Apparu en 2025, The Gentlemen est un groupe ransomware associé à une scission interne de l’écosystème Qilin. Fonctionnant selon un modèle RaaS (Ransomware-as-a-Service), cet acteur applique une stratégie de double extorsion : vol de données puis chiffrement des systèmes compromis. Le groupe ne semble pas suivre de logique sectorielle précise. Les victimes identifiées concernent aussi bien des PME que des structures plus importantes, avec une activité répartie dans plusieurs régions du monde. Cette approche opportuniste repose principalement sur l’exploitation d’équipements exposés sur Internet et d’environnements insuffisamment sécurisés. Une exploitation massive des accès exposés Les opérations attribuées à The [...]

En bref, en ce mois de mars 2026, la barrière entre les capacités d'exploitation réservées aux acteurs étatiques et la cybercriminalité organisée vient de céder. La révélation simultanée de deux kits d'exploitation iOS complets, Corona et DarkSword, en l'espace d'un mois, signale une saturation du marché des vulnérabilités mobiles. DarkSword, une chaîne d'exploitation « full-chain » écrite en JavaScript, permet une prise de contrôle totale d'appareils iOS (versions 18.4 à 18.7) avec une interaction utilisateur minimale. Utilisé par des acteurs étatiques présumés (UNC6353) et des fournisseurs de surveillance commerciale (PARS Defense, UNC6748), ce kit illustre une tendance critique : la [...]

 BlackSuit s’est imposé en 2023 comme l’une des menaces majeures du ransomware : d’abord, il vole vos données les plus sensibles, puis il verrouille vos systèmes, vous plaçant sous une pression maximale. Opérant selon la méthode dite de « double extorsion », ce groupe exfiltre d’abord des données sensibles avant de chiffrer les systèmes de ses victimes, multipliant ainsi la pression pour obtenir le paiement de rançons. Reconnu pour sa rapidité d’exécution et son recours intensif à des outils de pentesting offensif, BlackSuit vise en priorité les secteurs critiques et frappe là où ça fait le plus mal.Genèse et origine commune avec Royal Les [...]

SparkCat est un malware mobile identifié en 2024, capable d’extraire automatiquement des données sensibles à partir des captures d’écran stockées sur les terminaux Android et iOS. Exploitant des mécanismes d’analyse optique de caractères (OCR), il constitue une menace discrète et ciblée, capable de contourner les protections traditionnelles par l’exploitation légitime des permissions accordées aux applications. Vecteurs d’infection applicatifs et abus de permissions mobiles La chaîne d’infection repose sur la distribution d’applications apparemment inoffensives, proposées sur les boutiques officielles ou obtenues via sideloading. Ces applications requièrent l’accès aux fichiers multimédias (photothèque, captures d’écran) sous des prétextes fonctionnels tels que [...]

Depuis son apparition en 2022, le groupe Play s'impose comme un acteur majeur dans la catégorie des ransomwares. Opérant selon un modèle de Ransomware-as-a-Service (RaaS), Play cible des organisations de divers secteurs, principalement en Amérique du Nord, en Europe (notamment en Allemagne et en France) et en Amérique latine. Le groupe est connu pour ses techniques d'intrusion développées, son utilisation d'outils légitimes détournés (LOLBins) et sa stratégie de double extorsion. Tactiques, Techniques et Procédures (TTP) de Play 1. Accès initial et escalade de privilèges Play exploite des vulnérabilités connues pour pénétrer les systèmes cibles, notamment : Fortinet SSL [...]

Inc Ransom ne se contente pas de chiffrer : il orchestre ses attaques comme un service, avec méthode, outils professionnels, et une stratégie d’exfiltration qui déjoue les défenses traditionnelles.En un an et demi, ce groupe émergent a déjà frappé plus de 220 organisations. Dans cet article, nous analysons en profondeur leur fonctionnement, leurs tactiques d’accès initial, de persistance et d’impact, ainsi que les leviers techniques utilisés pour contourner la détection et forcer la main aux victimes. Un modèle bien rodé, du phishing au chiffrement Le groupe Inc Ransom fonctionne selon un schéma classique de cyberattaque mais redoutablement efficace, combinant [...]

Perfctl est un malware relativement récent qui a rapidement démontré sa capacité à s'infiltrer dans des environnements complexes, notamment les serveurs Linux des entreprises. Au cours des trois à quatre dernières années, Perfctl aurait ciblé des millions de serveurs Linux, exploitant près de 20 000 configurations vulnérables, telles que des informations d’identification exposées ou des interfaces d’administration mal sécurisées. Plus qu'un simple script malveillant, Perfctl se distingue par son architecture modulaire et ses techniques d'évasion avancées, rendant sa détection et sa neutralisation particulièrement difficiles. Aperçu chronologique et victimologie de Perfctl Perfctl a été détecté pour la première fois [...]

L’attaque Evil Twin est une forme d’attaque de type Man-in-the-Middle (MitM) exploitant les réseaux Wi-Fi publics. Son nom, signifiant « jumeau maléfique », vient du fait qu’un pirate crée un faux point d’accès Wi-Fi imitant un réseau légitime pour tromper les utilisateurs. Une fois connectés, les données sensibles telles que les identifiants, mots de passe ou informations bancaires sont interceptées. Selon des études, plus de 15 % des attaques sur les réseaux Wi-Fi publics impliquent cette méthode, et près de 70 % des utilisateurs se connectent sans vérifier l’authenticité du réseau. Particulièrement répandue dans les cafés, hôtels, aéroports et [...]

Agent Tesla se distingue comme un Remote Access Trojan (RAT) avancé, souvent utilisé à des fins malveillantes. Ce malware, à la fois keylogger et voleur d'informations, est capable de surveiller les activités des utilisateurs, d'exfiltrer des données sensibles, et de compromettre gravement la sécurité des victimes. Avec un impact mondial estimé à 3 %, il est essentiel de comprendre son fonctionnement, ses fonctionnalités et ses cas d'usage pour mieux s'en protéger. Fonctionnement du malware : une machine bien huilée Agent Tesla suit un processus méthodique pour infecter, s’installer, collecter et exfiltrer des données. Voici une analyse détaillée de [...]

Dans l’actu cyber du moment, un nom intrigue et inquiète à la fois : Steelfox. Ce malware, à l’appellation énigmatique mêlant l’acier et la ruse du renard, symbolise parfaitement sa nature : furtif, robuste, et redoutablement efficace. Mais d’où vient ce programme malveillant ? Ses origines suscitent autant de questions que de théories. Pour comprendre cette menace dans toute sa complexité et anticiper ses prochaines actions, nos experts en cybersécurité la décryptent. Aperçu chronologique du malware Repéré pour la première fois en 2023, SteelFox connait une propagation rapide et un développement croissant : Février 2023 : l'identification initiale. [...]