Analyse Technique

📅 Source et contexte : Article publié le 28 avril 2026 par Brooks Davis (Capabilities Limited) sur le site de la CHERI Alliance. Il s’inscrit dans un contexte de discussions récentes sur l’utilisation des LLMs pour la découverte et l’exploitation de vulnérabilités. 🔍 Vulnérabilité identifiée : La vulnérabilité CVE-2026-4747 affecte le composant RPCSEC_GSS du noyau FreeBSD. Il s’agit d’un stack buffer overflow classique permettant potentiellement une exécution de code à distance (RCE), classée de sévérité Critique. Elle a été découverte à l’aide d’un LLM (modèle de langage de grande taille). ...

🔍 Contexte Publié le 2 mai 2026 sur le blog de Calif (blog.calif.io), cet article technique détaille la découverte et l’exploitation d’une vulnérabilité use-after-free (UAF) dans la fonction unserialize() de PHP, présente depuis PHP 5.1 (2005) et toujours exploitable dans PHP 8.5.5. La découverte s’inscrit dans le cadre du projet MAD Bugs (Month of AI-Discovered Bugs), combinant modèles d’IA (Claude) et expertise humaine. 🐛 La vulnérabilité Le bug réside dans zend_user_unserialize() (fichier Zend/zend_interfaces.c), le point de dispatch pour Serializable::unserialize(). Contrairement à tous les autres points de dispatch utilisateur (__wakeup, __unserialize, __destruct), cette fonction omet d’incrémenter BG(serialize_lock), ce qui permet à un appel récursif à unserialize() de partager le var_hash externe. ...

🔍 Contexte Publié le 27 avril 2026 par Osservatorio Nessuno, cet article présente l’analyse technique complète d’un spyware Android inconnu jusqu’alors, baptisé Morpheus (version 2025.3.0), vraisemblablement développé en Italie. L’infection initiale a été déclenchée via un SMS de phishing pointant vers le domaine assistenza-sim.it, avec une application se faisant passer pour l’opérateur Fastweb. 🎯 Mécanisme d’infection L’infection repose sur un modèle en deux étapes : Premier stage (dropper) : package com.android.cored (v0.9.23), fork de SimpleInstaller open-source, embarquant le second stage dans /assets/mobile-config.apk Second stage (agent) : package com.android.core (v2025.3.0), le spyware principal Le dropper contourne la restriction Android 13 Restricted Settings qui bloque normalement l’accès aux services d’accessibilité pour les apps sideloadées. ...

📅 Source : Osservatorio Nessuno, publié le 27 avril 2026. Analyse technique d’un échantillon 2025 du spyware Android Spyrtacus version 8.71, attribué à la société italienne SIO S.p.A. 🎯 Méthode d’infection L’infection débute par un SMS de phishing contenant un lien raccourci tinyurl.com redirigeant vers une page imitant le site de l’opérateur mobile de la victime (ex : ho. mobile / ho-mobile.it). La victime est incitée à télécharger un APK malveillant se faisant passer pour l’application officielle de l’opérateur avec une fausse promo 5G. ...

🔍 Contexte Publié le 29 avril 2026 par Wiz (Benjamin Read, Merav Bar, Shay Berkovich, Gili Tikochinski), cet article documente une opération de supply chain active baptisée “Mini Shai Hulud”, attribuée avec haute confiance au groupe TeamPCP. 🎯 Mécanisme d’attaque Des versions malveillantes de packages npm légitimes de l’écosystème SAP ont été publiées avec un script preinstall injectant setup.mjs, exécuté automatiquement lors de npm install. Ce dropper télécharge le runtime Bun puis exécute un payload obfusqué (execution.js), permettant l’exécution de code attaquant avant la fin de l’installation. ...

🔍 Contexte Arctic Wolf Labs publie le 27 avril 2026 un rapport d’analyse technique détaillé d’une intrusion active débutée le 23 janvier 2026, ciblant une entreprise Web3/cryptomonnaie nord-américaine. L’attaque est attribuée avec haute confiance à BlueNoroff, sous-groupe financièrement motivé du Lazarus Group nord-coréen (RGB/DPRK), dans le cadre de la campagne dite “fake conference” / SnatchCrypto. 🎭 Vecteur initial : ingénierie sociale sophistiquée L’attaquant a usurpé l’identité d’un responsable juridique d’un cabinet Fintech/Crypto/iGaming via Calendly, en programmant une réunion cinq mois à l’avance. L’invitation Google Meet générée a été modifiée pour substituer le lien légitime par une URL typosquattée Zoom (ex: uu03webzoom[.]us). Plus de 80 domaines typosquattés Zoom et Teams ont été identifiés sur la même infrastructure entre fin 2025 et mars 2026. ...

🔍 Contexte Publié le 21 avril 2026 par Kaspersky GReAT sur Securelist, cet article présente l’analyse technique d’une campagne de destruction de données ciblant le secteur de l’énergie et des utilities au Venezuela, dans un contexte de tensions géopolitiques dans la région des Caraïbes fin 2025 / début 2026. Les artefacts ont été découverts sur une ressource publique en mi-décembre 2025. 🎯 Nature de la menace La menace est un wiper (et non un ransomware) : aucune demande de rançon ni mécanisme d’extorsion n’a été identifié. L’objectif est la destruction irréversible des données. Le wiper, compilé fin septembre 2025, n’avait jamais été observé auparavant, indiquant une préparation de plusieurs mois. ...

🔍 Contexte Publié le 27 avril 2026 par Kirk sur derp.ca, cet article présente une analyse technique détaillée de M3rx, un nouveau groupe ransomware apparu publiquement fin avril 2026. RansomLook recense six posts associés à ce groupe au 27 avril 2026, dont cinq publiés le 26 avril. PurpleOps référence la même activité sous le label M3RXDLS. 🎯 Victimes revendiquées Le groupe revendique des victimes dans plusieurs pays : rotak.it (IT) — 23 avril 2026 rainforestclean.com — 259 Go, 77k fichiers airdriephysio.com — 54 Go, 116k fichiers primeproperties.com.au — 100 Go, 81k fichiers anvilarts.org.uk — 480 Go, 299k fichiers dmschweiz.ch — 120 Go, 100k fichiers Zones géographiques concernées : États-Unis, Canada, Australie, Royaume-Uni, Suisse, Italie. ...

🔍 Contexte Publié le 23 avril 2026 par Maor Dahan (Akamai Security Research), cet article détaille la découverte d’une vulnérabilité résiduelle (CVE-2026-32202) résultant d’un patch incomplet de Microsoft pour CVE-2026-21510, une faille zero-day exploitée par le groupe APT28 (Fancy Bear). 🎯 Campagne initiale APT28 Selon CERT-UA, APT28 a lancé une cyberattaque ciblant l’Ukraine et plusieurs pays de l’UE en décembre 2025. La campagne utilisait un fichier LNK weaponisé exploitant deux vulnérabilités en chaîne : ...

🔍 Contexte Publié le 28 avril 2026 par Check Point Research (CPR), cet article présente une analyse technique approfondie du ransomware VECT 2.0, un service Ransomware-as-a-Service (RaaS) apparu pour la première fois en décembre 2025 sur un forum cybercriminel russophone. CPR a obtenu un accès au panneau d’affiliation et au builder via un compte BreachForums. 🧩 Présentation de VECT VECT est un ransomware écrit en C++, ciblant trois plateformes : Windows, Linux et VMware ESXi. La version 2.0 a été publiée en février 2026. Le groupe a annoncé des partenariats avec : ...