fr.wedoany.com Rapport : La semaine dernière, plusieurs attaques de grande envergure ont eu lieu dans le domaine de la cybersécurité. Des problèmes tels que l'empoisonnement de logiciels, l'exploitation d'assistants IA et les vers de dépôts de code se sont concentrés, mais la cause fondamentale reste l'efficacité persistante des méthodes d'attaque classiques. Un chatbot a été facilement trompé, un logiciel malveillant a divulgué des jetons de robot, et les attaquants se sont cachés dans les boîtes de réception pendant des mois pour voler des informations.

Le ver Miasma a attaqué 73 dépôts appartenant à l'organisation GitHub de Microsoft, impliquant des organisations telles qu'Azure, Azure-Samples, Microsoft et MicrosoftDocs. Cet incident a poussé GitHub à désactiver l'accès aux dépôts concernés. Miasma est évalué comme une variante du ver Mini Shai-Hulud publié par TeamPCP à la mi-mai 2026, relevant d'une attaque de chaîne d'approvisionnement auto-réplicative.

Google a publié les correctifs de juin 2026, corrigeant 124 vulnérabilités de sécurité affectant le système d'exploitation Android, dont une vulnérabilité critique de composant de framework activement exploitée, CVE-2025-48595 (score CVSS 8.4). Cette vulnérabilité permet une élévation de privilèges sans interaction de l'utilisateur, affectant les versions Android 14, 15, 16 et 16 QPR2. Google a reconnu que cette vulnérabilité pourrait faire l'objet d'une exploitation ciblée limitée.

Le Département de la Justice des États-Unis a annoncé les résultats de l'opération « Semaine de démantèlement », visant à lutter contre la fraude cybernétique et les cryptomonnaies ciblant les Américains. L'opération a éliminé des millions de comptes de médias sociaux, de courriels et d'accès Internet utilisés par les groupes criminels transnationaux d'Asie du Sud-Est pour escroquer, et les entreprises privées ont volontairement gelé plus de 3,8 millions de dollars de cryptomonnaies liées au blanchiment d'argent. Cette opération fait partie de l'initiative « Force de frappe contre les centres d'escroquerie » des États-Unis, visant à démanteler les réseaux d'escroquerie, de traite des êtres humains et de blanchiment d'argent exploités par les organisations criminelles transnationales d'Asie du Sud-Est.

Un nouveau groupe de cybercriminalité chinois, TA4922, a étendu ses activités de l'Asie de l'Est à l'Europe et à l'Afrique, et a mis à jour les logiciels malveillants utilisés pour pénétrer les réseaux. Ce groupe, motivé économiquement, obtient un accès à distance pour le vol de données, la fraude et la revente d'accès. Ses tactiques chevauchent partiellement celles de Silver Fox et Void Arachne, utilisant la distribution de logiciels malveillants, le hameçonnage d'identifiants et le vol de cartes de crédit dans différentes campagnes. Les appâts imitent les autorités fiscales, les services financiers et les équipes RH du Japon, de Taïwan, de la Corée du Sud, de Singapour, de l'Inde, du Royaume-Uni, de l'Allemagne, de l'Italie et de l'Afrique du Sud, distribuant Atlas RAT, RomulusLoader et SilentRunLoader via la technique de chargement latéral de DLL.

Un cluster de menace non signalé auparavant, OP-512, a été observé ciblant les serveurs IIS de Microsoft pour déployer un framework de Web Shell personnalisé. Cette opération axée sur l'espionnage est évaluée comme provenant de Chine. ReliaQuest indique qu'OP-512 pourrait mener des activités d'espionnage via des serveurs Web IIS compromis, ses secteurs cibles et sa localisation géographique correspondant aux priorités de renseignement chinoises. Le framework de Web Shell prend en charge la gestion de fichiers et l'exécution de commandes authentifiées.

Un acteur de menace inconnu a réussi à surveiller la boîte aux lettres Outlook d'un cadre supérieur d'une bourse mondiale non divulguée pendant au moins cinq mois. L'attaquant a déployé un voleur de boîte aux lettres pour collecter des données de courrier électronique toutes les 2 à 4 semaines, et a exfiltré les informations par petits lots via Dropbox et Microsoft OneDrive Personal pour éviter d'attirer l'attention. Les premiers signes d'activité malveillante ont été observés le 10 octobre 2025, et l'exfiltration de données s'est poursuivie jusqu'en mars 2026.

Les vulnérabilités clés de cette semaine concernent plusieurs produits et plateformes, notamment SolarWinds Serv-U, FFmpeg, Cisco Catalyst SD-WAN Manager, Cisco Unified Communications Manager, le plugin Everest Forms Pro, Google Android, PCTCore64.sys, le réseau IMS de Verizon, Appsmith, Collibra Agent, HP Poly Voice, le plugin Themeum Kirki, Redis, le routeur Acer Wave 7, Securly, Google Chrome, Broadcom VMware Cloud Foundation Operations, UniFi OS Server, Hugging Face, Microsoft Edge, Apache ActiveMQ, Ivanti ISTM, laravel/framework, les caméras CCTV KMW, les routeurs TP-Link Archer BE450 et BE7200, StrongDM, IBM WebSphere et MCP Toolbox.

