GoFlateLoader : un loader Go répandu livrant plusieurs infostealers via overlay PE gonflé

📅 Source : Gen Digital Blog (gendigital.com), publiĂ© le 10 juin 2026, par Vojtěch Krejsa, Threat Researcher at Gen. Contexte GoFlateLoader est un loader Ă©crit en Go (Golang), suivi activement par Gen Threat Labs depuis dĂ©but avril 2026. MalgrĂ© une conception technique simple, il est largement distribuĂ© : plus de 33 000 utilisateurs uniques ont Ă©tĂ© protĂ©gĂ©s depuis avril 2026, principalement au BrĂ©sil, Inde, Argentine, Mexique, Turquie et Espagne. MĂ©canisme technique Le loader rĂ©alise un chargement manuel de PE en mĂ©moire selon le flux suivant : ...

13 juin 2026 Â· 3 min

Grixba : Analyse technique approfondie de l'outil d'information du groupe Play Ransomware

🔍 Contexte PubliĂ© le 8 juin 2026 sur The Raven File, cet article constitue une analyse technique approfondie de Grixba, l’outil de reconnaissance interne dĂ©veloppĂ© par le groupe Play Ransomware (actif depuis 2022, 1200+ victimes). L’analyse couvre quatre Ă©chantillons compilĂ©s entre septembre 2022 et novembre 2024, soit une pĂ©riode de 26 mois. 🎯 PrĂ©sentation de Grixba Grixba est un infostealer/scanner rĂ©seau personnalisĂ© dĂ©veloppĂ© en .NET avec Costura pour l’intĂ©gration des dĂ©pendances. Il est utilisĂ© en phase de prĂ©-chiffrement pour cartographier l’environnement cible : ...

13 juin 2026 Â· 4 min

Ivanti Sentry : injection de commandes OS pré-authentifiée critique (CVE-2026-10520, CVSS 10)

🔍 Contexte PubliĂ© le 10 juin 2026 par WatchTowr Labs, cet article prĂ©sente l’analyse technique de deux vulnĂ©rabilitĂ©s dĂ©couvertes dans Ivanti Sentry (anciennement MobileIron Sentry), une passerelle inline gĂ©rant le trafic entre appareils mobiles et systĂšmes d’entreprise. 🚹 VulnĂ©rabilitĂ©s identifiĂ©es CVE-2026-10520 (CVSS 10/10) : Injection de commandes OS prĂ©-authentifiĂ©e dans Ivanti Sentry avant les versions R10.5.2, R10.6.2 et R10.7.1. Permet Ă  un attaquant distant non authentifiĂ© d’obtenir une exĂ©cution de code Ă  distance avec privilĂšges root. CVE-2026-10523 : Contournement d’authentification (CWE-288) dans les mĂȘmes versions, permettant la crĂ©ation de comptes administrateurs arbitraires et l’obtention d’un accĂšs administratif complet. DĂ©couvert par Bryan Lam. đŸ› ïž Analyse technique L’analyse porte sur la comparaison entre les versions Ivanti/MobileIron Sentry 10.5.1 (vulnĂ©rable) et 10.5.2 (corrigĂ©e). ...

13 juin 2026 Â· 2 min

Magecart abuse Stripe et Google Tag Manager comme infrastructure C2 et exfiltration

🔍 Contexte PubliĂ© le 4 juin 2026 par la Sansec Forensics Team, cet article de recherche documente une famille Magecart inĂ©dite qui dĂ©tourne deux services cloud lĂ©gitimes — Google Tag Manager (GTM) et Stripe — comme infrastructure de commande et d’exfiltration, rendant la dĂ©tection par CSP ou filtres rĂ©seau quasi impossible. ⚙ MĂ©canisme d’attaque L’attaque se dĂ©compose en trois phases : Livraison du code : Un loader est injectĂ© dans un vrai conteneur GTM (GTM-P6KZMF63 et autres). Sur les pages de checkout, il rĂ©cupĂšre le skimmer depuis les mĂ©tadonnĂ©es d’un client Stripe (cus_TfFjAAZQNOYENR) et l’exĂ©cute via new Function() (RCE arbitraire cĂŽtĂ© client). Collecte : Le skimmer se greffe sur le bouton de checkout Magento/Adobe Commerce, capture les champs de carte (numĂ©ro, expiration, CVV), l’adresse de facturation et le total de commande, encode les donnĂ©es en XOR avec la clĂ© EGAU3X9PAMJ8RYRNJSPV, et les stocke dans localStorage sous la clĂ© cus_customer_id. Exfiltration : 1 seconde aprĂšs chaque chargement de page, puis toutes les 60 secondes, les donnĂ©es sont envoyĂ©es Ă  l’API Stripe (api.stripe.com/v1/customers) sous forme de faux client, avec les donnĂ©es volĂ©es rĂ©parties dans les champs metadata[customer_id] et metadata[device_id]. đŸ—ïž ClĂ© Stripe exposĂ©e Chaque loader embarque une clĂ© secrĂšte Stripe en clair (sk_test_51Shuxz4fAPbvfTkr[...]) dans le JavaScript cĂŽtĂ© client. Le prĂ©fixe sk_test_ indique l’utilisation du mode test Stripe, exploitĂ© comme infrastructure gratuite et durable. ...

