04 mai 2026
Notre équipe d’analystes partage quelques articles chaque semaine dans notre newsletter électronique qui paraît tous les jeudis. Assurez-vous de vous inscrire! Ce blog met en évidence ces articles par ordre de ce qui a été le plus populaire dans notre newsletter – ce que nos lecteurs ont trouvé le plus intriguant. Restez à l’écoute pour un récapitulatif chaque mois. Nous espérons que le partage de ces ressources et articles d’actualité soulignera l’importance de la cybersécurité et mettra en lumière les dernières nouveautés en matière de renseignements sur les menaces.
1. Des pirates informatiques liés à l’Iran perturbent l’infrastructure critique américaine en ciblant les automates exposés à Internet – The Hacker News
La Cybersecurity and Infrastructure Security Agency (CISA) a annoncé que les acteurs des menaces persistantes avancées (APT) mènent « des activités d’exploitation ciblant les appareils de technologie opérationnelle (OT) connectés à Internet, y compris les contrôleurs logiques programmables (PLC) fabriqués par Rockwell Automation/Allen-Bradley ». Plus précisément, cette activité a provoqué des perturbations des automates dans plusieurs secteurs d’infrastructures critiques aux États-Unis en raison d’interactions malveillantes avec des fichiers de projet et de la manipulation des données d’affichage HMI et SCADA. Ces attaques ont ciblé les automates Rockwell Automation et Allen-Bradley utilisés dans les installations gouvernementales, les systèmes d’eau et d’égouts et le secteur de l’énergie. Après l’accès initial, les acteurs malveillants lancent C2 à l’aide du logiciel Dropbear, Secure Shell (SSH), sur les points finaux des victimes pour permettre l’accès à distance. Lire l’article complet.
2. Le FBI confirme le piratage de la boîte de réception personnelle du directeur Patel – Bleeping Computer
Le 27 mars, le groupe de hackers iranien Handala a affirmé avoir piraté le compte de messagerie personnel du directeur du FBI, Kash Patel. « Tous les e-mails personnels et confidentiels de Kash Patel, y compris les e-mails, les conversations, les documents et même les fichiers classifiés, sont désormais disponibles en téléchargement public », a déclaré le groupe. Des photos et des documents personnels filigranés ont ensuite été publiés, y compris de la correspondance électronique datant de l’époque où le directeur Patel avait pris ses fonctions. L’attaque a été menée en représailles à la saisie par le FBI des domaines liés à Handala après sa précédente cyberattaque contre la société de technologie médicale Stryker. Article ici.
3. L’APT37 nord-coréen utilise l’ingénierie sociale de Facebook pour diffuser le logiciel malveillant RokRAT – The Hacker News
Le groupe de hackers nord-coréen APT37 a mené une campagne d’ingénierie sociale sur Facebook, utilisant des messages directs pour établir la confiance avec les cibles avant de finalement diffuser le malware RokRAT. En utilisant deux comptes distincts, l’auteur de la menace a utilisé une tactique de prétexte, prétendant partager des fichiers PDF cryptés contenant des détails techniques sur les armes militaires via Facebook Messenger ou Telegram. Ils ont ensuite convaincu les destinataires d’installer une visionneuse PDF spécialisée afin d’accéder aux documents. Le malware utilise Zoho WorkDrive comme serveur de contrôle. Cela lui permet de prendre des captures d’écran, d’exécuter des commandes à distance, de recueillir des informations sur l’ordinateur infecté et d’explorer le système. Il peut également éviter d’être détecté par des outils de sécurité tels que 360 Total Security de Qihoo tout en cachant son activité malveillante dans un trafic d’apparence normale. En savoir plus ici.
4. Données analytiques volées de Rockstar Games divulguées par un gang d’extorsion – Bleeping Computer
Rockstar Games est la dernière société qui aurait été ciblée par le groupe de piratage ShinyHunters, qui a revendiqué la responsabilité d’une récente violation de données. L’information a été obtenue suite à un incident de sécurité avec Anodot, une société de détection d’anomalies de données. ShinyHunters a découvert les informations des « environnements Snowflake utilisant des jetons d’authentification volés lors d’un récent incident de sécurité Anodot ». Le groupe a publié plus de 70 millions d’enregistrements à partir des données de Rockstar Games, qui comprenaient « des mesures de revenus et d’achats dans le jeu, le suivi du comportement des joueurs et des données sur l’économie du jeu pour Grand Theft Auto Online et Red Dead Online ». Lisez ici.
