Analyse Technique

Dans une publication technique, l’auteur dissèque le module sysrq_hook.c du rootkit LKM Singularity (ciblant Linux 6.x) et montre comment il intercepte les routines de diagnostic du noyau — Magic SysRq et le chemin OOM — pour empêcher l’affichage de processus cachés directement dans le buffer de logs kernel. Le texte rappelle que Magic SysRq (par /proc/sysrq-trigger ou Alt+SysRq+<touche>) exécute des diagnostics entièrement côté noyau et écrit via printk() dans le ring buffer, échappant aux hooks usuels sur /proc ou getdents. Les commandes SysRq-T (état des tâches) et SysRq-F (chemin OOM) produisent des listes de processus directement depuis la mémoire kernel. Des rootkits LKM connus comme Kovid ou diamorphine, qui se contentent d’intercepter filldir*/getdents et parfois des lectures de dmesg, se font contourner: des PIDs « cachés » réapparaissent dans les sorties SysRq-T et OOM, car les données sont déjà imprimées dans le ring buffer avant toute filtration en espace utilisateur. ...

Selon Cyderes – Howler Cell Threat Research Team (publié le 16 février 2026), 0APT est un ransomware écrit en Rust apparu avec une campagne de bluff revendiquant plus de 200 victimes, mais sans preuves vérifiables; l’équipe a néanmoins confirmé l’existence d’une plateforme RaaS fonctionnelle et de charges malveillantes opérationnelles. Cyderes souligne des doutes sur la crédibilité des fuites: un site onion listait de nombreuses victimes avant de disparaître, la section « leaks » du panneau RaaS propose des archives prétendument volumineuses qui ne se téléchargent pas, et aucune capture de données compromises n’est fournie. Les annonces massives et rapides (≈200 victimes) sans artefacts contredisent les pratiques des groupes de rançongiciels matures, renforçant l’hypothèse d’une campagne de bluff destinée à impressionner. ...

Zscaler ThreatLabz publie une analyse technique d’« Marco Stealer », observé pour la première fois en juin 2025. Le malware cible prioritairement les données de navigateurs, les portefeuilles de cryptomonnaies et des fichiers sensibles, en chiffrant les exfiltrations et en employant de multiples mécanismes d’évasion. • Chaîne d’attaque et anti-analyse 🧪 Un téléchargeur (downloader) déchiffre des chaînes (AES-128 ECB) pour générer et exécuter une commande PowerShell téléchargeant l’exécutable de Marco Stealer depuis une URL externe vers %TEMP%. Mutex statique: Global\ItsMeRavenOnYourMachineed ; PDB: C:\Users\marco\Desktop\Builder\Builder\Client\Client\x64\Release\Client.pdb. Chaînes chiffrées par un algorithme ARX (proche de ChaCha20), déchiffrées à l’exécution. Détection/arrêt d’outils d’analyse (ex. x64dbg, Wireshark, Process Hacker, OllyDbg, et une longue liste en annexe) via inspection des métadonnées de version des exécutables. Vérification de connectivité (google.com) sinon auto-suppression; récupération IP et pays via ipinfo.io. • Collecte et périmètre visé 🕵️‍♂️ ...

Contexte: source non précisée; publication datée du 4 février 2026. En octobre 2023, CISA a ajouté à la base KEV (Known Exploited Vulnerabilities) le champ knownRansomwareCampaignUse pour aider à la priorisation des vulnérabilités. L’auteur rappelle que s’appuyer sur KEV est déjà un indicateur retardé, et attendre en plus le flag ransomware l’est encore davantage, même si les équipes ont parfois besoin de preuves solides pour agir. CISA ne se contente pas d’annoter les nouvelles entrées : l’agence met à jour silencieusement des fiches existantes. Lorsque le champ passe de « Unknown » à « Known », CISA indique disposer de preuves d’usage par des opérateurs de ransomware — un changement matériel de posture de risque qui devrait modifier la priorisation. ...

