OTX Bot14h ago

The #APT36 cluster can't stop, won't stop

They just added #CVE-2026-21509 and #CVE-2026-21513 (borrowed from APT28) onto their delivery chain, pushing updated FIREPOWER via weaponized RTF and LNKs against 🇮🇳 targets. Separately, fresh SheetCreep + a shiny new CrystalShell-Slack variant co-dropped on a Kashmir target, because one implant is never enough. The vibeware factory is running three shifts: Crystal, .NET and PowerShell.

Pulse ID: 6a3add255a93c4e851962479
Pulse Link: https://otx.alienvault.com/pulse/6a3add255a93c4e851962479
Pulse Author: AlienVault
Created: 2026-06-23 19:23:16

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#APT28 #CyberSecurity #InfoSec #LNK #NET #OTX #OpenThreatExchange #PowerShell #RAT #RTF #bot #AlienVault

LevelBlue - Open Threat Exchange

Learn about the latest cyber threats. Research, collaborate, and share threat intelligence in real time. Protect yourself and the community against today's emerging threats.

LevelBlue Open Threat Exchange
CyberVeille.chJun 14

📢 APT28 : évolution du tradecraft sur deux décennies, de X-Agent à LameHug
📝 ## 🔍 Contexte

Publié le 11 juin 2026 par Sekoia Threat Detection & Research (TDR), cet article constitue une **rétrospective analytique de deux décennies d'activité d'APT28** (a...
📖 cyberveille : https://cyberveille.ch/posts/2026-06-13-apt28-evolution-du-tradecraft-sur-deux-decennies-de-x-agent-a-lamehug/
🌐 source : https://blog.sekoia.io/apt28-an-evolution-of-tradecraft/
#APT28 #APT29 #Cyberveille

APT28 : évolution du tradecraft sur deux décennies, de X-Agent à LameHug

🔍 Contexte Publié le 11 juin 2026 par Sekoia Threat Detection & Research (TDR), cet article constitue une rétrospective analytique de deux décennies d’activité d’APT28 (alias Fancy Bear, Forest Blizzard, Sednit, GRU Unit 26165). Il s’inscrit dans un effort coordonné de publication impliquant des agences gouvernementales et des vendeurs privés, dont le FBI, visant à contraindre les opérations cyber du GRU. 🕰️ Ère 2004–2018 : La chaîne d’implants signature APT28 opère une chaîne d’implants stable reposant sur :

CyberVeille
The Threat CodexJun 12
APT28, an evolution of tradecraft
#APT28
https://blog.sekoia.io/apt28-an-evolution-of-tradecraft/
APT28, an evolution of tradecraft

Context Sekoia’s Threat Detection & Research (TDR) team has been tracking APT28 for several years. The intrusion set, also known as Fancy Bear, Forest Blizzard, Sofacy, Pawn Storm or Sednit and publicly attributed to the GRU’s Unit 26165, is one of the most prolific and persistent state-sponsored actors we monitor. Its operations span in two […]

Sekoia.io Blog
SekoiaJun 11

🇷🇺 Sekoia #TDR team has just released a comprehensive analysis of how #APT28's arsenal has evolved, from its early to its current operations.

https://blog.sekoia.io/apt28-an-evolution-of-tradecraft/

CyberVeille.chMay 27

📢 2026 : 12 CVE activement exploitées, 4 absentes du catalogue CISA KEV selon Proofpoint
📝 ## 🔍 Contexte

Publié le 27 mai 2026 par la Proofpoint Emerging Threats Team, ce rapport s'ap...
📖 cyberveille : https://cyberveille.ch/posts/2026-05-27-2026-12-cve-activement-exploitees-4-absentes-du-catalogue-cisa-kev-selon-proofpoint/
🌐 source : https://www.proofpoint.com/us/blog/threat-insight/more-cves-same-playbook-2026-vulnerability-exploitation-wild
#APT28 #CVE_2026 #Cyberveille

2026 : 12 CVE activement exploitées, 4 absentes du catalogue CISA KEV selon Proofpoint

