📢 Révélation : l'université Bauman forme secrètement des hackers pour le GRU russe
📝 ## 🗞️ Contexte
Article publié le 7 mai 2026 par *The Guardian*, dans le cadre d'une enquê...
📖 cyberveille : https://cyberveille.ch/posts/2026-05-08-revelation-l-universite-bauman-forme-secretement-des-hackers-pour-le-gru-russe/
🌐 source : https://www.theguardian.com/world/2026/may/07/revealed-russia-top-secret-spy-school-hacking-western-electoral-interference
#APT28 #Fancy_Bear #Cyberveille
📢 CVE-2026-32202 : faille Windows Shell activement exploitée, liée à APT28
📝 ## 🗓️ Contexte
Publié le 28 avril 2026 par The Cyber Security Hub sur LinkedIn, cet article rapporte la confirmation par Microsoft de l'e...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-29-cve-2026-32202-faille-windows-shell-activement-exploitee-liee-a-apt28/
🌐 source : https://www.linkedin.com/pulse/warning-windows-shell-flaw-cve-2026-32202-actively-em86f
#APT28 #CVE_2026_21510 #Cyberveille
🗓️ Contexte Publié le 28 avril 2026 par The Cyber Security Hub sur LinkedIn, cet article rapporte la confirmation par Microsoft de l’exploitation active de CVE-2026-32202, une vulnérabilité affectant le composant Windows Shell, initialement corrigée lors du Patch Tuesday d’avril 2026. 🔍 Détails de la vulnérabilité CVE-2026-32202 : score CVSS 4.3, classée comme « protection mechanism failure » permettant des attaques de spoofing via le réseau Nécessite une interaction utilisateur (ouverture d’un fichier malveillant) Permet l’accès à des informations sensibles partielles, sans modification de données ni perturbation de disponibilité Découverte par Maor Dahan (Akamai), identifiée comme remédiation incomplète de CVE-2026-21510 Le 27 avril 2026, Microsoft a révisé son advisory pour corriger la classification d’exploitabilité, le vecteur CVSS et le statut d’exploitation.
📢 Patch incomplet d'APT28 : CVE-2026-21510 laisse place à CVE-2026-32202, coercition d'authentification zero-click
📝 ## 🔍 Contexte
Publié le 23 avril 2026 par Maor Daha...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-29-patch-incomplet-d-apt28-cve-2026-21510-laisse-place-a-cve-2026-32202-coercition-d-authentification-zero-click/
🌐 source : https://www.akamai.com/blog/security-research/incomplete-patch-apt28s-zero-day-cve-2026-32202
#APT28 #CVE_2026_21510 #Cyberveille
🔍 Contexte Publié le 23 avril 2026 par Maor Dahan (Akamai Security Research), cet article détaille la découverte d’une vulnérabilité résiduelle (CVE-2026-32202) résultant d’un patch incomplet de Microsoft pour CVE-2026-21510, une faille zero-day exploitée par le groupe APT28 (Fancy Bear). 🎯 Campagne initiale APT28 Selon CERT-UA, APT28 a lancé une cyberattaque ciblant l’Ukraine et plusieurs pays de l’UE en décembre 2025. La campagne utilisait un fichier LNK weaponisé exploitant deux vulnérabilités en chaîne :
Alerta en Windows: Un parche incompleto permite ataques «Zero-Click»
Una falla en la actualización de seguridad de Microsoft ha dejado una puerta abierta para que hackers vinculados a Rusia ejecuten ataques sin necesidad de interacción del usuario, poniendo en riesgo datos sensibles en toda Europa (Fuente Akamai).
La seguridad de Windows se enfrenta a una crisis de confianza tras el descubrimiento de un parche defectuoso. Según un informe de Akamai, una corrección lanzada inicialmente en febrero para mitigar una vulnerabilidad en SmartScreen resultó ser insuficiente. Este parche incompleto ha dado lugar a una nueva vulnerabilidad crítica (identificada como CVE-2026-32202), que permite ataques del tipo «Zero-Click» (sin clics). En estos ataques, el simple hecho de que un usuario visualice una carpeta que contenga un archivo malicioso permite al atacante forzar una autenticación automática con su servidor, robando las credenciales del usuario sin que este se dé cuenta.