🔍 Contexte Publié le 31 mars 2026 sur le blog lr0.org, cet article analyse le code source TypeScript de Claude Code (outil CLI d’Anthropic), accidentellement exposé via un fichier source map non obfusqué (cli.js.map). Le dépôt miroir a été publié sur GitHub à l’adresse https://github.com/chatgptprojects/claude-code. Le code comprend 1 897 fichiers pour environ 132 000 lignes de code. 🚨 Nature de la fuite Anthropic a accidentellement inclus un fichier source map (cli.js.map) dans une version publique de Claude Code, exposant l’intégralité du code TypeScript non obfusqué. Ce type de fuite révèle la logique interne, les commandes cachées, les flags expérimentaux et les mécanismes de sécurité. ...

🔍 Contexte Publié le 31 mars 2026 sur le blog Objective-See par Patrick Wardle, cet article constitue une analyse technique approfondie de l’implémentation des protections anti-ClickFix intégrées nativement dans macOS 26.4 par Apple, ainsi que de leur relation avec le framework Endpoint Security (ES). 🎯 La technique ClickFix ClickFix est une technique d’infection largement adoptée ciblant macOS et Windows. Elle repose sur la manipulation sociale : convaincre un utilisateur de copier-coller une commande malveillante dans un terminal. Cette technique permet de contourner des protections OS comme Gatekeeper et Notarization sur macOS. Elle est désormais utilisée aussi bien par des cybercriminels opportunistes que par des acteurs plus sophistiqués. ...

🌐 Contexte Publié le 3 mars 2026 sur le datatracker de l’IETF (https://datatracker.ietf.org/doc/rfc9849/), ce document constitue la RFC 9849, un standard de la catégorie Standards Track produit par le groupe de travail TLS de l’IETF. Les auteurs sont Eric Rescorla (Independent), Kazuho Oku (Fastly), Nick Sullivan (Cryptography Consulting LLC) et Christopher A. Wood (Apple). 🔐 Objet du standard La RFC 9849 spécifie le mécanisme TLS Encrypted Client Hello (ECH), une extension TLS permettant aux clients de chiffrer leur message ClientHello sous la clé publique du serveur. Ce mécanisme protège notamment : ...

Selon Trend Micro (US), une attaque de type watering hole a compromis la page de téléchargement d’EmEditor fin 2025 afin de distribuer un installeur MSI modifié qui déploie un malware multi‑étapes. • Contexte et cible. EmEditor, éditeur de texte populaire (notamment au sein des communautés de développeurs japonaises), a publié un avis de sécurité fin décembre 2025 signalant la compromission de sa page de téléchargement. L’objectif des attaquants: diffuser un installeur altéré déclenchant discrètement une chaîne d’infection post‑installation, augmentant la dwell time et les risques de perturbation opérationnelle. ...

Source : S2W (S2W TALON) sur Medium — janvier 2026. Le rapport retrace l’évolution de LockBit (ABCD→LockBit, 2.0→3.0→4.0→5.0) et son retour après une période de réorganisation post-Operation CRONOS, avec un programme d’affiliation remanié (inscription à 500 $), de nouveaux domaines DLS fin 2025, et des signaux de reprise d’activité sur RAMP/XSS. • Architecture et anti-analyse 🔍 Binaire 5.0 dit « ChoungDong », composé d’un Loader et d’un module Ransomware. Techniques d’anti-analyse/obfuscation renforcées (sauts indirects, dummy code), résolution d’API par hachage custom, anti-debug, et hollowing dans defrag.exe. Patch ETW (désactivation d’EtwEventWrite) et élévation de privilèges via ajustement de jeton. • Cryptographie et chiffrement 🔐 ...

Source: S2W — S2W TALON (Byeongyeol An) publie le 14 janvier 2026 une analyse approfondie de DragonForce, un ransomware actif depuis fin 2023, détaillant son fonctionnement, ses liens avec d’autres groupes, ses TTPs et la découverte de déchiffreurs dédiés. — Contexte et évolution — • Découvert le 13 décembre 2023 via un post sur BreachForums, le groupe « DragonForce » maintient un DLS (Data Leak Site) et comptait déjà 17 victimes à cette date. En juin 2024, il officialise son modèle RaaS sur le forum RAMP (affiliés IAB, pentesters solo/équipes), promettant 80% des rançons aux affiliés et revendiquant une organisation de type « cartel ». Le groupe propose un service « Ransombay » pour des charges utiles personnalisées. ...