Prinz Eugen cible les fichiers récents 🎯, fuite massive d'identifiants Fortinet 🔓, SocGholish démantelé par Endgame 🚔
• 3 minutes de lectureBonjour, voici ta veille Cybere du 21 juin 2026 !
D'un côté les attaquants affinent leurs méthodes, du ciblage précis à l'exploitation de fuites massives. De l'autre, les autorités frappent une infrastructure criminelle historique.
Retrouve les trois articles à la une du jour :
- Le ransomeware Prinz Eugen s'introduit via des identifiants RDP volés et chiffre en priorité les fichiers récents
- La fuite FortiBleed expose 74 000 identifiants Fortinet, déjà exploités contre les accès VPN
- L'opération Endgame neutralise l'infrastructure SocGholish et ses 106 serveurs
Prinz Eugen cible les fichiers récents pour maximiser l'impact
Un nouveau groupe de ransomware nommé Prinz Eugen chiffre en priorité les fichiers récemment modifiés et ne laisse aucune note de rançon sur les systèmes infectés.
L'accès initial passe par des identifiants RDP (Remote Desktop Protocol) volés, suivis du téléchargement manuel du payload servertool.exe. Les attaquants utilisent des outils RMM légitimes comme RemotePC et des techniques de living-off-the-land. Contrairement à la plupart des groupes modernes, Prinz Eugen n'opère pas selon le modèle ransomware-as-a-service et ne recrute actuellement pas d'affiliés.
Points d'attention
- Le malware, écrit en Go, applique un chiffrement moderne robuste (ChaCha20-Poly1305, dérivation de clé Argon2id) par blocs de 1 Mo.
- L'absence de note de rançon réduit les traces forensiques et complique la détection automatique de l'extorsion, les demandes étant transmises hors bande (email, téléphone, portail dark web).
- Trois victimes sont listées sur le site de fuite, mais les chercheurs en ont identifié au moins cinq au total. Certaines impliquent chiffrement, exfiltration ou les deux.
FortiBleed : 74 000 identifiants Fortinet exposés mondialement
CISA alerte les utilisateurs Fortinet suite à la fuite de près de 74 000 identifiants de pare-feu et VPN. L'origine exacte de la fuite reste inconnue à ce stade.
Les acteurs malveillants exploitent ces identifiants compromis pour cibler des appareils Fortinet accessibles sur internet au sein d'organisations gouvernementales et privées. Fait aggravant, les mots de passe sont exposés en clair, et la plupart des appareils concernés seraient toujours en ligne. L'agence recommande de terminer toutes les sessions SSL VPN et administratives, réinitialiser les mots de passe VPN et administrateurs et activer l'authentification multifacteur résistante à l'hameçonnage.
Points d'attention
- La fuite concerne 73 932 appareils répartis dans 194 pays, dont Samsung, Mercedes-Benz et Chevron.
- Un groupe russophone aurait effectué 1,16 milliard de tentatives d'authentification contre plus de 320 000 cibles FortiGate.
- CISA référence 26 failles Fortinet exploitées activement, dont 13 utilisées dans des attaques par rançongiciels.
Opération Endgame neutralise l'infrastructure SocGholish
Les autorités néerlandaises, canadiennes, allemandes et américaines ont démantelé l'infrastructure malveillante de SocGholish et nettoyé 14 971 sites WordPress infectés dans le cadre de l'opération Endgame. L'offensive a permis de fermer 106 serveurs liés au botnet JavaScript actif depuis 2017, et n'est présentée que comme un début.
SocGholish, aussi connu sous le nom FakeUpdates, se propage en se faisant passer pour des mises à jour logicielles. Le malware sert de vecteur d'accès initial à diverses menaces dont LockBit, Evil Corp et RansomHub, facilitant les campagnes de rançongiciels et les opérations d'espionnage. Orange Cyberdefense et d'autres analystes ont observé des chaînes de livraison sophistiquées incluant chargeurs supplémentaires et RAT.
Points d'attention
- Les sites infectés utilisent la technique du Domain Shadowing pour masquer l'infrastructure malveillante sous des sous-domaines légitimes.
- Rien que sur 2026, 55 % des clients cloud d'Infoblox ont vu leurs systèmes dirigés vers l'infrastructure SocGholish.
- SocGholish fonctionne comme un courtage de trafic : des affiliés profilent les visiteurs de sites piégés et revendent les cibles intéressantes contre rémunération.
Autres actus importantes
- Microsoft attribue l'attaque de la chaîne d'approvisionnement Mastra AI à des pirates nord-coréens
- Google fixe un calendrier pour l'application de la vérification des développeurs Android
- Le malware CryptoBandits agit comme une porte dérobée et abuse de Tor
- Des entreprises de cybersécurité touchées par l'attaque de la chaîne d'approvisionnement Klue
Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️
À demain pour la prochaine veille 🔐 – Kilian de Cybere