🔍 Contexte Publié le 27 mai 2026 par la Proofpoint Emerging Threats Team, ce rapport s’appuie sur deux flux de télémétrie : la surveillance des emails ciblés (centaines de millions de messages quotidiens) et un réseau de plus de 5 000 capteurs réseau ayant généré plus de 3 millions d’alertes en 2026. L’article dresse un bilan de l’exploitation des CVE 2026 dans la nature. 📧 Télémétrie email : 3 CVE weaponisées CVE-2026-21509 (Microsoft Office, RCE via RTF/OLE) : weaponisée par TA422 (APT28) dans les 24 heures suivant sa divulgation publique en janvier 2026. Ciblage d’agences gouvernementales ukrainiennes et d’entités européennes (défense, transport, diplomatie) via spear-phishing avec leurres institutionnels haute fidélité. La chaîne d’infection aboutit au backdoor NotDoor Outlook et aux implants Covenant Grunt. L’infrastructure C2 utilise filen.io comme service de stockage cloud.

CyberVeille
Peter KönigMay 13

Hörempfehlung.

They Talk Tech – mit Eckert und @evawolfangel Teure KI und Schwachstellen-Hype - mit Cybersicherheitsforscherin Haya Schulmann

🕸️ https://frauen-technik.podigee.io/82-new-episode

My 2ct:

Toller Beitrag! Etwas fragwürdig imo der Versuch #Stuxnet zu legitimieren: Stuxnet war genauso Verstoß gegen Hacker-Ethik wie #APT28-Angriffe. Mir fehlen Hinweise auf "friendly Cyber-Sabotage" und moralische Scheuklappen - gerade bei Despoten wie #Trump, #Thiel & #Musk. LLMs & 0Days sind imho Teil digitaler #Geopolitik

Teure KI und Schwachstellen-Hype - mit Cybersicherheitsforscherin Haya Schulmann

„Günstiger wird KI vermutlich nicht." Evas LinkedIn-Post hat einen Nerv getroffen, denn: Was wir gerade für Cent-Bruchteile pro Anfrage kaufen, wird derzeit vielfach subventioniert. OpenAI verbrennt laut eigener Prognose 2026 14 Milliarden Dollar. Börsengänge stehen an. Eine deutliche Preiskorrektur wird erwartet. Außerdem: Eine aktuelle Google-Pressemitteilung titelt, dass Angreifer KI zur Entwicklung einer Zero-Day-Schwachstelle eingesetzt haben. Eva und Svea sprechen mit Haya Schulmann dazu, eine der renommiertesten Cybersicherheitsforscherinnen Deutschlands. Sie ordnet ein: Der Angriff war nie fertig. Die Täter wurden erwischt, bevor der Exploit zum Einsatz kam. Die wirklich beunruhigende Nachricht zieht die Expertin aus ihrer eigenen Forschung: In deutschen Bundesministerien gibt es kritische Schwachstellen, teilweise mehr als zehn Jahre alt. Von Svea Eckert und Eva Wolfangel. Musik und Produktion: Marko Pauli. Shownotes Das Thema bei Heise: https://www.heise.de/news/Google-Cyberangriff-mittels-per-KI-gefundener-Zero-Day-Luecke-abgewehrt-11290551.html Evas Einordnung mit Haya Shulmann: https://www.zeit.de/digital/internet/2026-05/cyberangriffe-kuenstliche-intelligenz-google-cybersicherheit?freebie=40cc7634 Google Threat Intelligence Report: https://services.google.com/fh/files/misc/threat-intelligence-perspective-ai-cybersecurity.pdf ATHENE – Nationales Forschungszentrum für angewandte Cybersicherheit: https://www.athene-center.de Offener Brief zur Grand Challenge der Wissenschaftler: https://www.linkedin.com/posts/thorstenholz_support-for-eu-grand-challenge-ai-x-security-share-7457352154325008384-I2Ks/ Interne Verlustschätzung OpenAI: https://www.theinformation.com/articles/openai-projections-imply-losses-tripling-to-14-billion-in-2026

