Campagne stego sur archive.org livrant Remcos et AsyncRAT via injecteur .NET

Selon un billet de blog technique signĂ© « Kirk » (28 fĂ©vrier 2026), une campagne active dĂ©tourne archive.org comme plateforme de distribution en dissimulant des injecteurs .NET dans des images JPEG 4K via stĂ©ganographie, afin de livrer en parallĂšle les RATs Remcos 7.1.0 Pro et AsyncRAT 1.0.7. — Contexte et technique de stĂ©ganographie đŸ§Ș — Les images (3840x2160) contiennent un bloc base64 de DLL .NET placĂ© aprĂšs le marqueur EOF JPEG (FF D9) Ă  l’offset 1 390 750, encadrĂ© par des marqueurs qui ont Ă©voluĂ© de BaseStart/-BaseEnd (24 fĂ©v.) Ă  IN-/==-in1 (25–28 fĂ©v.). Un dropper PowerShell tĂ©lĂ©charge l’image (WebClient.DownloadData), extrait le bloc par regex, puis charge l’assembly en mĂ©moire ([Reflection.Assembly]::Load). Les DLL injectĂ©es se font passer pour Microsoft.Win32.TaskScheduler.dll et embarquent l’injecteur Mandark (RunPE), avec un durcissement croissant (ConfuserEx, ressources chiffrĂ©es, RSA-1024, obfuscation). ...

2 mars 2026 Â· 3 min

ChaĂźne d’intrusion multistade via malvertising et faux CAPTCHA observĂ©e par Deception.Pro

Selon Deception.Pro, des chercheurs ont observĂ© durant une opĂ©ration de 12 jours une chaĂźne d’intrusion Ă  haute sĂ©vĂ©ritĂ© initiĂ©e par du malvertising et un faux CAPTCHA de type ClickFix. ‱ Le leurre incitait la victime Ă  coller une commande obfusquĂ©e dans la boĂźte de dialogue Windows Run, dĂ©clenchant une exĂ©cution emboĂźtĂ©e de cmd.exe. L’attaque testait la connectivitĂ© sortante via finger.exe (TCP/79), puis rĂ©cupĂ©rait depuis l’infrastructure attaquante un fichier se faisant passer pour un “PDF”, qui s’est avĂ©rĂ© ĂȘtre une archive compressĂ©e extraite localement avec les outils Windows. ...

2 mars 2026 Â· 2 min

Hydra Saiga (Yorotrooper) : espionnage ciblant eau & énergie avec C2 Telegram et outils LoTL

Selon VMRay Cybersecurity Blog (TLP: Green), une nouvelle Ă©tude dĂ©taille les opĂ©rations post‑exploitation de l’APT Hydra Saiga (a.k.a. Yorotrooper/ShadowSilk/Silent Lynx), active depuis au moins 2021, avec ciblage d’infrastructures critiques et usage systĂ©matique de Telegram comme C2. L’étude met en avant une activitĂ© soutenue jusqu’à fin 2025, une victimologie Ă©tendue (gouvernements, Ă©nergie, eau, santĂ©, juridique, industrie, Ă©ducation, aviation) et une empreinte gĂ©opolitique cohĂ©rente avec une attribution au Kazakhstan (rythme UTC+5 et pauses lors des fĂȘtes nationales). Le groupe a compromis au moins 34 organisations dans 8 pays, avec plus de 200 cibles en reconnaissance. Un marqueur distinctif est l’usage du Telegram Bot API pour piloter des implants. ...

2 mars 2026 Â· 3 min

OpenClaw : failles critiques, risques d’agent IA et gestion du Shadow AI

Source: : kaspersky.fr — article signĂ© par Stan Kaminsky (27 fĂ©v. 2026). L’auteur analyse les menaces posĂ©es par OpenClaw (ex‑Clawdbot/Moltbot), un agent d’IA open source local se branchant Ă  WhatsApp, Telegram, Signal, Discord et Slack, dotĂ© d’un accĂšs Ă©tendu (fichiers, email, calendrier, navigateur, shell) et orchestrĂ© via une passerelle. Devenu viral dĂšs janvier 2026, le projet a connu une vague de problĂšmes de sĂ©curitĂ© (failles critiques, « skills » malveillantes, fuites de secrets via Moltbook), un conflit de marque avec Anthropic et mĂȘme le dĂ©tournement de son compte X pour des arnaques crypto. Le tout recoupe les risques de l’OWASP Top 10 for Agentic Applications. ...

