Xloader v8.1+ : nouvelles techniques d'obfuscation et protocole C2 détaillés

🔍 Contexte Publié le 31 mars 2026 par ThreatLabz (Zscaler), cet article constitue une analyse technique approfondie des évolutions introduites dans Xloader à partir de la version 8.1, un malware de type stealer/loader issu du rebranding de FormBook. 🛡️ Nouvelles techniques d’obfuscation (v8.1+) Xloader v8.1 introduit plusieurs améliorations significatives pour contrer l’analyse automatisée et le reverse engineering : Construction désordonnée des paramètres « eggs » : les marqueurs de début et de fin des fonctions chiffrées sont désormais construits dans un ordre aléatoire et octet par octet, rendant le pattern matching inefficace. Obfuscation des prédicats opaques : les valeurs constantes hardcodées sont chiffrées via des opérations XOR au niveau bit, y compris les octets de prologue de fonctions. Routine de déchiffrement personnalisée obfusquée : la fonction de déchiffrement passe désormais par une structure de paramètres contenant des valeurs hardcodées chiffrées (ex. : déchiffrement de la taille de la S-box via la valeur 0x25 + 0xDB). L’outil Miasm framework est recommandé pour reconstruire statiquement la pile obfusquée. 🌐 Protocole réseau et communication C2 Objectifs principaux d’Xloader : ...

5 avril 2026 · 3 min

36 packages npm malveillants ciblant Strapi CMS déploient RCE Redis, vol de BDD et C2 persistant

🎯 Contexte Publié le 3 avril 2026 par SafeDep, cet article documente une campagne de supply chain attack via npm ciblant spécifiquement les déploiements Strapi CMS d’une plateforme de paiement en cryptomonnaies identifiée comme Guardarian. La campagne s’est déroulée sur une fenêtre de 13 heures le 3 avril 2026. 📦 Vecteur d’attaque Trente-six packages npm malveillants ont été publiés via 4 comptes sock-puppet (umarbek1233, kekylf12, tikeqemif26, umar_bektembiev1), tous imitant la convention de nommage strapi-plugin-* avec la version 3.6.8 pour paraître légitimes. Chaque package contient 3 fichiers (package.json, index.js, postinstall.js), le payload s’exécutant automatiquement via le hook postinstall sans interaction utilisateur. ...

4 avril 2026 · 4 min

Cifrat : analyse d'un RAT Android multi-stages distribué via phishing Booking.com

🔍 Contexte Publié le 4 avril 2026 par CERT Polska, cet article présente une analyse technique approfondie d’un malware Android inédit baptisé cifrat (dérivé du nom de package io.cifnzm.utility67pu), distribué via une infrastructure d’hameçonnage imitant Booking.com. 🎣 Vecteur d’infection initial La chaîne d’infection débute par un email de phishing incitant la victime à cliquer sur un lien qui redirige successivement via : share.google/Yc9fcYQCgnKxNfRmH booking.interaction.lat/starting/ Cette page présente une fausse invite de mise à jour de sécurité Booking.com et déclenche le téléchargement d’un APK malveillant : com.pulsebookmanager.helper.apk. ...

4 avril 2026 · 4 min

Analyse technique : fonctionnement des exit nodes Tailscale et modèle de confiance réseau

📅 Source : tech.stonecharioteer.com, publié le 31 mars 2026. Article technique personnel décrivant une expérimentation approfondie des exit nodes Tailscale sur une infrastructure domestique (Proxmox LXC). 🔧 Architecture technique Tailscale repose sur WireGuard comme plan de données, auquel il ajoute un plan de contrôle gérant : l’identité/SSO, la découverte de pairs, la traversée NAT, la distribution des ACL et routes, MagicDNS, et la révocation rapide de dispositifs. Le flux de connexion entre pairs : ...

3 avril 2026 · 2 min

BadAML : exécution de code arbitraire dans des VMs confidentielles via les tables ACPI

🔍 Contexte Article technique publié le 26 mars 2026 par Paul Meyer (Edgeless Systems) sur le blog katexochen.aro.bz. L’auteur décrit la reproduction complète de l’attaque BadAML contre la plateforme Contrast (runtime Kubernetes basé sur des CVMs) et la mise en place d’une mitigation. 🎯 Description de l’attaque BadAML BadAML est une attaque exploitant les tables ACPI fournies par l’hôte pour obtenir une exécution de code arbitraire à l’intérieur de VMs confidentielles (CVMs), contournant leurs garanties d’isolation mémoire. ...

