China-Aligned Hackers Target Czech Republic, Taiwan in Cyber Espionage Push
China-aligned hackers have launched a sneaky cyber espionage campaign, dubbed Operation Dragon Weave, targeting officials and citizens in the Czech Republic and Taiwan with a cunning malware that masquerades as a legitimate cloud storage service. The malware ultimately delivers an AdaptixC2 agent, putting…
#ChinaalignedHackers #CyberEspionage #OperationDragonWeave #AzureBlobStorage #Adaptixc2
📢 Exploitation active de vulnérabilités critiques Cisco Catalyst SD-WAN par UAT-8616 et 10 clusters
📝 ## 🔍 Contexte
Publié le 14 mai 2026 par l'équipe Research...
📖 cyberveille : https://cyberveille.ch/posts/2026-05-15-exploitation-active-de-vulnerabilites-critiques-cisco-catalyst-sd-wan-par-uat-8616-et-10-clusters/
🌐 source : https://www.tenable.com/blog/faq-about-the-continued-exploitation-of-cisco-catalyst-sd-wan-vulnerabilities-uat-8616
#AdaptixC2 #Behinder #Cyberveille
🔍 Contexte Publié le 14 mai 2026 par l’équipe Research Special Operations (RSO) de Tenable, cet article de type FAQ documente l’exploitation active et continue de cinq vulnérabilités critiques dans Cisco Catalyst SD-WAN Controller et Manager, ainsi qu’une sixième vulnérabilité plus ancienne utilisée pour l’élévation de privilèges. 📅 Chronologie des divulgations 25 février 2026 : Cisco divulgue CVE-2026-20127 (CVSS 10.0, authentication bypass, déjà exploitée) et trois autres CVEs (CVE-2026-20133, CVE-2026-20128, CVE-2026-20122). CISA ajoute CVE-2026-20127 et CVE-2022-20775 au catalogue KEV. Mars 2026 : Exploitation de CVE-2026-20128 et CVE-2026-20122 confirmée. ZeroZenX Labs publie un PoC pour la chaîne CVE-2026-20133/20128/20122. Avril 2026 : Exploitation de CVE-2026-20133 confirmée. CISA ajoute CVE-2026-20133, CVE-2026-20128 et CVE-2026-20122 au KEV. 14 mai 2026 : Cisco divulgue CVE-2026-20182 (CVSS 10.0, zero-day, authentication bypass). CISA émet la Directive d’urgence 26-03 et ajoute CVE-2026-20182 au KEV avec échéance de remédiation au 17 mai 2026. 🛡️ Vulnérabilités impliquées CVE Description CVSS CVE-2026-20182 Authentication Bypass (Controller & Manager) 10.0 CVE-2026-20127 Authentication Bypass (Controller & Manager) 10.0 CVE-2026-20133 Information Disclosure (Manager) 7.5 CVE-2026-20128 Credential Access (Manager) 7.5 CVE-2026-20122 Arbitrary File Overwrite (Manager) 5.4 CVE-2022-20775 CLI Path Traversal / Privilege Escalation 7.8 🎯 Acteur principal : UAT-8616 UAT-8616, désigné par Cisco Talos comme un acteur de menace « hautement sophistiqué », exploite les infrastructures Cisco SD-WAN depuis au moins 2023. Son infrastructure présente des chevauchements avec des réseaux Operational Relay Box (ORB). Il cible des secteurs d’infrastructure critique.
📢 Entités militaires sud-est asiatiques ciblées via CVE-2026-41940 (cPanel) avec exfiltration de données chinoises
📝 ## 🔍 Contexte
Le 2 mai 2026, Ctrl-Alt-Intel publie une analyse de threat research basée sur l...
📖 cyberveille : https://cyberveille.ch/posts/2026-05-04-entites-militaires-sud-est-asiatiques-ciblees-via-cve-2026-41940-cpanel-avec-exfiltration-de-donnees-chinoises/
🌐 source : https://ctrlaltintel.com/research/SEA-CPanel/
#AdaptixC2 #Asie_du_Sud_Est #Cyberveille
🔍 Contexte Le 2 mai 2026, Ctrl-Alt-Intel publie une analyse de threat research basée sur la découverte d’un serveur de staging attaquant exposé. L’article fait suite à la divulgation publique de CVE-2026-41940, un bypass d’authentification critique dans cPanel & WHM (versions après 11.40), initialement documenté par watchTowr Labs le 29 avril 2026. 🎯 Victimologie L’acteur a ciblé principalement : Philippine Coast Guard Philippine Air Force, 15th Strike Wing Philippine Government Arsenal, Department of National Defense Lao Ministry of National Defence Lao Ministry of Natural Resources and Environment MSPs et hébergeurs aux Philippines, Laos, Canada, Afrique du Sud et États-Unis Un portail de formation du secteur de la défense indonésien Des organisations chinoises du secteur ferroviaire (China Railway Society Electrification Committee) ⚙️ Techniques d’attaque Exploitation CVE-2026-41940 : L’acteur a utilisé des PoC publics pour forger des sessions WHM en injectant des valeurs user=root, hasroot=1, tfa_verified=1, obtenant un accès root non authentifié.
