Analyse Technique

🔍 Contexte Publié le 15 avril 2026 par l’équipe Acronis TRU, ce rapport présente l’analyse technique d’une campagne de ransomware persistante baptisée JanaWare, active depuis au moins 2020 et toujours en activité en novembre 2025. 🎯 Ciblage et victimologie La campagne cible exclusivement les utilisateurs turcs (particuliers et PME), avec des demandes de rançon modestes de 200 à 400 USD, caractéristiques d’une approche volume/faible valeur. Le ciblage géographique est techniquement enforced via : ...

🌐 Contexte L’article est publié le 15 avril 2026 par OpenSourceMalware.com. Il documente une campagne d’attaque supply chain active sur le registre NPM, baptisée Stardrop, détectée à partir du 9 avril 2026 avec un rythme de publication de plus de 40 packages malveillants par jour. 🎯 Cibles Les packages usurpent des noms associés à : Entreprises d’IA : HuggingFace, Codeium, Cerebras, Groq, Inflection AI, Midjourney, Windsurf, Cursor, etc. Fonds de capital-risque : a16z, Bessemer VC, Khosla VC, Founders Fund, Coatue, Felicis, etc. Marques de luxe : Givenchy, Louis Vuitton, Valentino, Versace, Lamborghini, etc. 🔧 Mécanisme d’attaque La chaîne d’infection repose sur trois étapes : ...

🔍 Contexte Publié le 9 avril 2026 par Evgen Blohm (InfoGuard Labs), cet article est issu d’une investigation de réponse à incident liée à une attaque DragonForce ransomware. Lors de la revue de persistance, un artefact inhabituel a été identifié : une tâche planifiée nommée 523135538 exécutant C:\ProgramData\cp49s\pythonw.exe sans arguments. 🧩 Mécanisme de persistance et chargement La persistance repose sur sitecustomize.py, un module Python auto-importé au démarrage. Ce fichier utilise ctypes pour appeler Py_GetArgcArgv et vérifier le contexte d’exécution. Si argc == 1, il charge et exécute b5yogiiy3c.dll (un script Python déguisé en DLL) via runpy.run_path(). ...

🔍 Contexte Analyse technique publiée le 12 avril 2026 sur GitHub par le chercheur Kavan00, portant sur des projecteurs Android vendus sur Amazon, eBay et AliExpress sous les marques Hotack, Huyukang, Magcubic et Nonete. L’analyse couvre la période du 11 au 12 avril 2026 et documente une attaque de chaîne d’approvisionnement similaire aux cas BADBOX. 🎯 Dispositifs affectés Chipset : Allwinner H713 / sun50iw12p1 OS : SpectraOS (Android 11, Kernel 5.4.99) Fabricant OEM : Blue Shark, Shenzhen (opérateur C2 : Shenzhen Aodin Technology) Firmware : HY260Pro_SpectraOS_TPYB SELinux en mode Permissive (non appliqué) Clé de signature plateforme : AOSP Test Key publique 🦠 Écosystème malveillant Quatre applications système interagissent, toutes signées avec la clé AOSP test et exécutées avec UID 1000 (System) : ...

🔍 Contexte Cisco Talos a publié le 8 avril 2026 une analyse technique détaillée d’un cluster d’activité malveillante désigné UAT-10362, conduisant des campagnes de spear-phishing ciblées contre des organisations non gouvernementales (ONG) et des universités taïwanaises. La première attaque observée remonte à octobre 2025. 🎯 Vecteur d’infection et chaînes d’infection Deux chaînes d’infection distinctes ont été identifiées : Chaîne LNK : archive RAR protégée par mot de passe contenant un fichier LNK déguisé en document PDF, exploitant DLL sideloading via DismCore.dll (LucidPawn) et le binaire légitime DISM (index.exe). Utilisation de LOLBAS via Build.bat (Pester PowerShell framework). Chaîne EXE : archive 7-Zip nommée Cleanup(33665512).7z contenant un exécutable .NET se faisant passer pour Trend Micro Worry-Free Business Security Services, avec un timestamp de compilation falsifié (2065). Dans les deux cas, la persistance est établie via un fichier LNK dans le dossier Startup, et des documents leurres (directives gouvernementales taïwanaises) sont affichés pour distraire la victime. ...