2 mars 2026 Â· 4 min

Reconnaissance massive contre les VPN SonicWall via proxys commerciaux (84 000+ scans en 4 jours)

Source: GreyNoise — GreyNoise documente une campagne de reconnaissance Ă  grande Ă©chelle entre le 22 et le 25 fĂ©vrier 2026 ciblant les pare-feux SonicWall SonicOS/SSL VPN. En quatre jours, 84 142 sessions issues de 4 305 IPs (20 AS) ont principalement sondĂ© un unique endpoint API afin d’identifier les Ă©quipements avec SSL VPN activĂ©, Ă©tape prĂ©alable aux attaques par identifiants. L’exploitation de CVE est restĂ©e marginale, confirmant une phase de cartographie d’attaque. Le risque est Ă©levĂ© car l’accĂšs initial via SonicWall SSL VPN est un vecteur courant de rançongiciel (notamment Akira et Fog), avec des cas d’encryption < 4 h. ...

2 mars 2026 Â· 4 min

Un module Go usurpant golang.org/x/crypto vole des mots de passe et déploie la backdoor Linux Rekoobe

Selon Socket (Threat Research Team), un module Go malveillant imitant le dĂ©pĂŽt de confiance golang.org/x/crypto — publiĂ© comme github[.]com/xinfeisoft/crypto — a Ă©tĂ© dĂ©couvert avec une porte dĂ©robĂ©e insĂ©rĂ©e dans ssh/terminal/terminal.go. Cette usurpation cible un composant fondamental de l’écosystĂšme Go afin de collecter des secrets saisis via ReadPassword et de livrer une chaĂźne d’infection Linux. — DĂ©tail du leurre et de l’implant — Technique d’usurpation (« namespace confusion »): clone du code x/crypto avec faible modification apparente, ajoutant notamment la dĂ©pendance github.com/bitfield/script pour faciliter les requĂȘtes HTTP et l’exĂ©cution de commandes. Backdoor dans ReadPassword: capture du secret, Ă©criture locale dans /usr/share/nano/.lock, rĂ©cupĂ©ration d’un pointeur d’“update” hĂ©bergĂ© sur GitHub Raw, exfiltration du mot de passe via HTTP POST, puis exĂ©cution d’un script reçu cĂŽtĂ© attaquant via /bin/sh. ÉcosystĂšme et persistance: l’acteur utilise un fichier update.html sur GitHub comme canal de configuration (rotation d’URL sans republier le module). Le module a Ă©tĂ© servi par le miroir public Go jusqu’au 16 dĂ©cembre 2025; la Go security team le bloque dĂ©sormais via le proxy (403 SECURITY ERROR), tandis que le compte GitHub de l’éditeur reste public au moment de la rĂ©daction. — ChaĂźne d’exĂ©cution Linux et charges — ...

2 mars 2026 Â· 3 min

Zerobot (Mirai) exploite des failles Tenda AC1206 et n8n pour propager son botnet

Selon Akamai Security Intelligence and Response Team (SIRT), une campagne active du botnet Mirai « Zerobot » exploite depuis mi-janvier 2026 des vulnĂ©rabilitĂ©s rĂ©cemment divulguĂ©es dans les routeurs Tenda AC1206 (CVE-2025-7544) et la plateforme d’automatisation n8n (CVE-2025-68613). C’est la premiĂšre exploitation active rapportĂ©e depuis leurs divulgations respectives (juillet et dĂ©cembre 2025). L’article publie des IOCs ainsi que des rĂšgles Snort et Yara. VulnĂ©rabilitĂ©s ciblĂ©es: CVE-2025-7544: dĂ©bordement de pile Ă  distance sur le point de terminaison /goform/setMacFilterCfg des Tenda AC1206 v15.03.06.23 via le paramĂštre deviceList, conduisant Ă  DoS/RCE (PoC public disponible). CVE-2025-68613: RCE dans l’évaluation des expressions de n8n (versions 0.211.0 Ă  1.20.4, puis 1.21.1 et 1.22.0) due Ă  l’absence de sandboxing, permettant exĂ©cution de code, lecture/Ă©criture de fichiers, vol d’env vars et persistance avec un simple compte utilisateur non-admin (PoC public disponible). Exploitation observĂ©e (honeypots Akamai) đŸ§Ș: ...