13 juin 2026 Â· 3 min

MLTBackdoor : analyse technique d'une nouvelle backdoor liée aux ransomwares

🔍 Contexte Le 9 juin 2026, Zscaler ThreatLabz publie une analyse technique approfondie d’une nouvelle famille de malware baptisĂ©e MLTBackdoor, identifiĂ©e pour la premiĂšre fois en mai 2026. Ce malware est vraisemblablement utilisĂ© par un acteur liĂ© aux ransomwares pour Ă©tablir un point d’ancrage et faciliter le mouvement latĂ©ral. 🎯 Vecteur d’infection L’infection dĂ©bute par une chaĂźne ClickFix hĂ©bergĂ©e sur une page web Ă  thĂšme automobile. La victime est incitĂ©e Ă  copier-coller et exĂ©cuter une commande qui : ...

13 juin 2026 Â· 4 min

ShinyHunters exploite CVE-2026-35273 en zero-day contre Oracle PeopleSoft dans l'éducation

🔍 Contexte Rapport publiĂ© le 11 juin 2026 par Mandiant et le Google Threat Intelligence Group (GTIG), documentant une campagne active d’exploitation et d’extorsion attribuĂ©e Ă  UNC6240 (ShinyHunters) ciblant des infrastructures Oracle PeopleSoft. 🎯 Campagne et ciblage L’activitĂ© a Ă©tĂ© observĂ©e entre le 27 mai 2026 et le 9 juin 2026. Plus de 100 organisations mondiales ont Ă©tĂ© notifiĂ©es, dont 68% appartiennent au secteur de l’enseignement supĂ©rieur (universitĂ©s et collĂšges), principalement basĂ©es aux États-Unis. Les donnĂ©es volĂ©es ont Ă©tĂ© publiĂ©es sur le Data Leak Site (DLS) de ShinyHunters le 9 juin 2026. ...

13 juin 2026 Â· 4 min

Campagne Hades : compromission de packages PyPI via supply chain avec wiper et scrapers mémoire multi-OS

đŸ—“ïž Contexte Le 8 juin 2026, StepSecurity publie une analyse technique dĂ©taillĂ©e de la campagne Hades, une opĂ©ration de compromission de la chaĂźne d’approvisionnement Python ciblant l’écosystĂšme PyPI. Cette campagne est attribuĂ©e Ă  l’acteur Miasma, dĂ©jĂ  documentĂ© dans des attaques npm prĂ©cĂ©dentes. 📩 Packages compromis Au total, 27 packages PyPI sont identifiĂ©s comme compromis, couvrant les domaines de la bioinformatique, du machine learning graphique et de l’analyse gĂ©notype-phĂ©notype. Parmi les plus notables : ...

9 juin 2026 Â· 4 min

CVE-2026-23111 : Use-after-free dans nftables du noyau Linux exploité en LPE

📅 Source : Blog Exodus Intelligence, publiĂ© le 8 juin 2026. Article de recherche technique rĂ©digĂ© par Oliver Sieber, dĂ©taillant la dĂ©couverte, l’analyse et l’exploitation d’une vulnĂ©rabilitĂ© dans le noyau Linux. 🔍 Contexte de la vulnĂ©rabilitĂ© La vulnĂ©rabilitĂ© CVE-2026-23111 a Ă©tĂ© dĂ©couverte dĂ©but 2025 dans le sous-systĂšme nftables du noyau Linux. Elle a Ă©tĂ© corrigĂ©e en amont le 5 fĂ©vrier 2026. Une seconde vulnĂ©rabilitĂ© connexe, CVE-2026-23278, est Ă©galement mentionnĂ©e mais hors scope de cet article. ...

9 juin 2026 Â· 3 min

Analyse du malware Lorem Ipsum via trois outils Rust développés avec assistance IA

📅 Article publiĂ© le 6 juin 2026 sur le blog personnel d’Antonio Parata, prĂ©sentant une expĂ©rience d’analyse dynamique du malware Lorem Ipsum Ă  l’aide de trois outils personnalisĂ©s dĂ©veloppĂ©s en Rust avec assistance de l’IA Claude Pro. 🔬 Contexte malware : Le malware Lorem Ipsum, dĂ©jĂ  documentĂ© dans un billet BlueVoyant, est disponible sur MalwareBazaar. Il nĂ©cessite Node.js pour s’exĂ©cuter, dĂ©pose son binaire dans C:\ProgramData\Microsoft Edge Updates Helper qZWpLKQXEGaa\Microsoft Edge Updates Helper.exe, et est fortement obfusquĂ©, rendant l’analyse statique trĂšs difficile (IDA ne peut pas dĂ©compiler le code). ...

8 juin 2026 Â· 3 min

C0XMO : nouveau variant Gafgyt exploitant DD-WRT pour se propager sur plusieurs architectures Linux

🔍 Contexte PubliĂ© le 3 juin 2026 par Vincent Li (FortiGuard Labs), cet article prĂ©sente l’analyse technique dĂ©taillĂ©e de C0XMO, un nouveau variant du botnet Gafgyt dĂ©couvert en mars 2026. La cible initiale Ă©tait une entreprise technologique japonaise, mais l’adresse IP source de l’attaque a Ă©tĂ© tracĂ©e en Allemagne. 🎯 Vecteur d’infection initial Le malware se propage en exploitant CVE-2021-27137, un stack buffer overflow dans le service UPnP des firmwares DD-WRT antĂ©rieurs au changeset 45723. La vulnĂ©rabilitĂ© est dĂ©clenchĂ©e via des requĂȘtes M-SEARCH malformĂ©es envoyĂ©es sur le port UDP 1900, exploitant une mauvaise gestion des valeurs ST:uuid: surdimensionnĂ©es par le parseur SSDP. ...

8 juin 2026 Â· 5 min
Derniùre mise à jour le: 4 juillet 2026 📝