L'alliance Five Eyes a publié un rapport consultatif, affirmant que les services de renseignement militaire chinois utilisent des sites de réseautage professionnel comme LinkedIn, Indeed et Upwork pour recruter des personnes ayant accès à des informations gouvernementales, militaires, de politique étrangère ou économiques sensibles. Le rapport indique que l'objectif est d'obtenir des renseignements militaires, politiques et économiques privilégiés. Les personnes ciblées se voient offrir une rémunération en échange d'informations, qui peut être versée via des plateformes telles que PayPal, Zelle, Wise, Western Union et les cryptomonnaies.

Meta a révélé qu'une récente attaque exploitant des outils de support IA pourrait avoir affecté 20 225 comptes Instagram. L'attaquant a demandé au chatbot de Meta de lier sa propre adresse e-mail au compte cible pour réinitialiser le mot de passe et prendre le contrôle du compte, de nombreux comptes de haut profil étant ensuite vendus sur le dark web. Cette exploitation a été découverte le 31 mai 2026. Une vulnérabilité exposant les adresses e-mail et numéros de téléphone non modifiés des utilisateurs a également été divulguée dans le processus de réinitialisation de mot de passe basé sur le Web d'Instagram.

Sophos a découvert qu'un binaire de mineur de cryptomonnaie XMRig était intégré dans une version authentifiée du programme d'installation du navigateur Hola pour Windows. Hola a attribué l'anomalie à une compromission de la chaîne d'approvisionnement affectant son pipeline de distribution de mises à jour. Des packages npm malveillants ciblent les entreprises d'IA, les marques de luxe et les sociétés de capital-risque pour déployer des logiciels malveillants, libérant des variantes de logiciels malveillants se faisant passer pour des outils de codage IA. Deux packages npm malveillants, turbo-axios et faster-axios, ciblent les développeurs du client HTTP populaire axios, propageant le voleur d'informations Epsilon Stealer via des hooks post-installation. Le package npm malveillant cms-store-ren collecte des données à partir des machines des développeurs et les envoie à un canal Telegram, tout en divulguant son propre jeton API de robot.

Les autorités françaises et espagnoles, avec le soutien d'Europol, ont démantelé une installation de production de faux documents à Alicante, en Espagne, saisissant environ 800 faux documents européens et équipements connexes. Cette installation vendait de faux documents d'identité à des réseaux de trafic de migrants opérant en Europe. Un ancien cadre supérieur de la cybersécurité d'IBM a accusé l'entreprise d'avoir dissimulé des intrusions après avoir été piraté à trois reprises par des hackers de gouvernements étrangers au cours des dix dernières années. Une nouvelle variante du botnet Gafgyt, C0XMO, cible le firmware du routeur DD-WRT en exploitant une vulnérabilité de débordement de tampon de pile, son activité ayant été découverte en mars 2026. Le package PyPI malveillant Parsimonius déploie une porte dérobée basée sur Telegram, avec un total de 2 474 téléchargements avant d'être supprimé.

L'analyse de la version Windows du ransomware VECT a révélé des vulnérabilités supplémentaires pouvant entraîner le renommage, le chiffrement partiel ou l'endommagement des fichiers d'une manière irréversible par le déchiffreur de l'attaquant. Recorded Future a révélé que le ministère du Renseignement iranien pourrait étendre l'utilisation du personnage Handala, y compris pour des actions physiques et d'influence externes ciblant les intérêts américains et israéliens. Un nouveau cheval de Troie bancaire Android, OverlayPhantom, cible plus de 180 applications dans 10 pays via des URL malveillantes, volant des identifiants via de fausses superpositions et un partage d'écran en temps réel. Un acteur de menace cible les développeurs d'extensions Chrome avec des courriels de notification de violation de droits d'auteur frauduleux pour voler les noms d'utilisateur et mots de passe Google.

Trail of Bits a indiqué pouvoir contourner ClawHub, le scanner de compétences malveillantes de Cisco, en poussant des compétences malveillantes vers le marché public de compétences et en volant des données à partir des systèmes des développeurs. Des courriels de hameçonnage sur le thème des ordres de paiement sont utilisés pour propager Remcos RAT. Une nouvelle marque de cybercriminalité, Pink, utilise le vishing pour un accès initial, avec pour objectifs principaux le vol de données et l'extorsion. CAI est un framework open source pour la construction d'agents IA, prenant en charge plus de 300 modèles IA et incluant des outils intégrés pour des tâches telles que la reconnaissance, l'exploitation, l'élévation de privilèges et l'évaluation de sécurité. PMG est un outil open source gratuit qui bloque les packages open source malveillants avant leur installation, en utilisant le renseignement sur les menaces de SafeDep pour vérifier les packages.

Texte compilé par Wedoany. Toute citation par IA doit mentionner la source « Wedoany ». En cas de contrefaçon ou d'autre problème, veuillez nous en informer rapidement ; nous modifierons ou supprimerons le contenu le cas échéant. Courriel : news@wedoany.com