Advisories techniques produits par notre équipe européenne Cyber Threat Intelligence : vulnérabilités nouvellement divulguées, campagnes d'attaque observées contre les organisations européennes, brèches avec impact supply-chain. Chaque Report contient un executive summary, indicators of compromise (IoC) et runbooks opérationnels pour IT & Sécurité — pas d'agrégations de sources publiques, intelligence construite sur observation directe.
Compromission impliquant des extensions VS Code malveillantes. GitHub n'a pas encore publié d'IoC ni identifié publiquement les extensions touchées. Recommandé : inventaire complet des extensions VS Code sur les postes de l'entreprise et adoption du contrôle enterprise natif extensions.allowed (VS Code 1.96+), pour n'autoriser que les éditeurs et extensions approuvés. Télémétrie Fortgale en cours d'analyse.
Attaque baptisée Mini Shai-Hulud visant l'écosystème de paquets npm @antv et les bibliothèques associées (ex. echarts-for-react). Le compte d'un mainteneur a été compromis et des versions malveillantes publiées avec un payload de vol d'identifiants : tokens GitHub, identifiants AWS, clés SSH, fichiers kubeconfig et tokens SaaS, exfiltrés vers t.m-kosche[.]com. 639 versions sur 323 paquets concernés. IoC ajoutés au Fortgale Intelligence Feed.
Campagne de SEO Poisoning exploitant des sites web créés avec l'IA qui font la promotion de prétendus outils utilitaires basés sur l'IA. Les exécutables téléchargés compromettent l'appareil avec un malware. Exemple de domaine malveillant : kitchen-canvas[.]com. Recommandé : prudence sur les téléchargements depuis des sources non vérifiées et blocage des domaines signalés.
Zero-day (CVE-2026-0300) activement exploité dans le service User-ID Authentication Portal (Captive Portal) de PAN-OS. Permet à un attaquant non authentifié d'exécuter du code (RCE) avec les privilèges root en envoyant des paquets réseau spécialement conçus. Seuls les pare-feu PA-Series et VM-Series avec le Captive Portal configuré et exposé à Internet/réseaux non fiables sont concernés ; Prisma Access, Cloud NGFW et Panorama ne sont pas impactés. Appliquer immédiatement les versions corrigées et restreindre les ACL sur les interfaces de management. IoC dans les feeds Fortgale.
Campagne active contre les organisations européennes exploitant authentification forcée via les protocoles legacy. Emails relay the Net-NTLMv2 hash to infrastructure threat actor sans interaction utilisateur requise — le simple aperçu automatique du client e-mail suffit.
PackageKit (versions 1.0.2-1.3.4) contient une vulnérabilité qui permet à un utilisateur local non privilégié d'installer ou retirer des paquets sans autorisation, obtenant un accès root complet. Mise à jour vers 1.3.5 ou application des patches de la distro.
Outil open-source de scan de vulnérabilités pour cloud, conteneurs et CI/CD compromis via GitHub Actions. Recommandations sur SHA pinning, rotation des identifiants, monitoring des connexions sortantes. IoC inclus.
Tentatives d'accès en échec identified against Fortinet management interfaces directement exposées sur Internet. Aucun accès non autorisé détecté, but la surface d'attaque est élevée. Isolation recommandée via VPN/réseau privé.
Threat actors chinois ont exploité Notepad++ infrastructure pour des attaques ciblées entre mai et déc. 2025. Mise à jour vers 8.9.1+, surveiller %AppData%\Bluetooth, revoir les logs de &. Télémétrie Fortgale : aucun client compromis.
CVSS 7.8, déjà en exploitation active. Validation insuffisante des entrées dans les décisions de sécurité permettant à un attaquant non authentifié de contourner des fonctionnalités locales. Office 2016/2019/LTSC 2021/2024 et 365 Apps for Enterprise.
Package malveillant via typosquatting (~85 M de téléchargements/mois pour le légitime). 4 versions publiées en janv. 2026 contenant du code dans des routines polynomiales déposant un payload XMRig en mémoire via memfd_create. Plus de 1 000 téléchargements en 1 jour.
Tables publiées qui abaissent drastiquement le seuil pour attaquer le protocole. Récupération des identifiants depuis le hash avec du matériel grand public (~600 USD). Désactiver partout, définir 'NTLMv2 uniquement' via Group Policy, surveiller Event ID 4624.
Le flux Resource Owner Password Credential permet d'échanger directement username+password contre un access token, contournant MFA et Conditional Access. Dangereux pour les API Microsoft Graph/EWS/SharePoint. Désactiver via politique CA.
