Edgecution : un broker d'accÚs initial déploie une extension Edge malveillante liée à Payouts King

🔍 Contexte PubliĂ© le 23 juin 2026 par Zscaler ThreatLabz, cet article prĂ©sente une analyse technique approfondie d’une campagne d’attaque attribuĂ©e Ă  un initial access broker (IAB) affiliĂ© au groupe ransomware Payouts King. 🎯 MĂ©canisme d’attaque La campagne repose sur deux vecteurs combinĂ©s : IngĂ©nierie sociale pour l’accĂšs initial Un mĂ©canisme innovant de livraison de malware via une extension malveillante pour Microsoft Edge L’extension abuse du protocole Chrome native messaging pour interagir avec des applications natives de l’hĂŽte, contournant ainsi le sandbox du navigateur. ...

26 juin 2026 Â· 2 min

macOS.Gaslight : backdoor Rust DPRK avec injection de prompt anti-LLM et C2 Telegram

🔍 Contexte PubliĂ© le 23 juin 2026 par SentinelLABS (Phil Stokes), cet article prĂ©sente l’analyse technique d’un implant macOS baptisĂ© macOS.Gaslight, dĂ©couvert aprĂšs une mise Ă  jour XProtect d’Apple dĂ©but juin 2026. L’échantillon avait Ă©tĂ© soumis sur VirusTotal le 22 mai 2026 et restait non dĂ©tectĂ© par les moteurs statiques au moment de la publication. 🎯 Attribution et cluster SentinelLABS attribue avec haute confiance cet implant Ă  un cluster d’activitĂ© macOS alignĂ© DPRK (CorĂ©e du Nord). Apple dĂ©tecte l’échantillon sous la rĂšgle XProtect MACOS_BONZAI_COBUCH, famille associĂ©e par SentinelLABS Ă  l’activitĂ© nord-corĂ©enne. Un Ă©chantillon BONZAI frĂšre est Ă©galement dĂ©tectĂ© par la rĂšgle AIRPIPE, Ă©galement liĂ©e Ă  la CorĂ©e du Nord. ...

26 juin 2026 Â· 4 min

@withgoogle/stitch-sdk : scope squat npm pour vol de credentials développeurs

🎯 Contexte Analyse publiĂ©e le 20 juin 2026 par SafeDep sur la dĂ©couverte d’un package npm malveillant @withgoogle/stitch-sdk (versions v0.1.1 et v0.1.2), conçu pour imiter le SDK officiel de Google Stitch AI (@google/stitch-sdk, 30 000+ tĂ©lĂ©chargements hebdomadaires). 🔍 Technique d’attaque : Scope Squatting L’attaquant a exploitĂ© le fait que npm ne vĂ©rifie pas les marques dĂ©posĂ©es lors de l’enregistrement de scopes. Le produit Google est accessible via stitch.withgoogle.com, mais son scope npm officiel est @google. L’attaquant a enregistrĂ© le scope @withgoogle (premier arrivĂ©, premier servi) et publiĂ© un package avec le mĂȘme nom de base que le SDK lĂ©gitime, avec des numĂ©ros de version identiques (0.1.1, 0.1.2). ...

23 juin 2026 Â· 3 min

RCE non authentifiée dans Cisco Unified Communications Manager via SSRF et écriture de fichier arbitraire