El grupo de ciberespionaje ruso APT28 (también conocido como Fancy Bear) ha sido identificado como el principal explotador de esta brecha. Los investigadores señalan que el grupo ha estado utilizando archivos de acceso directo (.lnk) modificados para saltarse las protecciones de Windows y ejecutar código remoto. Al aprovechar el mecanismo de procesamiento de iconos de Windows Explorer, los atacantes logran que el sistema de la víctima envíe su «hash» de autenticación NTLM a un servidor remoto, lo que facilita el robo de identidad y el movimiento lateral dentro de redes corporativas y gubernamentales, especialmente en Ucrania y países de la Unión Europea.
Microsoft ha incluido una nueva corrección para este fallo específico en su tanda de parches de abril de 2026. Sin embargo, la persistencia de estas brechas subraya la complejidad de parchear sistemas heredados como Windows Shell y el framework MSHTML. Los expertos en ciberseguridad recomiendan encarecidamente a las organizaciones aplicar las últimas actualizaciones de forma inmediata y considerar la desactivación de protocolos de autenticación antiguos como NTLM en entornos sensibles para prevenir este tipo de «coerción de autenticación» que la IA y los grupos estatales están empezando a explotar con mayor frecuencia.
#akamai #apt28 #ciberseguridad #PORTADA #zeroClick
This blogpost covers the tooling and methodology we use at TDR to reverse engineer .NET malware. In our daily work, we encounter a wide range of malware, sophisticated or not, and a significant portion of it is written in .NET. Yet, the .NET reverse engineering ecosystem remains surprisingly thin, with few dedicated tools and few […]
APT28 campaign exposed 🚨
• 280+ inboxes compromised
• Ukraine + NATO targets
• 2-year espionage op
📢 La Russie intensifie ses cyberattaques destructives contre les infrastructures critiques européennes
📝 ## 🗞️ Contexte
Source : Politico EU — Article publié le 15 avril 2026.
📖 cyberveille : https://cyberveille.ch/posts/2026-04-15-la-russie-intensifie-ses-cyberattaques-destructives-contre-les-infrastructures-critiques-europeennes/
🌐 source : https://www.politico.eu/article/sweden-warns-russia-is-ramping-up-cyberattacks-on-critical-infrastructure/
#APT28 #GRU #Cyberveille
🗞️ Contexte Source : Politico EU — Article publié le 15 avril 2026. Le ministre suédois de la Défense civile, Carl-Oskar Bohlin, a tenu une conférence de presse à Stockholm pour alerter sur l’évolution des cyberattaques russes ciblant les infrastructures critiques européennes. ⚠️ Évolution de la menace Selon le ministre, les groupes pro-russes ont opéré un changement de tactique significatif : ils sont passés d’attaques par déni de service (DDoS) à des cyberattaques destructives visant des organisations en Europe. Ce changement est qualifié de comportement « plus risqué et plus imprudent » susceptible d’entraîner des dommages sociétaux réels.
Im eigenen Interesse:
https://freifunk-stuttgart.de/2026/04/13/hack-von-tp-link-und-mikrotik-geraeten/
Ein kurzer Blogeintrag von mir.
📢 Opération Masquerade : le DOJ neutralise un réseau de routeurs TP-Link détourné par APT28
📝 ## 🏛️ Contexte
Le 7 avril 2026, le Département de Justice américa...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-12-operation-masquerade-le-doj-neutralise-un-reseau-de-routeurs-tp-link-detourne-par-apt28/
🌐 source : https://www.justice.gov/opa/pr/justice-department-conducts-court-authorized-disruption-dns-hijacking-network-controlled
#APT28 #Actor_in_the_Middle #Cyberveille
🏛️ Contexte Le 7 avril 2026, le Département de Justice américain (DOJ) et le FBI ont publié un communiqué officiel annonçant la conclusion de l’Opération Masquerade, une opération technique autorisée par un tribunal visant à neutraliser un réseau de routeurs compromis sur le territoire américain. 🎯 Acteur de la menace L’opération cible l’Unité militaire 26165 du GRU (Direction principale du renseignement militaire russe), connue sous les alias APT28, Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear et Sednit. Cette unité est classifiée comme acteur étatique russe.
CyberVeille.ch
The Threat Codex
infosertecla.com
TechNadu
Phil 