Mastodawn

📢 2026 : 12 CVE activement exploitées, 4 absentes du catalogue CISA KEV selon Proofpoint
📝 ## 🔍 Contexte

Publié le 27 mai 2026 par la Proofpoint Emerging Threats Team, ce rapport s'ap...
📖 cyberveille : https://cyberveille.ch/posts/2026-05-27-2026-12-cve-activement-exploitees-4-absentes-du-catalogue-cisa-kev-selon-proofpoint/
🌐 source : https://www.proofpoint.com/us/blog/threat-insight/more-cves-same-playbook-2026-vulnerability-exploitation-wild
#APT28 #CVE_2026 #Cyberveille

2026 : 12 CVE activement exploitées, 4 absentes du catalogue CISA KEV selon Proofpoint

🔍 Contexte Publié le 27 mai 2026 par la Proofpoint Emerging Threats Team, ce rapport s’appuie sur deux flux de télémétrie : la surveillance des emails ciblés (centaines de millions de messages quotidiens) et un réseau de plus de 5 000 capteurs réseau ayant généré plus de 3 millions d’alertes en 2026. L’article dresse un bilan de l’exploitation des CVE 2026 dans la nature. 📧 Télémétrie email : 3 CVE weaponisées CVE-2026-21509 (Microsoft Office, RCE via RTF/OLE) : weaponisée par TA422 (APT28) dans les 24 heures suivant sa divulgation publique en janvier 2026. Ciblage d’agences gouvernementales ukrainiennes et d’entités européennes (défense, transport, diplomatie) via spear-phishing avec leurres institutionnels haute fidélité. La chaîne d’infection aboutit au backdoor NotDoor Outlook et aux implants Covenant Grunt. L’infrastructure C2 utilise filen.io comme service de stockage cloud.

CyberVeille

Peter König May 13

Hörempfehlung.

They Talk Tech – mit Eckert und @evawolfangel Teure KI und Schwachstellen-Hype - mit Cybersicherheitsforscherin Haya Schulmann

🕸️ https://frauen-technik.podigee.io/82-new-episode

My 2ct:

Toller Beitrag! Etwas fragwürdig imo der Versuch #Stuxnet zu legitimieren: Stuxnet war genauso Verstoß gegen Hacker-Ethik wie #APT28-Angriffe. Mir fehlen Hinweise auf "friendly Cyber-Sabotage" und moralische Scheuklappen - gerade bei Despoten wie #Trump, #Thiel & #Musk. LLMs & 0Days sind imho Teil digitaler #Geopolitik

Teure KI und Schwachstellen-Hype - mit Cybersicherheitsforscherin Haya Schulmann

„Günstiger wird KI vermutlich nicht." Evas LinkedIn-Post hat einen Nerv getroffen, denn: Was wir gerade für Cent-Bruchteile pro Anfrage kaufen, wird derzeit vielfach subventioniert. OpenAI verbrennt laut eigener Prognose 2026 14 Milliarden Dollar. Börsengänge stehen an. Eine deutliche Preiskorrektur wird erwartet. Außerdem: Eine aktuelle Google-Pressemitteilung titelt, dass Angreifer KI zur Entwicklung einer Zero-Day-Schwachstelle eingesetzt haben. Eva und Svea sprechen mit Haya Schulmann dazu, eine der renommiertesten Cybersicherheitsforscherinnen Deutschlands. Sie ordnet ein: Der Angriff war nie fertig. Die Täter wurden erwischt, bevor der Exploit zum Einsatz kam. Die wirklich beunruhigende Nachricht zieht die Expertin aus ihrer eigenen Forschung: In deutschen Bundesministerien gibt es kritische Schwachstellen, teilweise mehr als zehn Jahre alt. Von Svea Eckert und Eva Wolfangel. Musik und Produktion: Marko Pauli. Shownotes Das Thema bei Heise: https://www.heise.de/news/Google-Cyberangriff-mittels-per-KI-gefundener-Zero-Day-Luecke-abgewehrt-11290551.html Evas Einordnung mit Haya Shulmann: https://www.zeit.de/digital/internet/2026-05/cyberangriffe-kuenstliche-intelligenz-google-cybersicherheit?freebie=40cc7634 Google Threat Intelligence Report: https://services.google.com/fh/files/misc/threat-intelligence-perspective-ai-cybersecurity.pdf ATHENE – Nationales Forschungszentrum für angewandte Cybersicherheit: https://www.athene-center.de Offener Brief zur Grand Challenge der Wissenschaftler: https://www.linkedin.com/posts/thorstenholz_support-for-eu-grand-challenge-ai-x-security-share-7457352154325008384-I2Ks/ Interne Verlustschätzung OpenAI: https://www.theinformation.com/articles/openai-projections-imply-losses-tripling-to-14-billion-in-2026

