Mastodawn

New indicators for: Vidar (+1), SalatStealer (+1), RemcosRAT (+1), Ghost RAT (+1), GhostSocks (+1), ERMAC (+1) and Tofsee (+1). https://vuldb.com/actor #apt #cti #ioc

Actors

Predictive activity analysis of APT actors in social media, private forums, chat rooms, and darknet markets.

Vulnerability Database

Jonathan Kamens 86 47 1d ago

I got 29 of these alerts over a 3½ hour period overnight, all from IP addresses in Iran.
Since access to the public internet has been blocked for most people in Iran since January, this is probably government-backed Iranian hackers credential-stuffing Synology boxes. I would imagine there is probably some specific reason they're targeting Synology boxes, perhaps having to do with recently patched CVEs.
If you have Synology devices, make sure your security is tight!
#Iran #Synology #IOC #infosec

CyberVeille.ch 1d ago

📢 Doppelgänger : analyse complète de l'infrastructure d'opérations d'influence russe SDA/Structura
📝 ## 🌐 Contexte

Publié le 11 mai 2026 par DomainTools sur leur portail de recherche, ce rapport constitue une...
📖 cyberveille : https://cyberveille.ch/posts/2026-05-13-doppelganger-analyse-complete-de-l-infrastructure-d-operations-d-influence-russe-sda-structura/
🌐 source : https://dti.domaintools.com/research/sda-structura-doppelganger-influence-ops
#IOC #Keitaro #Cyberveille

CyberVeille.ch 1d ago

📢 REF6598 : Obsidian détourné pour déployer le RAT PHANTOMPULSE via ingénierie sociale
📝 ## 🔍 Contexte

Publié le 14 avril 2026 par Elastic Security Labs (auteurs : Salim Bitam, Samir Bousseaden, Daniel Stepanic), cet article détaille la ca...
📖 cyberveille : https://cyberveille.ch/posts/2026-05-13-ref6598-obsidian-detourne-pour-deployer-le-rat-phantompulse-via-ingenierie-sociale/
🌐 source : https://www.elastic.co/security-labs/phantom-in-the-vault
#IOC #Obsidian #Cyberveille

REF6598 : Obsidian détourné pour déployer le RAT PHANTOMPULSE via ingénierie sociale

🔍 Contexte Publié le 14 avril 2026 par Elastic Security Labs (auteurs : Salim Bitam, Samir Bousseaden, Daniel Stepanic), cet article détaille la campagne REF6598, une opération d’ingénierie sociale sophistiquée ciblant des individus dans les secteurs financier et des cryptomonnaies. 🎯 Vecteur d’accès initial Les attaquants se font passer pour une société de capital-risque et contactent leurs cibles via LinkedIn, puis migrent la conversation vers Telegram. Ils invitent la victime à utiliser Obsidian comme base de données partagée, en lui fournissant des identifiants pour se connecter à un vault cloud contrôlé par l’attaquant.

CyberVeille

NOlympia Berlin 1d ago

»Freizeitläufer, die eine langfristige Perspektive für das freie Laufen im #Cantianstadion sicherstellen wollen und nicht auf die Weisheit von #DOSB und #IOC vertrauen, können dem Volksbegehren #NOlympia ihre Stimme geben, das eine Volksabstimmung über Berlins #Olympiabewerbung erreichen will.« 👍
https://www.gleimviertel.de/archives/35167
#NOlympiaBerlin

Wann laufen sie denn …

Läuferzeit im Cantianstadion? Das „Kleine Stadion“ an der Cantianstraße ist eine von Freizeitjoggern hoch frequentierte Laufbahn. Bei schönem Wetter am Wochenende ist der Andrang so groß, dass man sich auf einer Joggerdemo wähnt. Doch immer wieder stehen Läufer auch vor

Bürgerverein Gleimviertel

VulDB

1d ago

Updated threat actors: SystemBC (+1), Nexcorium (+2), World Leaks (+3), Nexus Team (+2), Formbook (+1), Keenadu (+2) and Head Mare (+3). https://vuldb.com/actor #apt #cti #ioc

Actors

Predictive activity analysis of APT actors in social media, private forums, chat rooms, and darknet markets.

