02 avril 2026
Notre équipe d’analystes partage quelques articles chaque semaine dans notre newsletter électronique qui paraît tous les jeudis. Assurez-vous de vous inscrire! Ce blog met en évidence ces articles par ordre de ce qui a été le plus populaire dans notre newsletter – ce que nos lecteurs ont trouvé le plus intriguant. Restez à l’écoute pour un récapitulatif chaque mois. Nous espérons que le partage de ces ressources et articles d’actualité soulignera l’importance de la cybersécurité et mettra en lumière les dernières nouveautés en matière de renseignements sur les menaces.
1. Un faux site de sécurité Google utilise l’application PWA pour voler des informations d’identification et des codes MFA – Bleeping Computer
À l’aide d’une fausse page de sécurité d’un compte Google, une récente campagne de phishing a été découverte, fournissant une application Web conçue pour voler « des codes d’accès à usage unique, récolter des adresses de portefeuille de crypto-monnaie et transmettre le trafic des attaquants via les navigateurs des victimes ». La campagne utilise l’ingénierie sociale et les fonctionnalités de la Progressive Web App (PWA) pour convaincre les utilisateurs qu’ils interagissent avec une page Web Google légitime. Les acteurs malveillants utilisent le domaine (google-prism(.)com) et demandent aux utilisateurs de suivre un processus en quatre étapes qui accorde des autorisations et permet l’installation de logiciels malveillants. Une fois installé, le malware peut exfiltrer les contacts, les données GPS en temps réel et le contenu du presse-papiers. Lire l’article complet.
2. UAC-0050 cible une institution financière européenne avec un domaine usurpé et un logiciel malveillant RMS – The Hacker News
Les récentes attaques d’ingénierie sociale ciblant les institutions financières européennes ont été attribuées à l’acteur menaçant lié à la Russie, UAC-0050 (Groupe DaVinci). Selon les chercheurs, l’attaque a imité un domaine judiciaire ukrainien « pour transmettre un e-mail contenant un lien vers une charge utile d’accès à distance ». L’attaque commence par un e-mail de spear phishing conçu pour paraître urgent et légitime. Il utilise un langage à caractère juridique pour faire pression sur le destinataire afin qu’il agisse. L’e-mail comprend un lien qui demande à la cible de télécharger un fichier compressé hébergé sur PixelDrain, un service de partage de fichiers. Si la victime ouvre le faux « PDF », le fichier malveillant s’exécute et installe un package MSI pour Remote Manipulator System (RMS). Article ici.
3. Le logiciel espion Predator accroche iOS SpringBoard pour masquer l’activité du micro et de la caméra – Bleeping Computer
La société de surveillance Intellexa utilise une fonction de hook unique (« HiddenDot::setupHook() ») dans Springboard qui empêche les mises à jour de l’activité des capteurs dans les produits IOS. Cette activité avait été reconnue auparavant, mais la manière dont l’entreprise la menait n’était pas bien comprise. Des recherches récentes menées par Jamf ont analysé des échantillons de Predator et ont pu documenter le processus de dissimulation. Le malware n’exploite pas les vulnérabilités de l’IOS mais exploite plutôt « un accès au niveau du noyau obtenu précédemment pour détourner des indicateurs système qui autrement exposeraient son opération de surveillance ». Ces informations ont permis de combler les lacunes existantes dans la compréhension des techniques d’exploitation utilisées par les logiciels espions commerciaux. En savoir plus ici.
4. Silver Dragon, lié à APT41, cible les gouvernements en utilisant Cobalt Strike et Google Drive C2 – The Hacker News
Depuis 2024, un groupe de menace aligné sur la Chine (Silver Dragon) a été observé agissant sous l’égide d’APT41 et ciblant des organisations dans toute l’Europe et l’Asie du Sud-Est. Silver Dragon obtient son accès initial en exploitant des serveurs Internet publics et en envoyant des e-mails de phishing contenant des pièces jointes malveillantes. Pour maintenir la persistance, le groupe détourne les services Windows légitimes, ce qui permet aux processus malveillants de se fondre dans l’activité normale du système. Les opérations du groupe semblent cibler spécifiquement les organisations gouvernementales. Sur les systèmes compromis, ils déploient des balises Cobalt Strike pour maintenir la persistance, ainsi que GearDoor, une porte dérobée qui utilise Google Drive comme canal de commande et de contrôle (C2). Lisez ici.