Techniques de coercition d'authentification exploitées dans des environnements d'entreprise où les protocoles legacy restent actifs. Recommandations de durcissement Active Directory et télémétrie d'authentification.
Guide opérationnel Cyber Security et IT pour désactiver Net-NTLMv1 dans Active Directory. Seuil technique abaissé suite à la publication des rainbow tables Mandiant. Mesures d'application + surveillance Event ID 4624.
Plusieurs campagnes exploitent des extensions Chrome/Edge/Firefox/Opera pour accéder aux systèmes et données des victimes. Auditer les extensions installées, listes blanches centralisées via GPO/MDM, séparer navigateurs professionnels et personnels.
Campagnes de reconnaissance actives contre les tenants M365 européens via techniques de password spraying. Durcissement des tenants, blocage de l'authentification legacy, surveillance des contournements de Conditional Access.
CVE-2025-55182, CVSS 10.0, nommé 'React2Shell'. Permet l'exécution de code distant arbitraire sur le serveur. Affecte les applications React avec RSC/Next.js Server Functions (directive 'use server'). Patching immédiat requis.
Des threat actors exploitent les données partagées par inadvertance sur jsonformatter.org, codebeautify.org, etc. — identifiants, clés AWS, code source. Compromissions observées dans les heures suivant la publication. Recommandation : blocage proxy d'entreprise.
F5 Networks a annoncé (15 oct. 2025) un accès non autorisé par un acteur étatique avec exfiltration de portions du code source BIG-IP, documentation sur des vulnérabilités en cours de remédiation, et données de configuration client.
CVE-2025-55241 permettait d'accéder à n'importe quel tenant M365 entreprise en usurpant l'identité de tout utilisateur, y compris Global Admin. Migrer d'Azure AD Graph (déprécié) vers Microsoft Graph, réviser les service principals/OAuth, déployer PIM/JIT.
Campagnes actives contre les tenants Salesforce ciblant des données stratégiques. Mesures : formation anti-vishing/ingénierie sociale, MFA résistant au phishing, principe de moindre privilège, surveillance des API et applications tierces connectées.
18 packages NPM populaires compromis (chalk, debug, ansi-styles, color-convert, supports-color, etc.). Vérifier les dépendances internes, les logs de build/déploiement, bloquer les releases suspectes. Mise à jour vers les versions sûres.
Tentative de fraude contre une agence bancaire européenne un week-end d'août 2025 : composante physique (portes scellées pour retarder l'entrée du personnel) + installation KVM-over-IP pour contrôle à distance d'un poste de travail d'agence. Tous les virements frauduleux bloqués.
Campagne malveillante distribuant un backdoor via de faux sites de téléchargement d'éditeurs PDF. Domaines C2 (5b7crp[.]com, 9mdp5f[.]com) ajoutés au Fortgale Intelligence Feed. Vérifications en cours sur les systèmes surveillés.
Campagnes ClickFix actives trompant les utilisateurs pour qu'ils exécutent des commandes PowerShell malveillantes déguisées en vérification anti-bot. IoC : 45.221.64[.]224, pub-dce4815fde8f4b84a55fe31ab7cf28c3[.]r2[.]dev. Déjà dans le Fortgale Intelligence Feed.
Après le démantèlement partiel du groupe, d'autres threat actors adoptent des TTPs similaires. Durcissement : séparer l'admin hyperviseur (vCenter/ESXi) d'AD, MFA multicanal pour la réinitialisation de mot de passe, surveiller AnyDesk/Teleport, centraliser les logs vSphere vers le SIEM.
Emails simulant des communications Microsoft sur le thème 'd'amendement salarial' ou de 'paiements en attente' ciblant les cadres dirigeants. Redirection vers de fausses pages de connexion Microsoft construites avec le kit RaccoonO365 — vole identifiants et cookies de session, contourne le MFA.
Spear phishing ciblant les directeurs financiers et cadres finance dans des entreprises européennes (banque/assurance/énergie). Les threat actors utilisent de l'ingénierie sociale avancée, usurpant l'identité de cabinets de conseil prestigieux avec des offres d'emploi exclusives.
Campagne distribuant Lumma Stealer via des domaines frauduleux qui imitent des pages de téléchargement de logiciels légitimes. Variations dans les noms (ex. préfixes 'v2-'). Liste de blocage des domaines SEO Poisoning + C2 dans le Report Fortgale.
Activité de scan massif accrue contre PAN-OS GlobalProtect. Restreindre l'accès via VPN externe/liste blanche IP, envisager ZTNA pour ne pas exposer les portails critiques sur Internet, audit périodique de la surface exposée.
