Analyse Technique

🎯 Contexte Publié le 18 avril 2026 par la Microsoft Defender Security Research Team, cet article documente une chaîne d’intrusion complète exploitant les fonctionnalités de collaboration inter-tenant de Microsoft Teams pour mener des attaques d’ingénierie sociale, d’accès distant non autorisé et d’exfiltration de données. 🔗 Chaîne d’attaque L’intrusion se déroule en plusieurs étapes distinctes : Stage 1 – Contact initial (T1566.003) : L’attaquant initie une communication Teams depuis un tenant externe en se faisant passer pour du personnel IT/helpdesk. Des leurres tels que « Microsoft Security Update », « Spam Filter Update » ou « Account Verification » sont utilisés. Le vishing peut compléter ou remplacer la messagerie. ...

🔍 Contexte Article technique publié le 17 avril 2026 par Calif sur blog.calif.io, en partenariat avec OpenAI. Il documente une vulnérabilité d’exécution de code arbitraire découverte dans iTerm2, un émulateur de terminal macOS populaire, exploitable via la simple lecture d’un fichier texte malveillant. 🐛 Vulnérabilité identifiée La faille repose sur un défaut de confiance dans le protocole d’intégration SSH d’iTerm2. Ce protocole utilise des séquences d’échappement terminales (DCS et OSC) pour coordonner un script distant appelé conductor. iTerm2 accepte ces séquences depuis n’importe quelle sortie terminale, sans vérifier qu’elles proviennent réellement d’un conductor légitime. ...

📅 Source : Kentik Blog — Article publié le 15 avril 2026 par Doug Madory, Director of Internet Analysis. Contexte En janvier 2026, un ingénieur en cybersécurité avait publié une analyse suggérant que des anomalies BGP observées sur Cloudflare Radar lors des routes vénézuéliennes pourraient être liées à des cyberopérations américaines. Cloudflare avait répondu que ces fuites étaient probablement bénignes. Cet article approfondit cette réponse en introduisant le concept de fuites éphémères. ...

🔍 Contexte Source : Breakglass Intelligence (intel.breakglass.tech), publiée le 17 avril 2026. L’analyse fait suite à la détection d’un pull de configuration malveillante en direct le 16 avril 2026, pointant vers un serveur C2 à 137.220.153.175:886. L’investigation a permis de reconstituer l’intégralité de la chaîne d’infection en quelques heures. 🎯 Acteur et ciblage Silver Fox APT (alias Void Arachne / CL-STA-0048 / UTG-Q-1000) est un groupe chinois principalement connu pour le déploiement de ValleyRAT (aussi classifié Winos 4.0), un dérivé de Gh0st RAT. Historiquement centré sur les victimes sinophones, le groupe a étendu ses opérations au Japon, à la Malaisie et à l’Asie du Sud-Est depuis décembre 2025. Cette campagne cible spécifiquement des victimes japonaises via un leurre de facture Rakuten en langue japonaise. ...

🔍 Contexte Publié sur GitHub (xaitax/TotalRecall), cet article présente TotalRecall Reloaded, un outil offensif ciblant la fonctionnalité Windows Recall de Microsoft. Il s’agit d’une analyse technique détaillée accompagnée d’un outil fonctionnel démontrant plusieurs failles architecturales dans la conception de sécurité de Recall. 🏗️ Architecture et vulnérabilité fondamentale Microsoft a sécurisé Windows Recall avec VBS enclaves, chiffrement AES-256-GCM, authentification Windows Hello et un hôte Protected Process Light (PPL). Cependant, le processus de rendu AIXHost.exe ne bénéficie d’aucune de ces protections (pas de PPL, pas d’AppContainer, pas d’enforcement d’intégrité de code). Tout processus s’exécutant en tant qu’utilisateur connecté peut y injecter du code et appeler les mêmes API COM que l’interface légitime. ...

🔍 Contexte Article publié le 16 avril 2026 par Puja Srivastava sur le blog Sucuri. Il s’agit d’une analyse technique issue d’une investigation de nettoyage de malware sur un site Joomla compromis, dont le propriétaire signalait l’apparition de liens produits suspects sans rapport avec son activité. 🧩 Mécanisme d’infection Les attaquants ont injecté un bloc de code PHP fortement obfusqué en tête du fichier index.php du site Joomla. Le code est structuré en quatre fonctions PHP : ...

🔍 Contexte Rapid7 a publié le 16 avril 2026 une analyse technique d’une campagne de phishing de type ClickFix détectée le 9 avril 2026 auprès de clients situés dans l’Union Européenne et aux États-Unis. La campagne présentait peu de visibilité sur VirusTotal au moment de sa découverte. 🎯 Vecteur d’attaque La campagne se distingue par l’usurpation de l’identité de Claude, l’assistant IA d’Anthropic. Un faux installateur MSIX (claude.msixbundle) était servi depuis le domaine download-version[.]1-5-8[.]com. L’exécution initiale passait par mshta lancé via l’utilitaire Windows Run, enregistré dans la clé de registre RunMRU. ...

🔍 Contexte Article publié le 16 avril 2026 par Picus Security, analysant en détail deux nouvelles vulnérabilités affectant Citrix NetScaler ADC et NetScaler Gateway, surnommées collectivement « CitrixBleed 3 » par la communauté sécurité. 🚨 Vulnérabilités identifiées CVE-2026-3055 (CVSS v4.0 : 9.3 — Critique) est une lecture hors limites (CWE-125) non authentifiée affectant les appliances configurées en tant que SAML Identity Provider. Elle expose via le cookie NSC_TASS des données mémoire encodées en base64 incluant tokens de session, assertions SAML et credentials LDAP. ...

🗓️ Contexte Publié le 16 avril 2026 par Picus Security (auteur : Huseyin Can YUCEEL), cet article analyse la vulnérabilité zero-day CVE-2026-33825 dans Microsoft Windows Defender, divulguée publiquement le 7 avril 2026 avec un proof-of-concept fonctionnel. Microsoft a publié un correctif lors du Patch Tuesday d’avril 2026. 🔍 Vulnérabilité CVE-2026-33825 Score CVSS : 7.8 (High) Type : Local Privilege Escalation (LPE) Cause : Race condition de type TOCTOU (Time-of-Check to Time-of-Use) dans le moteur de remédiation de fichiers de Windows Defender Impact : Exécution de code au niveau SYSTEM depuis un compte non privilégié, sans interaction utilisateur Produits affectés : Windows 10 (toutes versions supportées), Windows 11 (toutes versions supportées), Windows Server 2016/2019/2022/2025, Microsoft Defender Antivirus (avant la mise à jour d’avril 2026) ⚙️ Détails techniques — Exploit BlueHammer L’exploit BlueHammer abuse de la logique de remédiation de fichiers de Defender : ...

🔍 Contexte Publié le 15 avril 2026 par la Howler Cell Research Team de Cyderes, ce rapport présente l’analyse technique complète d’une chaîne d’infection en 5 étapes impliquant deux nouvelles familles de malwares : Direct-Sys Loader et CGrabber Stealer. 📦 Vecteur d’infection La campagne débute par la distribution d’archives ZIP hébergées sur l’infrastructure GitHub user-attachments. L’archive analysée (Eclipsyn.zip, SHA-256 : f464a4155526fa22c45a82d3aa75a13970189aad8cc3fa6050cf803a54d8baed) contient un binaire légitime signé Microsoft, Launcher_x64.exe, abusé pour du DLL sideloading via une DLL malveillante nommée msys-crypto-3.dll. ...