Analyse De Menace

Selon Qrator Research Lab (26 février 2026), un nouveau loader de botnet nommé Aeternum C2 exploite la blockchain Polygon pour héberger ses commandes de contrôle, contournant les méthodes classiques de démantèlement. Aeternum C2 est un loader natif C++ (x32/x64) dont l’originalité est de stocker chaque commande de C2 dans des smart contracts Polygon, que les hôtes infectés lisent via des endpoints RPC publics. L’opérateur pilote le tout via un panneau web : sélection d’un contrat, type d’action (tous les bots, ciblage par HWID, chargement de DLL), URL de payload, puis écriture on-chain. Les commandes sont confirmées sur la chaîne et diffusées aux bots en 2 à 3 minutes. Plusieurs contrats peuvent coexister (ex. « Clipper », « Get Sys Info DLL », « ps1 », « .bat », « putty.exe »), chacun lié à une adresse Polygon. ...

Selon une analyse de Neil Lofland publiée le 2 mars 2026, une campagne mondiale de distribution de malware abuse de la confiance des utilisateurs via des sites WordPress compromis et une imitation de vérification Cloudflare afin d’installer AMOS (Atomic macOS Stealer) sur macOS. • L’attaque s’appuie sur un Traffic Delivery System (TDS) ultra-sélectif qui masque l’injection aux scanners, VPN, datacenters et outils d’analyse. L’accès malveillant est servi uniquement aux visiteurs “grand public” (IP résidentielles, empreintes navigateur cohérentes), rendant la compromission quasi invisible aux contrôles automatisés. ...

Selon kmsec-uk, un suivi continu des dépôts npm a détecté entre le 25 et le 26 février 2026 dix-sept nouveaux paquets malveillants embarquant un chargeur inédit recourant à Pastebin et à une stéganographie textuelle, une évolution attribuée aux tests rapides de FAMOUS CHOLLIMA (DPRK). L’attaque s’appuie sur un script d’installation npm (node ./scripts/test/install.js) qui sert de leurre et exécute un JavaScript malveillant unique placé sous vendor/scrypt-js/version.js. Ce composant contacte trois pastes Pastebin en séquence, dont le premier valide interrompt la boucle. Le contenu des pastes, en apparence bénin mais truffé de fautes subtiles, est décodé via une stéganographie textuelle sur mesure pour produire une liste d’hôtes C2 sur Vercel. ...

Selon un billet de blog technique signé « Kirk » (28 février 2026), une campagne active détourne archive.org comme plateforme de distribution en dissimulant des injecteurs .NET dans des images JPEG 4K via stéganographie, afin de livrer en parallèle les RATs Remcos 7.1.0 Pro et AsyncRAT 1.0.7. — Contexte et technique de stéganographie 🧪 — Les images (3840x2160) contiennent un bloc base64 de DLL .NET placé après le marqueur EOF JPEG (FF D9) à l’offset 1 390 750, encadré par des marqueurs qui ont évolué de BaseStart/-BaseEnd (24 fév.) à IN-/==-in1 (25–28 fév.). Un dropper PowerShell télécharge l’image (WebClient.DownloadData), extrait le bloc par regex, puis charge l’assembly en mémoire ([Reflection.Assembly]::Load). Les DLL injectées se font passer pour Microsoft.Win32.TaskScheduler.dll et embarquent l’injecteur Mandark (RunPE), avec un durcissement croissant (ConfuserEx, ressources chiffrées, RSA-1024, obfuscation). ...

Selon Deception.Pro, des chercheurs ont observé durant une opération de 12 jours une chaîne d’intrusion à haute sévérité initiée par du malvertising et un faux CAPTCHA de type ClickFix. • Le leurre incitait la victime à coller une commande obfusquée dans la boîte de dialogue Windows Run, déclenchant une exécution emboîtée de cmd.exe. L’attaque testait la connectivité sortante via finger.exe (TCP/79), puis récupérait depuis l’infrastructure attaquante un fichier se faisant passer pour un “PDF”, qui s’est avéré être une archive compressée extraite localement avec les outils Windows. ...