🔍 Contexte PubliĂ© le 23 juin 2026 par l’équipe technique de SSD Secure Disclosure, cet article prĂ©sente une analyse technique complĂšte d’une vulnĂ©rabilitĂ© critique affectant Cisco Unified Communications Manager (CUCM) version 15.0.1.13901-2, dĂ©couverte par un chercheur indĂ©pendant. 🎯 Nature de la vulnĂ©rabilitĂ© La vulnĂ©rabilitĂ© CVE-2026-20230 est une chaĂźne d’exploitation combinant plusieurs failles : Un endpoint non authentifiĂ© /installClusterStatusExecute exposĂ© via le servlet ClusterInstallStatusServlet dans web.xml Une SSRF (Server-Side Request Forgery) exploitable via des requĂȘtes HTTPS, contournant la validation d’hĂŽte grĂące Ă  l’obtention du vrai hostname via /webdialer/Version.jws?wsdl Une Ă©criture de fichier arbitraire inspirĂ©e de la vulnĂ©rabilitĂ© historique CVE-2019-0227 (Axis 1.4), permettant de dĂ©poser un fichier WSDD malveillant ⚙ ChaĂźne d’exploitation Reconnaissance : rĂ©cupĂ©ration du hostname rĂ©el via https://<cible>/webdialer/Version.jws?wsdl SSRF + Ă©criture de fichier : envoi d’une requĂȘte GET vers /cmplatform/installClusterStatusExecute avec un payload encodĂ© crĂ©ant un nouveau service Axis (randomR11) via un descripteur WSDD DĂ©ploiement d’un premier webshell (aaa.jsp) via le service randomR11 pour Ă©crire des fichiers arbitraires DĂ©ploiement d’un webshell final (c.jsp) permettant l’exĂ©cution de commandes systĂšme arbitraires ExĂ©cution de commandes via https://<cible>/platform-services/axis2-web/c.jsp?pwd=123&i=id đŸ› ïž Composants techniques impliquĂ©s Fichier de configuration : \jakarta-tomcat\webapps\cmplatform\WEB-INF\web.xml Classe vulnĂ©rable : com.cisco.ccm.cmplatform.servlets.ClusterInstallStatusServlet Filtre de sĂ©curitĂ© contournĂ© : com.cisco.ccm.common.security.InjectionFilter MĂ©canisme d’exploitation : Apache Axis LogHandler pour Ă©criture de fichiers Webshells dĂ©posĂ©s : aaa.jsp, c.jsp đŸ©č Correctif Cisco a publiĂ© un correctif disponible via l’advisory officiel cisco-sa-cucm-ssrf-cXPnHcW. ...

23 juin 2026 Â· 3 min

Vidar Stealer : contournement de l'ABE via scan mémoire et injections APC

🔍 Contexte PubliĂ© le 18 juin 2026 par Vojtěch Krejsa, chercheur chez Gen Digital, cet article constitue une analyse technique approfondie du mĂ©canisme de contournement de l’Application-Bound Encryption (ABE) implĂ©mentĂ© dans le stealer Vidar, version 2.1. đŸ§© Technique de bypass ABE Vidar adopte une approche similaire Ă  Remus/Lumma en extrayant la v20_master_key directement depuis la mĂ©moire du navigateur, mais avec une mĂ©thode distincte en deux phases : Phase 1 – Localisation de la clĂ© en mĂ©moire Si le navigateur est dĂ©jĂ  en cours d’exĂ©cution, Vidar crĂ©e un fork du processus via NtCreateProcessEx avec SectionHandle = NULL, produisant un snapshot mĂ©moire statique (copy-on-write, sans threads). Si aucun navigateur n’est actif, Vidar crĂ©e un bureau isolĂ© (CreateDesktopA) nommĂ© v20_%d et lance le navigateur avec --no-first-run --disable-gpu about:blank. Jusqu’à 64 processus navigateur sont Ă©numĂ©rĂ©s et traitĂ©s indĂ©pendamment. La mĂ©moire est scannĂ©e via NtQueryVirtualMemory et NtReadVirtualMemory, ciblant les rĂ©gions MEM_COMMIT, MEM_PRIVATE, PAGE_READONLY ou PAGE_READWRITE (jusqu’à 4096 rĂ©gions). Le scan parallĂšle (64 threads) recherche un pattern de 32 octets : 76 32 30 00 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 03 00 00 00 00 01 ?? ?? correspondant Ă  un nƓud de Chromium::Encryptor::KeyRing. Un systĂšme de vote majoritaire filtre les candidats. Phase 2 – DĂ©chiffrement via injection APC La clĂ© est protĂ©gĂ©e par CryptProtectMemory avec le flag CRYPTPROTECTMEMORY_SAME_PROCESS, nĂ©cessitant une exĂ©cution depuis le processus navigateur. Vidar sĂ©lectionne l’une de deux mĂ©thodes d’injection APC selon la prĂ©sence d’ESET ou Bitdefender : MĂ©thode « classic » (si ESET/Bitdefender dĂ©tectĂ©) : crĂ©ation d’un thread suspendu via CreateRemoteThread (start address NtTestAlert), queue APC via NtQueueApcThread, reprise du thread. MĂ©thode « special » (sinon) : Ă©numĂ©ration des threads existants via CreateToolhelp32Snapshot/Thread32First/Thread32Next, ouverture via NtOpenThread, injection via NtQueueApcThreadEx2 avec QUEUE_USER_APC_FLAGS_SPECIAL_USER_APC (exĂ©cution immĂ©diate, sans Ă©tat alertable requis). La routine APC injectĂ©e est CryptUnprotectMemory appelĂ©e avec l’adresse candidate, taille 32 octets, et CRYPTPROTECTMEMORY_SAME_PROCESS. Vidar crĂ©e un second fork pour lire la clĂ© dĂ©chiffrĂ©e et vĂ©rifie via dĂ©chiffrement AES-256-GCM (BCryptDecrypt). AprĂšs lecture, Vidar rĂ©injecte CryptProtectMemory pour restaurer l’état du navigateur. En cas d’échec total, Vidar termine tous les processus navigateur, les redĂ©marre et rĂ©pĂšte le cycle. 📌 IoC SHA1 Vidar 2.1 : 459daa809751e73f60fbbe4384a7d1653c36bb06945e4eb363527092424110a 📄 Nature de l’article Il s’agit d’une publication de recherche technique Ă  visĂ©e CTI, documentant prĂ©cisĂ©ment les mĂ©canismes internes d’un stealer actif pour permettre la dĂ©tection et la comprĂ©hension de ses techniques d’évasion. ...