They Talk Tech – mit Eckert und Wolfangel

CyberVeille.ch May 9

📢 Rapport d'activité 2025 de l'ANSSI : bilan CTI, attribution APT28 et orientations stratégiques
📝 📋 **Contexte** : Le rapport d'activité 2025 de l'Agence nationale de la sécurité des systèmes d'information (...
📖 cyberveille : https://cyberveille.ch/posts/2026-05-09-rapport-d-activite-2025-de-l-anssi-bilan-cti-attribution-apt28-et-orientations-strategiques/
🌐 source : https://cyber.gouv.fr/actualites/publication-du-rapport-dactivite-2025-de-lanssi/
#ANSSI #APT28 #Cyberveille

CyberVeille.ch May 8

📢 Révélation : l'université Bauman forme secrètement des hackers pour le GRU russe
📝 ## 🗞️ Contexte

Article publié le 7 mai 2026 par *The Guardian*, dans le cadre d'une enquê...
📖 cyberveille : https://cyberveille.ch/posts/2026-05-08-revelation-l-universite-bauman-forme-secretement-des-hackers-pour-le-gru-russe/
🌐 source : https://www.theguardian.com/world/2026/may/07/revealed-russia-top-secret-spy-school-hacking-western-electoral-interference
#APT28 #Fancy_Bear #Cyberveille

CyberVeille.ch Apr 29

📢 CVE-2026-32202 : faille Windows Shell activement exploitée, liée à APT28
📝 ## 🗓️ Contexte

Publié le 28 avril 2026 par The Cyber Security Hub sur LinkedIn, cet article rapporte la confirmation par Microsoft de l'e...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-29-cve-2026-32202-faille-windows-shell-activement-exploitee-liee-a-apt28/
🌐 source : https://www.linkedin.com/pulse/warning-windows-shell-flaw-cve-2026-32202-actively-em86f
#APT28 #CVE_2026_21510 #Cyberveille

CVE-2026-32202 : faille Windows Shell activement exploitée, liée à APT28

🗓️ Contexte Publié le 28 avril 2026 par The Cyber Security Hub sur LinkedIn, cet article rapporte la confirmation par Microsoft de l’exploitation active de CVE-2026-32202, une vulnérabilité affectant le composant Windows Shell, initialement corrigée lors du Patch Tuesday d’avril 2026. 🔍 Détails de la vulnérabilité CVE-2026-32202 : score CVSS 4.3, classée comme « protection mechanism failure » permettant des attaques de spoofing via le réseau Nécessite une interaction utilisateur (ouverture d’un fichier malveillant) Permet l’accès à des informations sensibles partielles, sans modification de données ni perturbation de disponibilité Découverte par Maor Dahan (Akamai), identifiée comme remédiation incomplète de CVE-2026-21510 Le 27 avril 2026, Microsoft a révisé son advisory pour corriger la classification d’exploitabilité, le vecteur CVSS et le statut d’exploitation.

