooCommerce (≤ 3.7.0) — Open Redirect — CVE-2026-49059
Adminimize (≤ 1.11.11) — Broken Access Control — CVE-2026-49045
Duplicate Page and Post (≤ 2.9.5) — SQL Injection — CVE-2026-49046
The Post Grid (≤ 7.9.2) — Broken Access Control — CVE-2026-49054
Roneous (≤ 2.1.5) — Local File Inclusion — CVE-2025-69177

📊 Périmètre global

L’article couvre plus de 100 entrées CVE réparties sur des dizaines de plugins et thèmes WordPress, avec des bases d’installation allant de 90 000 à plus de 10 millions (Yoast SEO). Les types de vulnérabilités incluent : XSS, Broken Access Control, SQL Injection, RCE, Privilege Escalation, Arbitrary File Read/Upload/Deletion, IDOR, SSRF, Path Traversal, Local File Inclusion, Information Disclosure, Open Redirect, Broken Authentication, Denial of Service, Content Injection.

Ruag paie une rançon au groupe Akira après une cyberattaque sur sa filiale américaine

Sat, 06 Jun 2026 00:00:00 +0000

🗓️ Contexte

Source : Blick.ch (ATS), publié le 6 juin 2026. L’article rapporte la confirmation publique par le président du conseil d’administration de Ruag, Jürg Rötheli, du paiement d’une rançon à la suite d’une cyberattaque survenue en automne 2025.

🎯 Victime et périmètre de l’attaque

Victime principale : Ruag LLC, filiale américaine de Ruag (entreprise d’armement appartenant à la Confédération suisse), basée en Virginie (USA)
La filiale emploie 8 personnes et sert de bureau de liaison avec des partenaires américains (pièces de rechange pour avions de combat, maintenance)
Les systèmes informatiques de la filiale sont autonomes, ce qui a limité l’impact sur le reste du groupe

🦠 Acteur de la menace et mode opératoire

Le groupe Akira, apparu en mars 2023, est responsable de l’attaque. Il pratique la double extorsion :

Sanctions OFAC contre Nobitex et trois exchanges iraniens liés à des ransomwares affiliés à l'IRGC

Sat, 06 Jun 2026 00:00:00 +0000

🏛️ Contexte

Source : BleepingComputer, publié le 3 juin 2026. L’OFAC (Office of Foreign Assets Control) du Trésor américain a annoncé des sanctions contre Nobitex, le plus grand exchange de cryptomonnaies iranien, ainsi que contre trois autres plateformes : Wallex, Bitpin et Ramzinex. Ces mesures s’inscrivent dans la campagne gouvernementale américaine dénommée « Economic Fury ».

🎯 Motifs des sanctions

Nobitex est accusé d’avoir :

Traité plus de 50 % de l’ensemble des flux entrants d’actifs numériques iraniens en 2025
Facilité des paiements liés aux activités terroristes de l’Iran
Permis des transactions associées à l’IRGC (Corps des Gardiens de la Révolution Islamique), incluant des acteurs ransomware affiliés
Aidé la Banque centrale d’Iran à accéder à des centaines de millions de dollars en stablecoins pour soutenir le rial iranien
Permis à des initiés du régime d’accéder à des exchanges internationaux et d’éluder les sanctions dans plusieurs juridictions

👤 Individus désignés

L’OFAC a également désigné des dirigeants de Nobitex :