Campagne sophistiquée attribuée au groupe chinois 'Weaver Ant' utilisant le web shell China Chopper. Restreindre les privilèges des comptes de service, ACL trafic web→interne, déployer EDR/XDR pour la détection de web shell, durcir les règles WAF pour les requêtes HTTP anormales.
Vulnérabilité dans Apache Tomcat activement exploitée en mars 2025. Patching immédiat requis sur toutes les installations Tomcat exposées sur Internet, surveiller les requêtes anormales via WAF.
RaaS actif depuis 2021, plus de 300 organisations touchées (santé, éducation, juridique, industrie). Double extorsion, phishing + exploitation de vulnérabilités, mouvement latéral avec des outils légitimes. Cas européens observés : maritime, industrie, conseil.
Campagne de password spraying de type brute-force contre les tenants Office 365 européens. Durcissement du Conditional Access, blocage de l'authentification legacy, surveillance des patterns de verrouillage de comptes.
Attaques sophistiquées de groupes russes (Storm-2372, CozyLarch/APT29) contre des gouvernements, ONG et entreprises. La technique 'Device Code Authentication phishing' trompe les victimes en abusant de flux d'authentification légitimes — difficile à détecter.
Le paysage géopolitique et les tensions croisées ont significativement façonné le cyberespace. Les threat actors exploitent les opérations cyber à des fins stratégiques grâce à la neutralité territoriale, l'ambiguïté d'attribution et les capacités de dissimulation.
Données de plus de 15 000 appareils FortiGate (configurations, IP, identifiants VPN, clés privées, règles firewall) d'octobre 2022 publiées sur le dark web — exploitant CVE-2022-40684. De nombreuses infrastructures européennes affectées. Attribution : groupe 'Belsen'.
Phishing contre des développeurs du Chrome Web Store ayant compromis au moins 35 extensions (~2,6 M d'utilisateurs). Chaîne OAuth malveillante via fausse 'Privacy Policy Extension', contournement MFA. Code malveillant (worker.js, content.js) pour le vol de comptes Facebook Business.
Plateforme PhaaS sophistiquée conçue pour contourner le 2FA. Templates Outlook personnalisables, automatisation, infrastructure modulaire avec redirection/obfuscation. Sous-domaines dynamiques, AES + Base64 pour dissimuler le payload. Fortgale a publié une signature threat hunting.
Variante LummApp abusant d'OBS Studio pour des activités d'infostealing. Techniques de masquage pour échapper à la détection. IoC dans les flux Fortgale.
Campagne massive de malvertising via de fausses pages CAPTCHA : 1 M d'impressions publicitaires/jour depuis plus de 3 000 sites éditeurs. Abus de Monetag (PropellerAds) et BeMob pour le cloaking. Incite les utilisateurs à exécuter PowerShell sous prétexte de vérification anti-bot.
Cyberespionnage chinois contre des entreprises européennes (juin-juillet 2024) exploitant une injection SQL pour l'accès initial, le webshell PHPsert pour la persistance, abus de Visual Studio Code Remote Tunnel + binaires signés Microsoft + Azure comme C2.
Faille logique Windows : les applications natives s'exécutent avant la pleine initialisation du système, permettant la suppression de tout EDR/Antivirus et le contournement de l'anti-tampering (T1562.001). Fortgale a publié des règles Threat Hunting spécifiques.
Backdoor WARMCOOKIE en expansion, IoC surveillés via Shodan (hash d'en-tête spécifique, hash html). Suivi Fortgale actif, indicateurs ajoutés aux flux.
Campagne de compromission FortiGate signalée par des CERT nationaux européens. Le malware COATHANGER établit la persistance via un reverse shell BusyBox, survivant au redémarrage et aux mises à jour firmware. Exploite CVE-2022-42475. Attribution : acteurs chinois.
Résurgence d'AgentTesla avec loader fonctionnel, chiffrement AES avancé et exécution en mémoire uniquement. Pattern d'objet email : 'Vietnam Da Nang Buy Order &C248SH12'. IoC dans le Fortgale Intelligence Feed.
Lumma Stealer étend son infrastructure avec de nouveaux domaines (TLD .shop) pour l'exfiltration. Pattern de domaine : préfixe 'lum' + chaîne aléatoire. Tous partagent le même titre russe (poème d'Essenine). Fortgale suit des dizaines de ces domaines.
Le 28 nov. 2024, le groupe ransomware 'Argonauts' a annoncé la compromission de ZACROS (anciennement Fujimori Kogyo, JP). Plus de 140 Go de données sensibles exfiltrées (utilisateurs, mots de passe, registres commerciaux, données de production, financières). Vente active des données.