🔍 Contexte Rapport technique publié le 6 avril 2026 par JUMPSEC, basé sur l’analyse d’un serveur C2 mal configuré, de 15 échantillons de malware et d’un nouveau payload PE. L’analyse s’inscrit dans la continuité des travaux de Symantec, Check Point, Malwarebytes et Recorded Future sur MuddyWater et CastleRAT. 🎯 Acteurs et relation MuddyWater (alias Seedworm, Mango Sandstorm, TA450, Static Kitten), groupe d’espionnage iranien opérant sous le Ministry of Intelligence and Security (MOIS), est identifié comme client de la plateforme MaaS TAG-150, développée par des cybercriminels russophones. Cette relation est confirmée par trois chaînes de preuves indépendantes. ...

📰 Source : Sekoia TDR (blog.sekoia.io) — Date de publication : 7 avril 2026 (rapport FLINT TLP:AMBER distribué le 30 mars 2026) Contexte EvilTokens est un kit de Phishing-as-a-Service (PhaaS) apparu depuis mi-février 2026, spécialisé dans le device code phishing Microsoft et la fraude BEC (Business Email Compromise). Cet article constitue la partie 2 d’une analyse technique approfondie publiée par l’équipe TDR de Sekoia. Fonctionnement du PhaaS Le service est opéré via Telegram par l’administrateur eviltokensadmin, qui propose trois produits : ...

🗓️ Contexte Article publié le 9 avril 2026 par Malwarebytes sur Security Boulevard. Il s’agit d’une analyse technique d’une campagne de distribution de malware via un faux site de support Windows, ciblant principalement les utilisateurs francophones. 🎣 Vecteur d’infection La campagne repose sur le domaine typosquatté microsoft-update[.]support, qui imite une page officielle Microsoft. Le site, rédigé entièrement en français, propose une fausse mise à jour cumulative Windows 24H2 avec un numéro d’article KB plausible. Le fichier distribué est WindowsUpdate 1.0.0.msi (83 Mo), construit avec WiX Toolset 4.0.0.5512, créé le 4 avril 2026, avec des métadonnées usurpant l’identité de Microsoft. ...

🔍 Contexte Le 7 avril 2026, l’équipe Sansec Forensics a publié une analyse technique détaillant une campagne Magecart de masse ayant compromis 99 boutiques Magento en quelques heures. L’article, publié sur sansec.io, décrit un skimmer de carte bancaire sophistiqué exploitant une technique d’injection inédite via des éléments SVG. 🎯 Vecteur d’entrée et méthode d’injection Le vecteur d’entrée probable est la vulnérabilité PolyShell (upload de fichier non restreint dans Magento/Adobe Commerce), qui continue d’affecter les boutiques non protégées. L’attaquant injecte un élément SVG de 1x1 pixel dans le HTML de la boutique, dont le gestionnaire onload contient l’intégralité du payload skimmer encodé en base64 via atob() et exécuté via setTimeout. Cette technique évite toute référence à un script externe, contournant ainsi les scanners de sécurité classiques. ...

🔍 Contexte Publié le 8 avril 2026 par Jamf Threat Labs (auteur : Thijs Xhaflaire), cet article documente une nouvelle variante de la technique ClickFix ciblant macOS, découverte via des détections comportementales de la plateforme Jamf Protect. 🎯 Technique d’attaque Contrairement aux campagnes ClickFix classiques qui incitent l’utilisateur à coller des commandes dans Terminal, cette variante exploite le schéma URL applescript:// pour déclencher directement l’ouverture de Script Editor depuis le navigateur. ...