Tropic Trooper Exploits SumatraPDF to Deploy AdaptixC2
Meet Tropic Trooper, a notorious cyber threat group that's been wreaking havoc since 2011, and learn how they've cleverly exploited SumatraPDF to deploy their AdaptixC2 malware. Their latest tactic involves using GitHub as a command-and-control platform to target Chinese-speaking individuals in Taiwan, as well as users in South Korea and Japan.
#TropicTrooper #Apt23 #Adaptixc2 #Sumatrapdf #MalwareOperations
📢 QEMU détourné pour masquer des activités malveillantes et déployer le ransomware PayoutsKing
📝 ## 🔍 Contexte
Publié le 16 avril 2026 par Sophos, cet article documente l'abus actif de **QEM...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-16-qemu-detourne-pour-masquer-des-activites-malveillantes-et-deployer-le-ransomware-payoutsking/
🌐 source : https://www.sophos.com/en-us/blog/qemu-abused-to-evade-detection-and-enable-ransomware-delivery
#3AM #AdaptixC2 #Cyberveille
🔍 Contexte Publié le 16 avril 2026 par Sophos, cet article documente l’abus actif de QEMU (émulateur open-source) par des acteurs malveillants pour dissimuler leurs activités au sein d’environnements virtualisés, contournant ainsi les contrôles de sécurité des endpoints. 🎯 Campagne STAC4713 (depuis novembre 2025) Associée au groupe GOLD ENCOUNTER et au ransomware PayoutsKing, cette campagne utilise QEMU comme backdoor SSH inversé covert : Persistance : tâche planifiée nommée TPMProfiler lançant qemu-system-x86_64.exe sous le compte SYSTEM Déguisement : image disque masquée en vault.db puis en bisrv.dll (janvier 2026) Port forwarding vers les ports 32567, 22022 → port 22 (SSH) VM Alpine 3.22.0 contenant : AdaptixC2 (tinker2), wg-obfuscator, BusyBox, Chisel, Rclone Vol de credentials : copie de NTDS.dit, ruches SAM et SYSTEM via VSS et commande print sur SMB Accès initial : VPN SonicWall exposés sans MFA, puis exploitation de CVE-2025-26399 (SolarWinds Web Help Desk) Évolution en février 2026 : abandon de QEMU, accès via VPN Cisco SSL, ingénierie sociale via Microsoft Teams/QuickAssist, sideloading d’un payload Havoc C2 (vcruntime140_1.dll) via ADNotificationManager.exe, exfiltration via Rclone vers SFTP.
Die März-Ausgabe der iX ist da und ich freue mich sehr, diesmal gleich mit zwei Artikeln im Heft vertreten zu sein. Die iX 03/2026 widmet sich wieder spannenden Themen aus der IT-Profiszene, und ich durfte tiefer in die Bereiche Cybersecurity und Workflow-Automatisierung eintauchen.
Source: SEQRITE — Dans une analyse technique, l’équipe APT de SEQRITE documente « Operation DupeHike », une campagne active depuis novembre 2025 (cluster UNG0902) ciblant des entités corporatives russes, notamment les services RH, paie et administration. 🎯 Le leurre s’appuie sur des documents PDF à thème « bonus annuel » distribués via une archive ZIP. Le fichier malveillant est une raccourci LNK déguisé en PDF qui exécute PowerShell pour télécharger et lancer l’implant DUPERUNNER (C++), lequel déploie ensuite un beacon AdaptixC2.
#Russian #Ransomware Gangs Weaponize #OpenSource #AdaptixC2 for Advanced Attacks
https://thehackernews.com/2025/10/russian-ransomware-gangs-weaponize-open.html
Selon Unit 42 (Palo Alto Networks), AdaptixC2 est un framework de commande‑et‑contrôle open source activement employé par des acteurs malveillants. Cet outil de post‑exploitation offre un contrôle étendu du système, la manipulation de fichiers et l’exfiltration de données tout en restant largement discret. 🚨AdaptixC2 est un nouveau framework open-source de post-exploitation et d’émulation adversaire, utilisé en conditions réelles depuis mai 2025 pour des attaques ciblées Il permet aux acteurs malveillants d’exécuter des commandes, d’exfiltrer des données, de manipuler des fichiers et de maintenir une activité furtive sur les machines compromises. Sa modularité, ses capacités de tunneling (SOCKS4/5), port forwarding, et la prise en charge de BOFs (Beacon Object Files) rendent AdaptixC2 hautement personnalisable et difficile à détecter
L’article provient de The DFIR Report et décrit une campagne sophistiquée exploitant le SEO poisoning pour distribuer des outils de gestion IT trojanisés, permettant l’installation du malware Bumblebee et du ransomware Akira. L’attaque commence par des résultats de recherche Bing empoisonnés qui redirigent vers des sites malveillants hébergeant des installateurs MSI trojanisés. Ces fichiers MSI déploient le malware Bumblebee via msimg32.dll en utilisant consent.exe, établissant des communications C2 avec des domaines DGA.
Analyst207
CyberVeille.ch
Frank Neugebauer
Steve Dustcircle 🌹