Selon VMRay Cybersecurity Blog (TLP: Green), une nouvelle étude détaille les opérations post‑exploitation de l’APT Hydra Saiga (a.k.a. Yorotrooper/ShadowSilk/Silent Lynx), active depuis au moins 2021, avec ciblage d’infrastructures critiques et usage systématique de Telegram comme C2. L’étude met en avant une activité soutenue jusqu’à fin 2025, une victimologie étendue (gouvernements, énergie, eau, santé, juridique, industrie, éducation, aviation) et une empreinte géopolitique cohérente avec une attribution au Kazakhstan (rythme UTC+5 et pauses lors des fêtes nationales). Le groupe a compromis au moins 34 organisations dans 8 pays, avec plus de 200 cibles en reconnaissance. Un marqueur distinctif est l’usage du Telegram Bot API pour piloter des implants. ...

Source: : kaspersky.fr — article signé par Stan Kaminsky (27 fév. 2026). L’auteur analyse les menaces posées par OpenClaw (ex‑Clawdbot/Moltbot), un agent d’IA open source local se branchant à WhatsApp, Telegram, Signal, Discord et Slack, doté d’un accès étendu (fichiers, email, calendrier, navigateur, shell) et orchestré via une passerelle. Devenu viral dès janvier 2026, le projet a connu une vague de problèmes de sécurité (failles critiques, « skills » malveillantes, fuites de secrets via Moltbook), un conflit de marque avec Anthropic et même le détournement de son compte X pour des arnaques crypto. Le tout recoupe les risques de l’OWASP Top 10 for Agentic Applications. ...

Source: GreyNoise — GreyNoise documente une campagne de reconnaissance à grande échelle entre le 22 et le 25 février 2026 ciblant les pare-feux SonicWall SonicOS/SSL VPN. En quatre jours, 84 142 sessions issues de 4 305 IPs (20 AS) ont principalement sondé un unique endpoint API afin d’identifier les équipements avec SSL VPN activé, étape préalable aux attaques par identifiants. L’exploitation de CVE est restée marginale, confirmant une phase de cartographie d’attaque. Le risque est élevé car l’accès initial via SonicWall SSL VPN est un vecteur courant de rançongiciel (notamment Akira et Fog), avec des cas d’encryption < 4 h. ...

Selon Socket (Threat Research Team), un module Go malveillant imitant le dépôt de confiance golang.org/x/crypto — publié comme github[.]com/xinfeisoft/crypto — a été découvert avec une porte dérobée insérée dans ssh/terminal/terminal.go. Cette usurpation cible un composant fondamental de l’écosystème Go afin de collecter des secrets saisis via ReadPassword et de livrer une chaîne d’infection Linux. — Détail du leurre et de l’implant — Technique d’usurpation (« namespace confusion »): clone du code x/crypto avec faible modification apparente, ajoutant notamment la dépendance github.com/bitfield/script pour faciliter les requêtes HTTP et l’exécution de commandes. Backdoor dans ReadPassword: capture du secret, écriture locale dans /usr/share/nano/.lock, récupération d’un pointeur d’“update” hébergé sur GitHub Raw, exfiltration du mot de passe via HTTP POST, puis exécution d’un script reçu côté attaquant via /bin/sh. Écosystème et persistance: l’acteur utilise un fichier update.html sur GitHub comme canal de configuration (rotation d’URL sans republier le module). Le module a été servi par le miroir public Go jusqu’au 16 décembre 2025; la Go security team le bloque désormais via le proxy (403 SECURITY ERROR), tandis que le compte GitHub de l’éditeur reste public au moment de la rédaction. — Chaîne d’exécution Linux et charges — ...

Selon Akamai Security Intelligence and Response Team (SIRT), une campagne active du botnet Mirai « Zerobot » exploite depuis mi-janvier 2026 des vulnérabilités récemment divulguées dans les routeurs Tenda AC1206 (CVE-2025-7544) et la plateforme d’automatisation n8n (CVE-2025-68613). C’est la première exploitation active rapportée depuis leurs divulgations respectives (juillet et décembre 2025). L’article publie des IOCs ainsi que des règles Snort et Yara. Vulnérabilités ciblées: CVE-2025-7544: débordement de pile à distance sur le point de terminaison /goform/setMacFilterCfg des Tenda AC1206 v15.03.06.23 via le paramètre deviceList, conduisant à DoS/RCE (PoC public disponible). CVE-2025-68613: RCE dans l’évaluation des expressions de n8n (versions 0.211.0 à 1.20.4, puis 1.21.1 et 1.22.0) due à l’absence de sandboxing, permettant exécution de code, lecture/écriture de fichiers, vol d’env vars et persistance avec un simple compte utilisateur non-admin (PoC public disponible). Exploitation observée (honeypots Akamai) 🧪: ...