3 avril 2026 · 2 min

Mustang Panda : analyse technique approfondie de la chaîne d'infection PlugX ciblant l'Iran

🔍 Contexte Publié le 27 mars 2026 sur le blog personnel d’Abdullah Islam, cet article constitue une analyse technique approfondie d’une campagne attribuée au groupe APT Mustang Panda (lié à la Chine), ciblant des entités gouvernementales, diplomatiques et des ONG. L’échantillon analysé a été observé pour la première fois le 17 mars 2026. 🎯 Vecteur d’infection initial La chaîne d’infection débute par un fichier ZIP de spear-phishing nommé Energy_Infrastructure_Situation_Note_Tehran_Province_2026.zip, suggérant un ciblage lié à l’infrastructure énergétique iranienne. Un fichier LNK malveillant déclenche silencieusement un script PowerShell en fenêtre cachée (-w H). ...

3 avril 2026 · 3 min

Attaque supply chain npm : axios compromis 2h54min par UNC1069 via token volé

🗓️ Contexte Article publié le 2 avril 2026 par CodeAnt AI, analysant en détail l’attaque supply chain ayant ciblé la bibliothèque JavaScript axios sur le registre npm le 31 mars 2026. Axios est le client HTTP JavaScript le plus utilisé au monde avec plus de 100 millions de téléchargements hebdomadaires. 🔓 Vecteur d’accès initial L’attaquant a obtenu un token npm classique à longue durée de vie appartenant au mainteneur principal (jasonsaayman). Ce type de token ne possède ni expiration, ni MFA, ni vérification de session. Il a permis de publier directement sur le registre sans passer par le mécanisme OIDC Trusted Publisher habituellement utilisé par les releases légitimes d’axios. ...

2 avril 2026 · 4 min

Progress ShareFile : chaîne RCE pré-authentifiée via CVE-2026-2699 et CVE-2026-2701

🔍 Contexte Publié le 2 avril 2026 par watchTowr Labs, cet article détaille la découverte et l’exploitation de deux vulnérabilités critiques dans Progress ShareFile Storage Zone Controller (branche 5.x), un composant on-premises permettant aux entreprises de stocker leurs fichiers sur leur propre infrastructure tout en utilisant l’interface SaaS ShareFile. Environ 30 000 instances sont exposées sur Internet. 🐛 Vulnérabilités identifiées CVE-2026-2699 / WT-2026-0006 : Contournement d’authentification via une faille de type CWE-698 (Execution After Redirect / EAR). La fonction RedirectAndCompleteRequest() appelle Response.Redirect() avec le flag booléen false, ce qui ne termine pas l’exécution de la page. Le contenu de /ConfigService/Admin.aspx est ainsi rendu malgré la redirection 302 vers la page de login. ...

2 avril 2026 · 2 min

PXA Stealer : analyse technique d'une campagne de phishing ciblant les institutions financières mondiales

🔍 Contexte Publié le 25 mars 2026 par la CyberProof Research Team (Niranjan Jayanand, Veena Sagar, Karthik Joseph, Archana Manoharan), cet article présente une analyse technique approfondie d’une campagne PXA Stealer observée au Q1 2026, ciblant principalement des institutions financières mondiales. 📈 Contexte de la menace Suite aux démantèlements en 2025 des infostealers majeurs (Lumma, Rhadamanthys, RedLine), PXA Stealer a comblé le vide laissé avec une croissance estimée de 8 à 10%. Cette campagne présente des différences par rapport aux recherches publiques précédentes d’août 2025, notamment via le cluster identifié par le BOT_ID « Verymuchxbot ». ...

2 avril 2026 · 3 min

TasksJacker : campagne DPRK compromet 400+ dépôts GitHub via VS Code tasks.json et C2 blockchain

🔍 Contexte Rapport publié le 2 avril 2026 par OpenSourceMalware.com, issu d’une investigation débutée le 31 janvier 2026. L’analyse documente une campagne active baptisée TasksJacker, attribuée avec un niveau de confiance MEDIUM-HIGH à des acteurs liés à la Corée du Nord (DPRK). 🎯 Vecteur d’attaque principal Les attaquants injectent des fichiers .vscode/tasks.json malveillants dans des dépôts GitHub compromis. La fonctionnalité "runOn": "folderOpen" de VS Code déclenche automatiquement l’exécution d’une commande shell dès qu’un développeur ouvre le dossier cloné — sans interaction utilisateur supplémentaire. ...

2 avril 2026 · 4 min
Dernière mise à jour le: 5 juillet 2026 📝