Bilan des renseignements sur les menaces : juin

Lucas Morel
01 juillet 2026

Notre équipe d’analystes partage quelques articles chaque semaine dans notre newsletter électronique qui paraît tous les jeudis. Assurez-vous de vous inscrire! Ce blog met en évidence ces articles par ordre de ce qui a été le plus populaire dans notre newsletter – ce que nos lecteurs ont trouvé le plus intriguant. Restez à l’écoute pour un récapitulatif chaque mois. Nous espérons que le partage de ces ressources et articles d’actualité soulignera l’importance de la cybersécurité et mettra en lumière les dernières nouveautés en matière de renseignements sur les menaces.

1. Le service de messagerie du gouvernement français piraté lors d’une attaque de piratage de compte – Bleeping Computer

La Direction française des affaires numériques (DINUM) a révélé une violation de Tchap, la plateforme de messagerie cryptée du gouvernement français, après que des attaquants y ont accédé via un compte utilisateur compromis. L’incident a été détecté dimanche par l’ANSSI et les autorités ont alerté la CNIL en raison d’une potentielle exposition de données personnelles. Un acteur malveillant a affirmé que la violation résultait d’une attaque d’ingénierie sociale, alléguant avoir obtenu des informations d’identification LDAP divulguées et exfiltré plus de 13,5 Go de documents et de fichiers multimédias partagés par des employés du gouvernement. Bien que DINUM n’ait pas confirmé ces affirmations, il a alerté tous les utilisateurs de Tchap et leur a rappelé que les forums de discussion publics ne sont pas cryptés. Lire l’article complet.

2. Le FBI met en garde contre une plate-forme de phishing en tant que service compromettant Microsoft 365 – ic3

Le FBI a émis un avertissement concernant Kali365, une plateforme de phishing en tant que service (PHaaS) utilisée pour compromettre les comptes Microsoft 365. La plateforme exploite les techniques de phishing par code d’appareil, en exploitant l’authentification par code d’appareil OAuth pour voler des jetons de session et contourner l’authentification multifacteur (MFA). Cette méthode d’authentification permet aux appareils dotés de capacités d’entrée limitées, tels que les téléviseurs intelligents, les systèmes de salle de conférence, les appareils de streaming, les imprimantes et les appareils IoT, de se connecter à l’aide d’un code court sur un autre appareil via le portail de connexion par code d’appareil de Microsoft. Depuis avril, la plateforme est distribuée via les canaux Telegram pour les cybercriminels recherchant un moyen plus simple de compromettre Microsoft 365.

Le Silent Ransom Group (SRG) cible activement les cabinets d’avocats par le biais de campagnes sophistiquées d’ingénierie sociale. Les auteurs de menaces usurpent généralement l’identité du personnel d’assistance informatique via des appels téléphoniques et des e-mails de phishing pour accéder aux systèmes des victimes. Une fois la confiance établie, ils utilisent des outils d’accès à distance légitimes pour infiltrer les réseaux et exfiltrer les données sensibles. Dans certains cas, la SRG serait allée plus loin en envoyant des individus dans les bureaux d’une organisation victime pour obtenir un accès physique aux ordinateurs. Cette activité fait suite à un avis FLASH du FBI publié la semaine dernière, avertissant que SRG ciblait les cabinets d’avocats américains par le biais de programmes d’ingénierie sociale et d’opérations de vol de données en personne. Mandiant a publié des détails techniques supplémentaires décrivant les méthodes d’intrusion du groupe. Selon Mandiant, SRG a ciblé des dizaines d’organisations dans les secteurs des services juridiques, financiers et professionnels entre janvier et mai 2026. Pour en savoir plus, cliquez ici.

Le 27 mai, la police nationale espagnole a arrêté l’individu à l’origine de fuites de données qui ont publié des informations provenant du bureau du procureur général de l’État, de l’Institut national de cybersécurité (INCIBE), de la police nationale, de la Garde civile et du Conseil national de sécurité. En février, l’INCIBE a annoncé une opération de doxing en cours ciblant la collecte et la publication de données impactant des entités clés et leurs employés. Les sources potentielles de ces informations incluent les violations de données historiques, les vidages d’informations d’identification et les outils OSINT. Les données peuvent avoir été agrégées et corrélées à partir de plusieurs sources pour créer des ensembles de données organisés. Certains documents divulgués contiendraient des informations obsolètes, notamment les noms de personnes qui avaient quitté l’INCIBE plusieurs années plus tôt. Lisez ici.