2 mars 2026 Â· 3 min

DarkCloud : un infostealer VB6 Ă  bas coĂ»t pour le vol massif d’identifiants

Source: Flashpoint — Flashpoint publie une analyse technique de DarkCloud, un infostealer commercialisĂ© depuis 2022 par « Darkcloud Coder » (ex-« BluCoder »), vendu via Telegram et un site clearnet dĂšs 30 $, et prĂ©sentĂ© publiquement comme « logiciel de surveillance » alors qu’il est centrĂ© sur le vol d’identifiants Ă  grande Ă©chelle. 🔐 Langage et Ă©vasion. DarkCloud est Ă©crit en Visual Basic 6.0 et compilĂ© en binaire natif C/C++. L’usage de composants runtime legacy (ex. MSVBVM60.DLL) contribuerait Ă  rĂ©duire les dĂ©tections par rapport Ă  des Ă©quivalents C/C++ selon des scans VirusTotal effectuĂ©s par les analystes. L’outil emploie une obfuscation/ chiffrement de chaĂźnes en couches, fondĂ©e sur le PRNG VB6 (Rnd()) avec clĂ©s Base64, chaĂźnes hex, calcul de seed custom, reset du PRNG Ă  un Ă©tat connu, puis itĂ©rations pour reconstruire les chaĂźnes en clair — une approche visant Ă  complexifier l’analyse sans recourir Ă  une crypto innovante. đŸ§Ș ...

26 fĂ©vrier 2026 Â· 3 min

Des acteurs nord-coréens adoptent le ransomware Medusa, avec des tentatives contre la santé américaine

Selon l’extrait d’actualitĂ© fourni (26 fĂ©vrier 2026), des Ă©quipes de menaces nord-corĂ©ennes ont Ă©tĂ© observĂ©es utilisant le ransomware Medusa, avec des activitĂ©s visant notamment le secteur de la santĂ© amĂ©ricain et une cible au Moyen-Orient. 🚹 Faits saillants Nouvel outil: adoption de Medusa par des acteurs nord-corĂ©ens, en plus des souches Maui et Play dĂ©jĂ  associĂ©es Ă  eux. Ciblage: une attaque au Moyen-Orient attribuĂ©e Ă  ces acteurs ; tentative infructueuse contre une organisation de santĂ© aux États-Unis. Extorsion en cours: le site de fuites de Medusa recense des attaques contre quatre organisations de santĂ© et Ă  but non lucratif aux États-Unis depuis dĂ©but novembre 2025. 🧠 Contexte Medusa (RaaS) ...

26 fĂ©vrier 2026 Â· 2 min

Exploitation active de CVE-2026-20127 dans Cisco Catalyst SD‑WAN par l’acteur UAT‑8616

Contexte: Cisco Talos signale une exploitation active visant Cisco Catalyst SD‑WAN Controller (ex‑vSmart), dĂ©taillant la vulnĂ©rabilitĂ© CVE-2026-20127, les modes opĂ©ratoires de l’acteur « UAT‑8616 » et des pistes de dĂ©tection et de chasse. ‱ VulnĂ©rabilitĂ© et impact. Une faille d’authentification (CVE-2026-20127) permet Ă  un attaquant distant non authentifiĂ© de contourner l’authentification et d’obtenir des privilĂšges administratifs sur le contrĂŽleur, comme compte interne Ă  hauts privilĂšges (non‑root). Talos observe une exploitation active et remonte des traces d’activitĂ© depuis au moins 2023. L’acteur, UAT‑8616 (Ă©valuĂ© hautement sophistiquĂ©), a ensuite escaladĂ© vers root via un downgrade logiciel, a exploitĂ© CVE-2022-20775, puis a restaurĂ© la version d’origine, obtenant l’accĂšs root. Cette campagne s’inscrit dans la cible rĂ©currente des Ă©quipements de bordure rĂ©seau des organisations Ă  forte valeur, y compris les infrastructures critiques. ...

26 fĂ©vrier 2026 Â· 3 min
Derniùre mise à jour le: 5 juillet 2026 📝