Nouveaux Outils

Selon l’annonce du projet OpenMalleableC2, cette bibliothèque open source implémente le format de profil Malleable C2 de Cobalt Strike pour transformer et transporter des données sur HTTP de manière flexible et transparente. Le projet vise à combler les limites de personnalisation du trafic HTTP observées dans des frameworks C2 open source existants (comme Mythic, Havoc, Adaptix) en permettant la réutilisation directe des profils Malleable C2 et de l’écosystème associé. Il se présente comme « framework-agnostic » afin de s’intégrer à divers outils de recherche et d’équipes rouges. 🛠️ ...

Selon Substack, NetAskari a obtenu la « toolbox » d’un pentester et analyste sécurité actif en Chine, offrant un aperçu des outils employés et de quelques résultats de tests sur infrastructure cible. Contexte: l’article situe cette découverte dans un écosystème chinois de cybersécurité opaque, parfois lié à des opérations plus offensives, sans pour autant attribuer ces outils à des APTs. L’objectif est une exploration modeste des pratiques et de l’outillage des « foot soldiers » du pentest. ...

Source : SpecterOps (billet de blog de Daniel Mayer). Contexte : l’auteur détaille la création d’un Beacon Object File (BOF) permettant d’énumérer et d’exécuter des commandes dans WSL2 sur différentes versions, afin de faciliter le pivot depuis des hôtes Windows fortement surveillés. • Constats clés : WSL2 s’exécute comme une VM Hyper‑V séparée et est « rarement » monitorée, offrant aux attaquants un espace d’exécution discret. Les approches classiques via WslLaunch/WslApi.dll appellent en réalité WSL.exe via CreateProcess, générant des artefacts visibles mais communs. L’interface COM de WSL2 a évolué de façon non rétrocompatible, rendant un client COM unique difficile sans gérer de multiples versions. ...

Selon l’extrait d’actualité du 16 janvier 2026, Moxie Marlinspike (créateur de Signal) lance Confer, un assistant IA privé et open source misant sur le chiffrement de bout en bout et un environnement d’exécution de confiance (TEE) pour protéger les conversations. Le contexte évoque les risques de stockage centralisé des chatbots grand public et rappelle une ordonnance de juin 2025 imposant à OpenAI de conserver indéfiniment les conversations de ChatGPT, alimentant la défiance. Le billet de blog de Confer et des échanges avec Ars Technica sont cités. ...

Selon GCVE (annonce du 7 janvier 2026), le projet dévoile db.gcve.eu, une nouvelle base publique et gratuite d’avis de vulnérabilités destinée à agréger, normaliser et corréler des informations issues d’un large éventail de sources. La plateforme offre une vue unifiée des vulnérabilités en agrégeant des avis provenant de 25+ sources, avec une intégration native des GCVE GNA, une corrélation multi-bases et multi-identifiants, et des enregistrements normalisés et recherchables. Objectif: réduire la fragmentation et améliorer la visibilité sur le paysage global des vulnérabilités. ...

Selon la documentation du projet PackageInferno, l’outil propose une chaîne de traitement complète en conteneurs pour auditer la supply chain npm et visualiser les résultats localement via un tableau de bord. 🧰 Pipeline clef en main en Docker : un « enumerator » construit la file de paquets, un « fetcher » télécharge les tarballs (avec option d’upload S3), un « analyzer » effectue l’analyse statique (YARA en option) et un Postgres stocke les résultats. Un dashboard Streamlit (http://localhost:8501) permet la recherche, le drill‑down et des analyses. La configuration passe par scan.yml (allowlists, seuils, règles YARA), avec historique des scans en base (scan_runs). ...

Selon l’annonce du projet EvilNeko, l’outil vise à opérationnaliser les techniques de Browser‑in‑the‑Browser (BITB) pour les équipes rouges et aider les équipes bleues à les détecter. EvilNeko est présenté comme un projet permettant de passer à l’échelle l’infrastructure d’attaques BITB au-delà d’un seul utilisateur/session, en s’inspirant des travaux de Mr. d0x et des idées du projet EvilNoVNC. L’objectif est de fournir un moyen réaliste d’émuler ces techniques pour des tests autorisés et de contribuer à la détection côté défense. 🐱‍💻 ...

Source : MISP project — annonce d’initiative. NGSOTI (Next Generation Security Operator Training Infrastructure) vise à combler le fossé entre apprentissage des outils et workflows SOC réels, en mettant l’accent sur des opérations centrées sur l’humain. Le projet s’appuie sur des collaborations avec CIRCL, Restena, Tenzir et l’Université du Luxembourg pour proposer un environnement modulaire, interopérable et fidèle aux contraintes opérationnelles. Au cœur de l’écosystème, MISP sert d’ossature pour le partage de renseignement sur les menaces et l’enrichissement contextuel, en abordant la gestion du cycle de vie, les politiques de partage et les modèles de confiance. Les autres briques viennent étendre ce noyau pour refléter un SOC complet et collaboratif. ...

La publication présente « SessionView », un utilitaire léger en C# destiné à l’énumération et l’affichage des sessions utilisateurs sur Windows Server/Client, avec extraction des GUID de session. • Fonctionnalités principales 🖥️ Énumération complète des sessions (actives, déconnectées, idle, etc.) Détails par session : Session ID, Station Name, Connection State, Username, Domain Récupération du GUID de session depuis le Registre Windows États pris en charge : WTSActive, WTSConnected, WTSDisconnected, WTSIdle, WTSListen, WTSReset, WTSDown, WTSInit Sortie console lisible pour une analyse rapide • Exigences et usage ...

Selon l’annonce du projet « witr » publiée le 4 janvier 2026, l’outil vise à répondre à la question « Why is this running? » en exposant la chaîne causale menant à l’existence d’un processus. Le projet open‑source witr fournit une vue causale, lisible et unifiée expliquant pourquoi un processus/service/port est actif, sur Linux et macOS. witr privilégie l’explication plutôt que l’énumération d’états. Il part d’une cible (nom de processus/service, PID ou port) et reconstruit la chaîne d’ascendance jusqu’à la source (ex. systemd, launchd, docker, pm2, cron, shell interactif). La sortie standard comprend la cible, les métadonnées du processus, la section clé « Why It Exists », la source principale unique, le contexte (répertoire, dépôt Git/branche, conteneur, exposition réseau) et des avertissements comme processus root, écoute sur 0.0.0.0, multiples redémarrages, mémoire élevée, uptime > 90 jours. ...