5. Une campagne de pulvérisation de mots de passe liée à l’Iran cible plus de 300 organisations Microsoft 365 israéliennes – The Hacker News
Les chercheurs de Check Point suivent une campagne en cours de pulvérisation de mots de passe qui cible les environnements Microsoft 365 principalement en Israël et aux Émirats arabes unis. L’activité s’est déroulée en trois vagues d’attaques qui ont eu lieu tout au long du mois de mars 2026. La campagne s’est déroulée en trois étapes distinctes. Cela commence par des attaques agressives d’analyse ou de pulvérisation de mots de passe lancées à partir des nœuds de sortie Tor pour identifier les comptes vulnérables. Une fois l’accès obtenu, les attaquants poursuivent le processus de connexion, établissant ainsi un pied dans le système. Dans la phase finale, ils exfiltrent les données sensibles, y compris souvent le contenu entier de la boîte aux lettres, complétant ainsi la brèche. Apprendre encore plus.
6. L’application Fake Ledger Live sur l’App Store d’Apple a volé 9,5 millions de dollars en crypto – Bleeping Computer
Une fausse application Ledger Live, disponible via l’App Store d’Apple, a volé 9,5 millions de dollars en crypto-monnaie à 50 victimes. Les victimes ont été amenées à saisir leurs phrases de départ/récupération dans l’application, donnant aux attaquants un accès complet à leurs portefeuilles et leur permettant de dépenser des actifs numériques. Les enquêteurs affirment que « les attaquants ont utilisé plusieurs adresses de portefeuille pour recevoir des fonds sur plusieurs chaînes, notamment Bitcoin, Ethereum, Tron, Solana et Ripple ». Les comptes volés ont été blanchis via 150 adresses de dépôt sur KuCoin. La société a annoncé que les comptes étaient gelés jusqu’au 20 avril. Lire l’article complet.
7. Le logiciel malveillant Lotus Wiper cible les systèmes énergétiques vénézuéliens dans une attaque destructrice – The Hacker News
Lotus, un logiciel malveillant d’effacement de données, a été téléchargé sur une plate-forme accessible au public en décembre 2025 et a ensuite été utilisé dans des attaques ciblées contre des organisations du secteur de l’énergie et des services publics au Venezuela. Deux scripts batch lancent la phase destructrice de l’attaque et préparent l’environnement pour l’exécution de la charge utile finale du wiper. Lors de son exécution, le nettoyeur neutralise les mécanismes de récupération, écrase le contenu du disque physique et supprime de manière récursive les fichiers sur les volumes concernés, laissant les systèmes non fonctionnels. Aucune extorsion ou instruction de paiement intégrée n’est présente, ce qui indique un motif non financier. Lire l’article complet.
8. Des chercheurs détectent le logiciel malveillant ZionSiphon ciblant les systèmes OT de dessalement et de l’eau israéliens – The Hacker News
Le malware, ZionSiphon, a été conçu pour cibler les systèmes israéliens de traitement de l’eau et de dessalement. Le virus a été découvert pour la première fois à la suite de la guerre des Douze jours entre Israël et l’Iran en juin 2025. Une fois exécuté, ZionSiphon analyse le sous-réseau local à la recherche d’appareils, tente de communiquer via Modbus, DNP3 et S7comm et modifie les paramètres de configuration tels que le dosage et la pression du chlore. La voie d’attaque Modbus est la plus développée, tandis que les composants DNP3 et S7comm restent incomplets, ce qui suggère un développement en cours. Il peut également se propager via des supports amovibles et s’auto-supprimera sur les systèmes qui ne répondent pas à ses critères de ciblage. De nombreuses failles de mise en œuvre suggèrent que le logiciel malveillant a été déployé prématurément ou est encore en phase de développement. Apprendre encore plus.