They Talk Tech – mit Eckert und Wolfangel
CyberVeille.chMay 9
📢 Rapport d'activité 2025 de l'ANSSI : bilan CTI, attribution APT28 et orientations stratégiques
📝 📋 **Contexte** : Le rapport d'activité 2025 de l'Agence nationale de la sécurité des systèmes d'information (...
📖 cyberveille : https://cyberveille.ch/posts/2026-05-09-rapport-d-activite-2025-de-l-anssi-bilan-cti-attribution-apt28-et-orientations-strategiques/
🌐 source : https://cyber.gouv.fr/actualites/publication-du-rapport-dactivite-2025-de-lanssi/
#ANSSI #APT28 #Cyberveille
CyberVeille.chMay 8

📢 Révélation : l'université Bauman forme secrètement des hackers pour le GRU russe
📝 ## 🗞️ Contexte

Article publié le 7 mai 2026 par *The Guardian*, dans le cadre d'une enquê...
📖 cyberveille : https://cyberveille.ch/posts/2026-05-08-revelation-l-universite-bauman-forme-secretement-des-hackers-pour-le-gru-russe/
🌐 source : https://www.theguardian.com/world/2026/may/07/revealed-russia-top-secret-spy-school-hacking-western-electoral-interference
#APT28 #Fancy_Bear #Cyberveille

CyberVeille.chApr 29

📢 CVE-2026-32202 : faille Windows Shell activement exploitée, liée à APT28
📝 ## 🗓️ Contexte

Publié le 28 avril 2026 par The Cyber Security Hub sur LinkedIn, cet article rapporte la confirmation par Microsoft de l'e...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-29-cve-2026-32202-faille-windows-shell-activement-exploitee-liee-a-apt28/
🌐 source : https://www.linkedin.com/pulse/warning-windows-shell-flaw-cve-2026-32202-actively-em86f
#APT28 #CVE_2026_21510 #Cyberveille

CVE-2026-32202 : faille Windows Shell activement exploitée, liée à APT28

🗓️ Contexte Publié le 28 avril 2026 par The Cyber Security Hub sur LinkedIn, cet article rapporte la confirmation par Microsoft de l’exploitation active de CVE-2026-32202, une vulnérabilité affectant le composant Windows Shell, initialement corrigée lors du Patch Tuesday d’avril 2026. 🔍 Détails de la vulnérabilité CVE-2026-32202 : score CVSS 4.3, classée comme « protection mechanism failure » permettant des attaques de spoofing via le réseau Nécessite une interaction utilisateur (ouverture d’un fichier malveillant) Permet l’accès à des informations sensibles partielles, sans modification de données ni perturbation de disponibilité Découverte par Maor Dahan (Akamai), identifiée comme remédiation incomplète de CVE-2026-21510 Le 27 avril 2026, Microsoft a révisé son advisory pour corriger la classification d’exploitabilité, le vecteur CVSS et le statut d’exploitation.

CyberVeille
CyberVeille.chApr 29

📢 Patch incomplet d'APT28 : CVE-2026-21510 laisse place à CVE-2026-32202, coercition d'authentification zero-click
📝 ## 🔍 Contexte

Publié le 23 avril 2026 par Maor Daha...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-29-patch-incomplet-d-apt28-cve-2026-21510-laisse-place-a-cve-2026-32202-coercition-d-authentification-zero-click/
🌐 source : https://www.akamai.com/blog/security-research/incomplete-patch-apt28s-zero-day-cve-2026-32202
#APT28 #CVE_2026_21510 #Cyberveille

Patch incomplet d'APT28 : CVE-2026-21510 laisse place à CVE-2026-32202, coercition d'authentification zero-click

🔍 Contexte Publié le 23 avril 2026 par Maor Dahan (Akamai Security Research), cet article détaille la découverte d’une vulnérabilité résiduelle (CVE-2026-32202) résultant d’un patch incomplet de Microsoft pour CVE-2026-21510, une faille zero-day exploitée par le groupe APT28 (Fancy Bear). 🎯 Campagne initiale APT28 Selon CERT-UA, APT28 a lancé une cyberattaque ciblant l’Ukraine et plusieurs pays de l’UE en décembre 2025. La campagne utilisait un fichier LNK weaponisé exploitant deux vulnérabilités en chaîne :

CyberVeille