5. Les pirates piratent des milliers de sites pour les attaques ClickFix et FakeUpdate – Bleeping Computer

L’activité observée indique que l’acteur malveillant DriveSurge exploite des sites Web compromis pour faciliter une campagne de distribution à grande échelle utilisant les techniques ClickFix et FakeUpdates. Les chercheurs de Silent Push rapportent que la campagne DriveSurge a compromis des milliers de sites Web, redirigeant les visiteurs vers une infrastructure de diffusion de logiciels malveillants. L’opération s’appuie sur des tactiques d’ingénierie sociale telles que ClickFix, qui incite les utilisateurs à exécuter des commandes malveillantes sous couvert de résoudre des problèmes, et FakeUpdates, qui utilise de fausses invites de mise à jour du navigateur pour installer des logiciels malveillants. Silent Push indique que DriveSurge agit principalement comme un courtier d’accès initial (IAB) utilisant un modèle de paiement par installation (PPI), vendant l’accès aux systèmes infectés pour des cyberattaques ultérieures. Apprendre encore plus.

6. Le FBI met en garde contre les attaques de vol de données en personne par un gang d’extorsion – Bleeping Computer

Dans une récente alerte flash du FBI, l’agence a averti que le Silent Ransom Group (SRG) ciblait les cabinets d’avocats basés aux États-Unis par le biais d’opérations de vol de données en personne. Des rapports affirment que les acteurs du SRG emploient des tactiques d’ingénierie sociale en se faisant passer pour des membres du service informatique d’une organisation victime. Ces acteurs passent des appels téléphoniques directs ou envoient des e-mails de phishing demandant aux employés de contacter un représentant du support informatique frauduleux. Au cours de l’interaction, l’acteur de la SSR persuade l’employé d’accorder l’accès via une session de bureau à distance. Si les tentatives d’accès à distance échouent, SRG peut envoyer une personne sur le lieu physique de la victime pour obtenir un accès direct et insérer un périphérique de stockage dans l’ordinateur de la victime. Lire l’article complet.

7. Le botnet JDY, lié à la Chine, étend le ciblage des réseaux militaires américains – Bleeping Computer

Le botnet JDY, auparavant lié à des acteurs chinois tels que Volt Typhoon, a considérablement étendu ses activités de ciblage et de reconnaissance. Les chercheurs de Black Lotus Labs rapportent que JDY reste fortement concentré sur les États-Unis, en particulier sur les réseaux militaires et connexes. Le botnet est passé d’environ 650 robots actifs en janvier 2024 à plus de 1 500 appareils SOHO et IoT compromis aujourd’hui. L’analyse de l’activité indique que les acteurs APT liés à la Chine mettent rapidement en œuvre des efforts de reconnaissance suite à des divulgations publiques de vulnérabilités, en se concentrant sur l’identification et le ciblage des infrastructures vulnérables. Cette activité a été observée dans de multiples secteurs, les réseaux militaires américains et les organisations affiliées représentant un principal domaine d’intérêt. Lire l’article complet.

8. SideCopy, lié au Pakistan, cible le ministère des Finances afghan avec Xeno RAT – The Hacker News

Le groupe de menace SideCopy, aligné sur le Pakistan, serait à l’origine d’une campagne de spear phishing, appelée Opération XENOFISCAL, ciblant le ministère afghan des Finances et d’autres entités gouvernementales. L’attaque utilise un fichier de raccourci Windows (LNK) malveillant qui lance « mshta.exe » pour récupérer un fichier HTA distant à partir d’un site Web éducatif afghan compromis. Ce fichier exécute du JavaScript obscurci en mémoire, établit la persistance en usurpant l’identité de Microsoft Edge via des modifications du registre et déploie Xeno RAT 1.8.7 à l’aide d’un chargeur basé sur DLL. Un document leurre est également affiché pour distraire les victimes. Les cibles supplémentaires incluent les directions provinciales des revenus et des finances, les fonctionnaires de langue pachtoune et d’autres employés du gouvernement provincial. Apprendre encore plus.


Assurez-vous de vous inscrire à notre newsletter hebdomadaire pour avoir accès à ce que nos analystes lisent chaque semaine.