23 juin 2026 Â· 3 min

Prinz Eugen : analyse d'un nouveau ransomware en Go ciblant Standard Bank Group

🔍 Contexte Le 18 juin 2026, ThreatDown publie une analyse approfondie d’une nouvelle famille de ransomware baptisĂ©e Prinz Eugen, dĂ©couverte lors d’une investigation client le 11 mai 2026. La premiĂšre mention publique de ce groupe remonte au 16 avril 2026, via un post sur les rĂ©seaux sociaux signalant l’apparition d’un portail de fuite visant Standard Bank Group, une institution financiĂšre majeure en Afrique du Sud. 🩠 CaractĂ©ristiques techniques du malware L’encrypteur prĂ©sente plusieurs caractĂ©ristiques techniques notables : ...

22 juin 2026 Â· 2 min

Prinz Eugen : nouveau ransomware Go ciblant les fichiers récents sans note de rançon

🔍 Contexte Source : BleepingComputer, publiĂ© le 20 juin 2026. L’analyse technique est issue de Threatdown (branche entreprise de Malwarebytes). L’article dĂ©crit une nouvelle opĂ©ration ransomware nommĂ©e Prinz Eugen, identifiĂ©e lors d’investigations sur des incidents rĂ©els. 🎯 AccĂšs initial et persistance L’accĂšs initial est vraisemblablement obtenu via des identifiants RDP volĂ©s Le payload principal, servertool.exe, est tĂ©lĂ©chargĂ© et exĂ©cutĂ© manuellement (style hands-on-keyboard) L’outil RMM lĂ©gitime RemotePC est utilisĂ© pour maintenir l’accĂšs Un compte administrateur backdoor assure la persistance Les attaquants privilĂ©gient les outils lĂ©gitimes (RMM, living-off-the-land) 🔐 StratĂ©gie de chiffrement Malware dĂ©veloppĂ© en Go Priorise les fichiers les plus rĂ©cemment modifiĂ©s ; en cas d’horodatage identique, traitement par ordre alphabĂ©tique Parcours rĂ©cursif des rĂ©pertoires sans limite de profondeur ni exclusion Extension utilisĂ©e pour les fichiers chiffrĂ©s : .prinzeugen Algorithme de chiffrement : ChaCha20-Poly1305 avec clĂ© maĂźtre de 32 octets DĂ©rivation de clĂ© via Argon2id, SHA-256 et HKDF-SHA256 Vecteur d’initialisation alĂ©atoire par fichier Traitement par blocs de 1 Mo, intĂ©gritĂ© vĂ©rifiĂ©e via SHA-256 Avec le flag --delete : vĂ©rification de dĂ©chiffrabilitĂ© avant suppression du fichier original La clĂ© de chiffrement est Ă©crasĂ©e avec des zĂ©ros, le garbage collector est forcĂ©, puis le binaire s’auto-supprime đŸš« Absence de note de rançon Aucune note de rançon dĂ©posĂ©e sur le systĂšme, aucun changement de fond d’écran Les communications de rançon se font hors-bande (email direct, contact tĂ©lĂ©phonique, portail dark web) Cette tactique rĂ©duit les artefacts forensiques et complique la dĂ©tection automatisĂ©e de la phase d’extorsion đŸ‘„ Victimes et modĂšle opĂ©rationnel Pas de modĂšle RaaS, pas de recrutement d’affiliĂ©s identifiĂ© Au moins 5 victimes identifiĂ©es par Threatdown Le site de fuite liste actuellement 3 victimes Les attaques combinent chiffrement et/ou exfiltration de donnĂ©es Dans le cas de Standard Bank, une rançon de 1 BTC a Ă©tĂ© demandĂ©e et refusĂ©e 📄 Type d’article Analyse technique publiĂ©e par BleepingComputer sur la base d’un rapport Threatdown, visant Ă  documenter les TTPs, la mĂ©canique de chiffrement et les IoCs d’une nouvelle opĂ©ration ransomware. ...

