Brèches de forums : Polymarket et PNC visés, correctif RCE pour Gemini CLI

Résumé

Les deux surfaces distinctes de la journée entrent en collision. Sur les forums clandestins, 47 publications présumées de brèches de données et 10 revendications de fuites ciblent des entreprises de services financiers américaines, des bases de données gouvernementales et des administrations régionales indonésiennes -- une forte concentration de victimes américaines sous un même groupe d'acteurs. Dans le domaine de la recherche publiée, Google a corrigé une RCE CVSS-10 dans son outil Gemini CLI, une faille logique du noyau Linux introduite en 2017 a été divulguée comme permettant une prise de contrôle root, et cPanel a reconnu qu'un contournement critique d'authentification avait été exploité comme zero-day pendant des mois. Les défenseurs doivent interpréter la tendance du jour comme un resserrement rapide de l'écart entre la couche de volume criminel (revendications sur forums, rançongiciels) et la couche de vulnérabilités stratégiques (outils IA, noyaux OS, panneaux d'hébergement).

Développements du jour

Les revendications sur forums se sont concentrées sur des victimes américaines. L'acteur xorcat a publié des brèches présumées de Polymarket, du système judiciaire de l'Arkansas et de la base de données des employés de l'État, de l'éditeur de logiciels KBROApp, de la base de données de l'application de pêche Lakemonster (43 773 comptes), et d'une série d'entités du marché français dont Yaaka et une vente de données agricoles ADEMI/AQUAES. L'acteur Fallen (postant également sous TheFallen) a compilé un portefeuille centré sur les États-Unis : Liberty Mutual Insurance, le fournisseur de commerce électronique American Luxury Unlimited, la société financière TastyFX, le détaillant Big Island Candies, American Investors Company, American Franchise Academy et une liste de « Particuliers à hauts revenus ». L'acteur AdminOwner a revendiqué des brèches présumées de données de l'US Air Force et une vente de 6 millions d'enregistrements liée aux clients de gestion de patrimoine et d'actifs de PNC, ainsi qu'une revendication distincte concernant la police nationale philippine et un trésor de 30 Go d'investisseurs émiratis. L'acteur GordonFreeman a publié un ensemble de données de 150 000 enregistrements du ministère de l'Éducation du Guatemala.

L'administration gouvernementale et l'éducation ont vu un groupe indonésien distinct. Mr. Hanz Xploit a revendiqué des brèches présumées de la régence de Jember, de l'agence fiscale régionale Bapenda Inhu et de l'Université Pembangunan Nasional « Veteran » Jakarta (UPNVJ) ; Xyph0rix a revendiqué une fuite de données de résidents de Yogyakarta. L'administration gouvernementale était le deuxième secteur victime le plus important de la journée derrière les entrées non spécifiées -- 15 des 150 événements. Cyber_Isnaad_Front a revendiqué une vente ciblant le fournisseur de défense israélien IMCO Industries Ltd. Les revendications de brèches françaises ciblaient ChimeraZ sur NEMEA Group (immobilier), ijpys sur Yomoni, et Lagui sur une « FRENCH DATABASE EASY CASH ». Une annonce distincte de Vave888 revendiquait un accès aux « données des bases de données Chase bank et Citibank ».

L'activité DDoS était concentrée sur trois pseudonymes d'acteurs. Order403 représentait 10 des 31 événements DDoS, NoName057(16) en représentait 6 -- ce dernier suivant son scénario établi de cibles alignées sur l'Ukraine -- avec des groupes plus petits de Payouts King et HellR00ters Team. Les opérateurs de rançongiciels ont réparti 23 événements sur la journée. L'histoire du rançongiciel dans la recherche publiée est arrivée séparément : Sandhills Medical a divulgué une brèche Inc Ransom affectant 170 000 personnes, la divulgation intervenant près d'un an après l'incident initial.

Les divulgations de vulnérabilités du jour se situaient en territoire critique :

• Google a corrigé une RCE de sévérité maximale (CVSS 10) dans Gemini CLI -- à la fois le package npm @google/gemini-cli et le workflow google-github-actions/run-gemini-cli -- qui permettait aux attaquants d'exécuter des commandes arbitraires sur les systèmes hôtes via une configuration malveillante implantée ; des failles compagnes dans Cursor ont également été corrigées.
• Une vulnérabilité d'élévation de privilèges locaux du noyau Linux de haute sévérité suivie sous CVE-2026-31431 (CVSS 7.8), nommée « Copy Fail » par Xint.io et ThreatGen, permet à un utilisateur local non privilégié d'obtenir root ; le bogue, dans le modèle cryptographique authenc du noyau, a été introduit en 2017 et affecte toutes les distributions majeures.
• SecurityWeek a rapporté qu'une faille critique de contournement d'authentification dans cPanel et WHM -- corrigée le 28 avril -- avait été exploitée comme zero-day pendant des mois avant la divulgation, permettant un accès administratif aux serveurs vulnérables.
• Claroty a divulgué deux failles EnOcean SmartServer (contournement de sécurité et exécution de code à distance) exposant les bâtiments utilisant la pile de protocole à une prise de contrôle à distance.

Deux éléments de la pile de logiciels malveillants complétaient la recherche publiée. Un nouveau framework de porte dérobée basé sur Python appelé DEEP#DOOR utilise une infrastructure de service de tunneling pour un accès persistant et une vaste récolte d'identifiants depuis les navigateurs et les services cloud. Une campagne distincte suivie par l'Atos Threat Research Center sous le nom d'EtherRAT, identifiée en mars 2026, distribue des charges utiles RAT via des façades GitHub se faisant passer pour des outils administratifs, ciblant spécifiquement les comptes à privilèges élevés d'administrateurs d'entreprise, d'ingénieurs DevOps et d'analystes de sécurité. Anthropic a séparément divulgué qu'elle ne publierait pas publiquement son modèle IA Mythos après que le modèle a découvert « des milliers de vulnérabilités logicielles jusqu'alors inconnues » dans les principaux systèmes d'exploitation et navigateurs, soulevant des questions de gouvernance sur la recherche offensive pilotée par l'IA.

Signaux du paysage des menaces

La concentration des trois principaux acteurs est significative : Order403, HellR00ters Team et Payouts King représentent ensemble 28 des 150 événements -- environ 19 % des publications de la journée. La géographie des cibles sur les forums penche fortement vers les victimes américaines (41 sur 150) suivies par les victimes gouvernementales et académiques indonésiennes (12). La concentration de la pile de vulnérabilités sur les outils IA, les composants internes du noyau Linux et les panneaux d'hébergement suggère que les défenseurs devraient pondérer ces surfaces dans la priorisation des correctifs : une RCE publiée dans un CLI IA utilisé à grande échelle par les développeurs, une faille du noyau datant de 2017 et un zero-day de panneau d'hébergement exploité pendant des mois sont tous des chemins en une seule étape vers un accès administratif. Le délai de divulgation de près d'un an d'Inc Ransom sur l'incident de Sandhills Medical est un rappel opérationnel que les délais entre la détection des brèches et la divulgation restent longs même après la pression réglementaire.