Campagne identifiée fin octobre 2024 contre les télécoms et la finance. Google Docs pour la livraison de liens de phishing → fausses pages de connexion sur Weebly. Sentry.io et Datadog pour les métriques. Leurres à thème AT&T, banques US/CA. Fausse invite MFA.
Mysterious Elephant (APT-K-47) utilise des fichiers CHM pour exécuter le payload Asyncshell (v4). Variante Base64 pour masquer les chaînes, C2 déguisé, journalisation réduite. Ciblage : Pakistan, Bangladesh, Turquie avec des leurres gouvernementaux/religieux.
JinxLoader (basé sur Go, distribué via phishing) a évolué vers Astolfo Loader (C++, meilleures performances, fichier plus petit). MaaS, anti-analyse et vérification de géolocalisation avant C2. Distribué sur Hack Forums.
L'acteur de menace russe TAG-110 étend son activité cyber contre des cibles européennes. Suivi Fortgale actif.
Le 20 nov. 2024, IncRansom a annoncé la compromission de PBS Aerospace (Atlanta, USA — turbines UAV/drones, certification EASA). 2 To d'exfiltration déclarés, dont des fichiers CAD et documents internes. Le groupe INC Ransom est actif depuis août 2023, ~200 victimes.
Campagne identifiée par des CERT européens exploitant GitHub Pages pour héberger de fausses pages de connexion (WeTransfer, cPanel). Identifiants volés envoyés via l'API Telegram à un bot contrôlé par l'attaquant. Spoofing visuel + abus de domaine légitime.
L'acteur chinois BrazenBamboo exploite un zero-day dans le VPN FortiClient Windows via DEEPDATA pour extraire des identifiants VPN de la mémoire processus. Multiplateforme : WeChat/Skype/Telegram/Signal, données navigateur, contacts Outlook.
Infostealer .NET qui contourne Chrome App-Bound Encryption via IElevator. Cibles : navigateurs, portefeuilles crypto, authentificateurs 2FA, gestionnaires de mots de passe, clients email. Distribution : phishing avec HTML 'ClickFix'. C2 : master.hdsjfkgsadoghdsiougds[.]space, master.volt-texs[.]online.
Les threat actors utilisent de fausses pages Google Meet dans la campagne ClickFix. Win → StealC + Rhadamanthys. Mac → Atomic stealer. Extension aux imitations de Facebook, Chrome, reCAPTCHA. Groupes : Slavic Nation Empire, Scamquerteo. Des milliers de domaines suivis par Fortgale.
PAN-SA-2024-0015 : vulnérabilité RCE non authentifiée dans les interfaces de management des NGFW Palo Alto exposées sur Internet (CVSS 4.0 : 9.3). Déjà exploitée dans des attaques réelles. N'affecte pas Prisma Access/Cloud NGFW. Isoler l'interface d'Internet.
Phishing chinois SilkSpecter contre les acheteurs e-commerce Black Friday 2024 (US/EU). Abus de l'API Stripe pour des transactions réelles avec exfiltration CHD/SAD. Localisation dynamique via Google Translate. Plus de 4 000 domaines, 89 IP. SaaS chinois oemapps.
L'acteur russe UAC-0194 exploite un zero-day NTLM (CVSS 6.5) pour le vol de hash Net-NTLMv2 avec une interaction minimale (clic droit, glisser). Emails de phishing depuis des entités gouvernementales ukrainiennes compromises → ZIP avec .url malveillant → Spark RAT (open source, persistance). Patch Microsoft disponible.
TA455/Charming Kitten (APT35) lance 'Dream Job' contre les secteurs aérospatial et défense avec le malware SnailResin via message LinkedIn + email spear-phishing. Leurre : fausses offres d'emploi pour obtenir l'accès, exfiltrer des données et prendre le contrôle à distance.
Phishing contre les utilisateurs européens de DocuSign : emails avec pièce jointe HTML qui ouvre une fausse page de connexion. JavaScript intercepte les identifiants et les transmet via l'API bot Telegram. Le pattern est simple mais efficace et contourne de nombreux filtres email.
Opération (origine russe, août 2024+) utilisant Teams, SharePoint, Quick Assist et OneDrive comme C2. .jar Java non obfusqué contourne EDR et VirusTotal. API Microsoft Graph pour gérer le C2 via des fichiers sur OneDrive nommés d'après les UUID des appareils. Infrastructures critiques américaines.