22 juin 2026 Â· 3 min

AryStinger : un botnet compromet plus de 4 300 routeurs anciens pour des attaques mondiales

🔍 Contexte PubliĂ© le 17 juin 2026 par les chercheurs Alex.Turing et Acey9 du laboratoire XLab de QiAnXin, cet article prĂ©sente une analyse technique dĂ©taillĂ©e du botnet AryStinger, dĂ©couvert le 12 mars 2026 via le systĂšme de surveillance rĂ©seau XLab. 🎯 Campagne et vecteurs d’infection Les attaquants exploitent des vulnĂ©rabilitĂ©s anciennes pour compromettre des Ă©quipements rĂ©seau : CVE-2013-3307 et CVE-2016-5681 : ciblant des routeurs Linksys et D-Link basĂ©s sur les puces RTL819X (Ăšre 2012-2015) CVE-2025-11837 : ciblant des pĂ©riphĂ©riques NAS (dĂ©tectĂ© le 26 avril 2026) Le vecteur initial est un script shell tĂ©lĂ©chargeant et exĂ©cutant l’échantillon AryStinger depuis le serveur hgodpcx.ajb8.com. ...

21 juin 2026 Â· 4 min

Attaque supply chain : le widget Okendo Reviews compromis pour diffuser SmartApeSG

đŸ—“ïž Contexte Source : Zscaler ThreatLabz via Cyber Security News, publiĂ© le 19 juin 2026. L’activitĂ© malveillante a Ă©tĂ© dĂ©tectĂ©e pour la premiĂšre fois le 14 mai 2026, lors d’un pic inhabituel de trafic liĂ© au groupe SmartApeSG. 🎯 Nature de l’attaque Il s’agit d’une attaque de chaĂźne d’approvisionnement (supply chain attack) : les attaquants ont compromis le script JavaScript du widget Okendo Reviews, un outil tiers de gestion d’avis clients utilisĂ© par plus de 18 000 marques dans le monde. En ciblant ce widget plutĂŽt que chaque site individuellement, les attaquants ont maximisĂ© leur portĂ©e sans avoir Ă  compromettre chaque site sĂ©parĂ©ment. ...

21 juin 2026 Â· 3 min

Attaque supply chain via astro.config.mjs avec C2 blockchain sur dépÎt GitHub populaire

🔍 Contexte Analyse technique publiĂ©e le 12 juin 2026 par SafeDep, documentant une attaque de type supply chain ciblant le dĂ©pĂŽt open source Egonex-AI/Understand-Anything (outil code-to-knowledge-graph, 57 000+ Ă©toiles GitHub). L’article est une analyse post-mortem dĂ©taillĂ©e avec dĂ©obfuscation complĂšte du payload. 🎯 Vecteur d’attaque L’acteur AsimRaza10 a soumis trois pull requests frauduleuses (PR #198, #206, #261) entre le 24 et le 26 mai 2026, toutes pointant vers le mĂȘme commit malveillant (8d30be36). Chaque PR prĂ©sentait une description lĂ©gitime fictive (correction React, Ă©dition README, fichiers de santĂ© communautaire) ne correspondant pas au diff rĂ©el. Les deux seuls fichiers modifiĂ©s Ă©taient : ...

21 juin 2026 Â· 4 min
Derniùre mise à jour le: 4 juillet 2026 📝