5. Le géant de la technologie médicale Stryker hors ligne après une attaque de malware wiper liée à l’Iran – Bleeping Computer
Le groupe hacktiviste iranien et pro-palestinien Handala a affirmé avoir effacé des dizaines de milliers de systèmes et de serveurs appartenant à la société de technologie médicale Stryker. Dans un communiqué, Handala a déclaré que « plus de 200 000 systèmes, serveurs et appareils mobiles ont été effacés et 50 téraoctets de données critiques ont été extraits ». L’attaque aurait forcé la fermeture de bureaux dans 79 pays. Le groupe ne donne pas de détails sur la logistique mais a déclaré cibler l’entreprise en « représailles à l’attaque brutale contre l’école Minab » ainsi que les entreprises présumées avoir des liens « sionistes ». Apprendre encore plus.
6. SLH offre entre 500 et 1 000 $ par appel pour recruter des femmes pour les attaques de hameçonnage du service d’assistance informatique – The Hacker News
Le 22 février 2026, Scattered Lapsus$ Hunters (SLH) a publié sur sa chaîne Telegram en déclarant : « si vous êtes une femme et que vous souhaitez gagner de l’argent en nous appelant, contactez-nous ». Le groupe offre aux femmes entre 500 et 1 000 dollars par appel aux services d’assistance, avec un script écrit fourni. Ce recrutement semble être un effort du groupe pour contourner les profils d’attaquants « traditionnels » que le personnel du service d’assistance informatique est formé à reconnaître, rendant ainsi leurs tentatives d’usurpation d’identité plus convaincantes et efficaces. L’objectif principal de SLH est de cibler les services d’assistance et les centres d’appels comme points d’entrée dans les organisations, soulignant ainsi l’intention derrière leur nouvelle stratégie de recrutement. Lire l’article complet.
7. Le centre de recherche nucléaire polonais visé par une cyberattaque – Bleeping Computer
Le 12 mars, le Centre national polonais de recherche nucléaire (NCBJ) a affirmé que des pirates informatiques avaient ciblé son infrastructure informatique mais avaient été bloqués avant d’accéder aux informations. L’organisation a déclaré que ses systèmes de sécurité de détection précoce et ses procédures internes ont empêché une violation et permis au personnel informatique de sécuriser rapidement les systèmes ciblés. L’attaque n’a été formellement attribuée à aucun groupe. Alors que les autorités polonaises affirment que les premiers indicateurs suggèrent un lien possible avec l’Iran, elles préviennent que ces preuves pourraient représenter une tentative sous fausse bannière visant à tirer profit des tensions mondiales actuelles. Lire l’article complet.
8. SloppyLemming cible les gouvernements du Pakistan et du Bangladesh en utilisant deux chaînes de logiciels malveillants – The Hacker News
SloppyLemming, un cluster d’activités de menace, a été lié à deux chaînes d’attaques distinctes qui ont transmis des logiciels malveillants aux agences gouvernementales et aux opérateurs d’infrastructures critiques au Pakistan et au Bangladesh entre janvier 2025 et janvier 2026. La première attaque a livré des documents leurres PDF aux victimes qui, une fois ouvertes, ont installé leur application. Le fichier malveillant a utilisé une technique appelée chargement latéral de DLL pour s’exécuter. Il a ensuite déchiffré et lancé un implant shellcode personnalisé de 64 bits. La deuxième attaque a déployé des documents Excel contenant des macros malveillantes qui diffusent des « logiciels malveillants keylogger ». Apprendre encore plus.