CyberVeille

CyberVeille.ch Apr 29

📢 Patch incomplet d'APT28 : CVE-2026-21510 laisse place à CVE-2026-32202, coercition d'authentification zero-click
📝 ## 🔍 Contexte

Publié le 23 avril 2026 par Maor Daha...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-29-patch-incomplet-d-apt28-cve-2026-21510-laisse-place-a-cve-2026-32202-coercition-d-authentification-zero-click/
🌐 source : https://www.akamai.com/blog/security-research/incomplete-patch-apt28s-zero-day-cve-2026-32202
#APT28 #CVE_2026_21510 #Cyberveille

Patch incomplet d'APT28 : CVE-2026-21510 laisse place à CVE-2026-32202, coercition d'authentification zero-click

🔍 Contexte Publié le 23 avril 2026 par Maor Dahan (Akamai Security Research), cet article détaille la découverte d’une vulnérabilité résiduelle (CVE-2026-32202) résultant d’un patch incomplet de Microsoft pour CVE-2026-21510, une faille zero-day exploitée par le groupe APT28 (Fancy Bear). 🎯 Campagne initiale APT28 Selon CERT-UA, APT28 a lancé une cyberattaque ciblant l’Ukraine et plusieurs pays de l’UE en décembre 2025. La campagne utilisait un fichier LNK weaponisé exploitant deux vulnérabilités en chaîne :

CyberVeille

The Threat Codex Apr 27

A Shortcut to Coercion: Incomplete Patch of APT28's Zero-Day Leads to CVE-2026-32202
#CVE_2026_32202 #APT28 #CVE_2026_21510
https://www.akamai.com/blog/security-research/2026/apr/incomplete-patch-apt28s-zero-day-cve-2026-32202

infosertecla.com Apr 27

Alerta en Windows: Un parche incompleto permite ataques «Zero-Click»

Una falla en la actualización de seguridad de Microsoft ha dejado una puerta abierta para que hackers vinculados a Rusia ejecuten ataques sin necesidad de interacción del usuario, poniendo en riesgo datos sensibles en toda Europa (Fuente Akamai).

La seguridad de Windows se enfrenta a una crisis de confianza tras el descubrimiento de un parche defectuoso. Según un informe de Akamai, una corrección lanzada inicialmente en febrero para mitigar una vulnerabilidad en SmartScreen resultó ser insuficiente. Este parche incompleto ha dado lugar a una nueva vulnerabilidad crítica (identificada como CVE-2026-32202), que permite ataques del tipo «Zero-Click» (sin clics). En estos ataques, el simple hecho de que un usuario visualice una carpeta que contenga un archivo malicioso permite al atacante forzar una autenticación automática con su servidor, robando las credenciales del usuario sin que este se dé cuenta.

El grupo de ciberespionaje ruso APT28 (también conocido como Fancy Bear) ha sido identificado como el principal explotador de esta brecha. Los investigadores señalan que el grupo ha estado utilizando archivos de acceso directo (.lnk) modificados para saltarse las protecciones de Windows y ejecutar código remoto. Al aprovechar el mecanismo de procesamiento de iconos de Windows Explorer, los atacantes logran que el sistema de la víctima envíe su «hash» de autenticación NTLM a un servidor remoto, lo que facilita el robo de identidad y el movimiento lateral dentro de redes corporativas y gubernamentales, especialmente en Ucrania y países de la Unión Europea.

Microsoft ha incluido una nueva corrección para este fallo específico en su tanda de parches de abril de 2026. Sin embargo, la persistencia de estas brechas subraya la complejidad de parchear sistemas heredados como Windows Shell y el framework MSHTML. Los expertos en ciberseguridad recomiendan encarecidamente a las organizaciones aplicar las últimas actualizaciones de forma inmediata y considerar la desactivación de protocolos de autenticación antiguos como NTLM en entornos sensibles para prevenir este tipo de «coerción de autenticación» que la IA y los grupos estatales están empezando a explotar con mayor frecuencia.

#akamai #apt28 #ciberseguridad #PORTADA #zeroClick

The Threat Codex Apr 16

From APT28 to RePythonNET: automating .NET malware analysis
#APT28
https://blog.sekoia.io/apt28-to-repythonnet-automating-net-malware-analysis/

From APT28 to RePythonNET: automating .NET malware analysis

This blogpost covers the tooling and methodology we use at TDR to reverse engineer .NET malware. In our daily work, we encounter a wide range of malware, sophisticated or not, and a significant portion of it is written in .NET. Yet, the .NET reverse engineering ecosystem remains surprisingly thin, with few dedicated tools and few […]

Sekoia.io Blog