Vulnerability Database

CyberVeille.ch 1d ago

📢 Post-mortem : compromission de la chaîne d'approvisionnement npm de TanStack (mai 2026)
📝 ## 🔍 Contexte

Le 11 mai 2026, TanStack a publié un post-mortem détaillé d'une **compromission de chaîne d'approvisionnement npm** sur...
📖 cyberveille : https://cyberveille.ch/posts/2026-05-13-post-mortem-compromission-de-la-chaine-d-approvisionnement-npm-de-tanstack-mai-2026/
🌐 source : https://tanstack.com/blog/npm-supply-chain-compromise-postmortem
#GitHub_Actions #IOC #Cyberveille

VulDB

2d ago

We have improved indicators: SmartApeSG (+2), ValleyRAT (+1), DCRat (+2), Remcos (+1), Havoc (+2), NetSupportManager RAT (+2) and Brute Ratel C4 (+1). https://vuldb.com/actor #apt #cti #ioc

Actors

Predictive activity analysis of APT actors in social media, private forums, chat rooms, and darknet markets.

Vulnerability Database

Jose Morales

🐧🐍

2d ago

Con la entrega de hoy, ya tengo todas las EAC hechas y subidas a la plataforma.

En 10 días, ¡exámenes! #DAM #IOC #basesdatos #SistemasInformáticos

CyberVeille.ch 2d ago

📢 Campagne Mini Shai-Hulud : TanStack, UiPath, Mistral AI et d'autres packages npm/PyPI compromis
📝 ## 🗓️ Contexte

Le 11 mai 2026, Wiz publie une analyse technique détaillant une **attaque...
📖 cyberveille : https://cyberveille.ch/posts/2026-05-12-campagne-mini-shai-hulud-tanstack-uipath-mistral-ai-et-d-autres-packages-npm-pypi-compromis/
🌐 source : https://www.wiz.io/blog/mini-shai-hulud-strikes-again-tanstack-more-npm-packages-compromised
#GitHub_Actions #IOC #Cyberveille

Campagne Mini Shai-Hulud : TanStack, UiPath, Mistral AI et d'autres packages npm/PyPI compromis

🗓️ Contexte Le 11 mai 2026, Wiz publie une analyse technique détaillant une attaque coordonnée de supply chain menée par le groupe TeamPCP contre les écosystèmes npm et PyPI. Cette campagne, désignée Mini Shai-Hulud, représente une évolution des opérations précédentes du même acteur (SAP, Checkmarx, Bitwarden, Lightning, Intercom, Trivy). 🎯 Packages compromis Les namespaces et packages impactés incluent : @tanstack : dont @tanstack/react-router (~12 millions de téléchargements hebdomadaires) @uipath : outils d’automatisation enterprise (apollo-core, CLI, agent SDKs) @mistralai/mistralai : client TypeScript officiel de Mistral AI guardrails-ai (PyPI) : package Python de guardrails LLM mistralai (PyPI) Plusieurs dizaines d’autres packages npm (voir liste complète) 🔓 Vecteur d’infection TanStack (chaîne de 3 vulnérabilités GitHub Actions) L’attaquant crée un fork renommé du dépôt TanStack/router (zblgg/configuration) pour échapper aux recherches de forks Ouverture d’une pull request déclenchant un workflow pull_request_target qui exécute le code du fork et empoisonne le cache GitHub Actions (pnpm store) Lors de la fusion de PRs légitimes, le workflow de release restaure le cache empoisonné ; des binaires contrôlés par l’attaquant extraient des tokens OIDC directement depuis la mémoire du runner (/proc/<pid>/mem) Publication de versions malveillantes sans vol de credentials npm 🐛 Vecteurs d’infection dans les packages @tanstack : entrée optionalDependencies pointant vers un commit orphelin + fichier obfusqué router_init.js (~2,3 Mo) dans le tarball @uipath : script preinstall (node setup.mjs) téléchargeant le runtime Bun pour exécuter le payload — même mécanisme que le compromis SAP précédent PyPI : 13 lignes de code téléchargeant et exécutant git-tanstack[.]com/tmp/transformers.pyz 💀 Comportement du payload Le payload est un credential stealer auto-propagant (worm) ciblant :

CyberVeille