Nouveau cheval de Troie bancaire Android (oct. 2024) ciblant fortement le Sud de l'Europe (>50 % Italie, plus Portugal, Espagne) et l'AMÉRIQUE LATINE. RAT abusant de l'Accessibilité Android pour l'ODF, intercepte les OTP, contourne le 2FA PSD2. C2 : dksu.top, mixcom.one, freebasic.cn. Acteurs chinois.
Analyse Fortgale sur 12 000 configurations Cobalt Strike suivies, plus de 52 000 indicateurs. 126 IP uniques associées à BlackBasta. Résurgence fin septembre/début octobre. Organisations européennes affectées (industrie, finance). Nexus est-européen.
Alexander 'Connor' Moucka arrêté au Canada (30 oct. 2024) pour la brèche Snowflake. UNC5537 a touché plus de 165 organisations via réutilisation d'identifiants issus d'infostealers (identifiants remontant à 2020). Victimes : AT&T, Santander, Ticketmaster. Extorsion + vente sur forums.
Vulnérabilité critique dans le produit FortiManager de Fortinet activement exploitée. Patching immédiat requis sur toutes les installations FortiManager.
Le 23 oct. 2024, BlackSuit a annoncé la compromission d'Aerotecnic (Séville, ES — aérospatiale, fournisseur d'Airbus/Boeing/Aciturri/Aernnova/Embraer). Plus de 800 Go d'exfiltration déclarés (utilisateurs, registres commerciaux, employés, données de production, financières).
RCE non authentifié critique dans Veeam VBR (build ≤12.1.2.172). Exploité via /trigger sur le port 8000 pour créer un admin fantôme et déployer le ransomware Fog/Akira. Permet un accès total à l'environnement de sauvegarde. Patché en septembre 2024.
CISA l'ajoute à KEV. Vulnérabilité dans Fortinet (FortiOS, FortiPAM, FortiProxy, FortiWeb) permettant un RCE non authentifié via des requêtes spécialement forgées. Patching immédiat requis.
Le 10 oct. 2024, un threat actor a mis en vente sur un forum darkweb une base de données avec 450 000 enregistrements de clients d'une banque européenne non nommée : noms, emails, téléphones, adresses, montants investis. Risque de phishing ciblé, fraude, usurpation d'identité.
Septembre 2024 : campagne ciblée contre la logistique maritime/transport. Les threat actors utilisent des comptes email compromis d'entreprises de transport légitimes pour injecter du contenu malveillant dans des fils de discussion email en cours. Difficile à détecter.
Campagne de cyberespionnage iranien (Charming Kitten) contre le secteur aérospatial européen via WhatsApp + emails ciblés avec de fausses offres d'emploi (pattern Dream Job).
Nouvelle infrastructure de phishing ciblant les organisations européennes finance et assurance via le Supercar Phishing Kit pour Microsoft 365. Report Fortgale original : blog.fortgale.com.
Advisory intelligence pour les entreprises aérospatiales et satellitaires européennes sur la mitigation de nouvelles cybermenaces ciblées.
Suite à l'incident BSOD CrowdStrike, augmentation significative de domaines nouvellement enregistrés contenant le terme 'CrowdStrike'. Risques de phishing/usurpation. Liste de blocage recommandée pour prévenir les abus de marque.
Nouvelle vulnérabilité RCE zero-click dans Microsoft Outlook. Exploitable sans interaction utilisateur. Risque sévère : brèche de données, accès non autorisé — particulièrement critique pour les emails provenant d'expéditeurs de confiance.
Aucun Report dans cette catégorie.
Les Reports contiennent des IoC opérationnels, des détails d'exploitation et — le cas échéant — des références aux clients impactés ou au threat hunting en cours. Nous les partageons avec les professionnels IT & Sécurité sous NDA mutuel, avec une réponse sous 1 jour ouvré. Pas de funnel, pas de paywall.
Pour recevoir chaque Report en temps réel (dans les 30-60 minutes de la publication interne) livré directement dans votre SIEM/SOAR, échangez avec nous sur le Flux Intelligence.
Reports, IoC et requêtes de threat hunting livrés à votre SOC dès qu'un nouvel adversaire est observé. Setup en 14 jours · NDA mutuel.
Aucune séquence de nurturing, aucune réponse automatique. Un de nos analystes vous rappelle sous un jour ouvré.
Le Report complet (executive summary · IoC opérationnels · runbook technique) est confidentiel. Envoyez-nous deux informations et un de nos analystes vous recontacte avec l'accès et un bref briefing technique.
Réponse en 30 minutes, confinement en 1 à 4 heures. Même si vous n'êtes pas client Fortgale.
