📋 Contexte : Rapport semestriel publié le 30 mars 2026 par l’Office fédéral de la cybersécurité (OFCS) suisse, couvrant la période juillet–décembre 2025. Premier rapport intégrant à la fois les déclarations volontaires et les 145 déclarations obligatoires issues de la nouvelle loi en vigueur depuis le 1er avril 2025 pour les infrastructures critiques. 📊 Statistiques clés : 29 006 déclarations volontaires reçues au S2 2025 52 % des annonces concernent la fraude 57 incidents ransomware signalés directement (79 au total toutes sources confondues) 73 cas de Business Email Compromise (BEC) au S2 2025 Secteurs les plus touchés par les déclarations obligatoires : secteur public (25 %), IT/télécoms (18 %), finance/assurances (15,7 %) 🦠 Ransomware – menace dominante :
Operational summary:
Threat actor: UAC-0050
Alias: DaVinci Group / Mercenary Akula (per BlueVoyant)
Tooling: RMS (Remote Manipulator System)
Delivery: Spear-phishing, spoofed judicial domain, layered archives
TTP alignment consistent with reporting from CERT-UA.
Strategic overlay:
Russia-nexus actors, including APT29, continue high-confidence trust exploitation campaigns, as outlined by CrowdStrike.
Detection priorities:
- Monitor MSI execution anomalies
- Flag double-extension binaries
- Inspect outbound RMS traffic
- Harden executive email authentication
Follow for tactical intelligence briefings.
Comment with detection engineering recommendations.
#Infosec #ThreatIntel #UAC0050 #APT29 #RMS #SpearPhishing #DetectionEngineering #CyberEspionage #SOC #BlueTeam #SecurityOperations
They're called "cozy" because they're in no hurry: once they enter a system, they stay there for months undetected, gathering intel from sensitive targets. This is how Russia spies on the West.
#APT29 #cozyBear #espionage #Russia #cyberwarfare
https://negativepid.blog/cyber-warfare-groups-apt29-cozy-bear/
Source et contexte: CERT-EU publie un état des lieux des menaces pour septembre 2025, fondé sur l’analyse de 285 rapports open source et illustré par des opérations d’APT, des vulnérabilités zero-day critiques et des campagnes supply chain. • Contexte et faits saillants: L’analyse met en avant des évolutions géopolitiques et réglementaires, dont l’évasion de sanctions de l’UE par l’entité liée à la Russie « Stark Industries », l’adoption de la première loi IA en Italie et la reclassification par la Tchéquie de la menace chinoise au niveau « Élevé ». Des activités d’espionnage notables incluent l’Iran (UNC1549) contre les secteurs défense/télécoms européens, la coopération Turla + Gamaredon contre l’Ukraine, et l’arrestation de mineurs néerlandais impliqués dans un espionnage lié à la Russie.
Amazon, Cloudflare, and Microsoft just disrupted a notorious hacker group by dismantling their watering hole attack network. How did this major play in cybersecurity unfold? Check out the inside scoop.
#amazon
#apt29
#cybersecurity
#collaboration
#threatintelligence
Amazon has disrupted a Russian #APT29 watering hole campaign that used compromised websites to target Microsoft’s device code authentication.
Read: https://hackread.com/amazon-disrupts-russia-apt29-watering-hole-microsoft-auth/
Niels Provos
CyberVeille.ch
TechNadu
Negative PID SL
The DefendOps Diaries
Hackread.com