LOLDrivers : ajout de nouveaux drivers vulnérables IoBitUnlocker, Zemana et TfSysMon utilisés en BYOVD

🔍 Contexte Le 13 mars 2026, une pull request (#221) a Ă©tĂ© fusionnĂ©e dans le dĂ©pĂŽt public LOLDrivers (magicsword-io), un projet de rĂ©fĂ©rencement de drivers lĂ©gitimes mais vulnĂ©rables exploitables dans des attaques BYOVD (Bring Your Own Vulnerable Driver). La contribution a Ă©tĂ© initiĂ©e par le chercheur mnznndr97 le 28 mars 2025 et approuvĂ©e aprĂšs plusieurs mois de revue. đŸ§© Contenu de la contribution Trois nouveaux drivers vulnĂ©rables ont Ă©tĂ© documentĂ©s et ajoutĂ©s au rĂ©fĂ©rentiel : ...

5 avril 2026 Â· 2 min

BPFDoor : Rapid7 identifie 7 nouveaux variants furtifs avec balises actives et ciblage HPE ProLiant

🔍 Contexte PubliĂ© le 2 avril 2026 par Rapid7, cet article accompagne la sortie d’un whitepaper technique dĂ©diĂ© Ă  de nouveaux variants du backdoor BPFDoor, un implant Linux furtif utilisĂ© dans des campagnes d’espionnage attribuĂ©es Ă  des acteurs chinois. L’analyse couvre sept variants inĂ©dits (dĂ©signĂ©s F Ă  L) identifiĂ©s lors de recherches en cours. 🧬 Variants identifiĂ©s Variant F : Se dissimule sous /var/run/user/0 pour Ă©viter les logs auditd liĂ©s Ă  chmod Effectue un wipe complet des file descriptors et du timestomping Utilise un filtre BPF de 26 instructions avec de nouveaux magic bytes Deux ensembles de magic bytes distincts selon les samples Variant G : ...

3 avril 2026 Â· 4 min

ChatGPT : exfiltration silencieuse de données via un canal DNS caché dans le runtime d'exécution

🔍 Contexte PubliĂ© le 30 mars 2026 par Check Point Research, cet article dĂ©taille la dĂ©couverte d’une vulnĂ©rabilitĂ© d’exfiltration de donnĂ©es dans l’environnement d’exĂ©cution de code de ChatGPT (OpenAI). La faille a Ă©tĂ© corrigĂ©e par OpenAI le 20 fĂ©vrier 2026 aprĂšs signalement par CPR. đŸ§© MĂ©canisme de la vulnĂ©rabilitĂ© L’environnement d’exĂ©cution Python de ChatGPT (Data Analysis / Code Execution) est censĂ© ĂȘtre isolĂ© d’internet. Cependant, CPR a dĂ©couvert que la rĂ©solution DNS restait disponible malgrĂ© le blocage des connexions sortantes directes. Cette caractĂ©ristique a permis de construire un tunnel DNS entre le runtime isolĂ© et un serveur contrĂŽlĂ© par l’attaquant : ...

3 avril 2026 Â· 3 min

Opération TrueChaos : exploitation d'un 0-day TrueConf contre des gouvernements d'Asie du Sud-Est

🔍 Contexte PubliĂ© le 31 mars 2026 par Check Point Research, ce rapport documente l’opĂ©ration TrueChaos, une campagne d’espionnage ciblĂ©e contre des entitĂ©s gouvernementales en Asie du Sud-Est, exploitant une vulnĂ©rabilitĂ© zero-day dans le client TrueConf, une plateforme de vidĂ©oconfĂ©rence on-premises. 🐛 VulnĂ©rabilitĂ© : CVE-2026-3502 CVSS score : 7.8 La faille rĂ©side dans l’absence de vĂ©rification d’intĂ©gritĂ© et d’authenticitĂ© dans le mĂ©canisme de mise Ă  jour du client TrueConf Un attaquant contrĂŽlant le serveur TrueConf on-premises peut remplacer le paquet de mise Ă  jour lĂ©gitime par un exĂ©cutable arbitraire Le client fait confiance au serveur sans validation, permettant la distribution et l’exĂ©cution de fichiers malveillants sur tous les endpoints connectĂ©s Correctif disponible dans TrueConf Windows client version 8.5.3 (mars 2026) ⚔ DĂ©roulement de l’attaque L’attaquant compromet le serveur TrueConf on-premises d’un dĂ©partement IT gouvernemental Il remplace le paquet de mise Ă  jour (trueconf_client.exe) par une version weaponisĂ©e Un lien est envoyĂ© aux cibles pour dĂ©clencher le client TrueConf et afficher une invite de mise Ă  jour Le paquet malveillant (construit avec Inno Setup) installe lĂ©gitimement la version 8.5.2 tout en dĂ©posant : poweriso.exe (binaire bĂ©nin) 7z-x64.dll (implant malveillant) dans c:\programdata\poweriso\ DLL side-loading via poweriso.exe pour charger 7z-x64.dll đŸ› ïž Post-exploitation Reconnaissance : tasklist, tracert 8.8.8.8 TĂ©lĂ©chargement via FTP depuis 47.237.15[.]197 d’un loader iscsiexe.dll dans update.7z Bypass UAC via iscsicpl.exe (SysWOW64) et DLL search-order hijacking Modification du PATH utilisateur : HKCU\environment Persistance via HKCU\Software\Microsoft\Windows\CurrentVersion\Run\UpdateCheck pointant vers PowerISO.exe DĂ©ploiement final d’un implant Havoc communiquant avec l’infrastructure C2 de l’acteur 🎯 Attribution Check Point Research attribue avec confiance modĂ©rĂ©e cette opĂ©ration Ă  un acteur Ă  nexus chinois, sur la base de : ...

3 avril 2026 Â· 3 min

Transferabilité des modÚles ML pour la détection de malwares PE Windows : étude comparative

🔬 Contexte PubliĂ© le 3 avril 2026 sur arXiv (preprint), cet article de recherche acadĂ©mique est produit par des chercheurs du GECAD/ISEP (Polytechnic of Porto, Portugal). Il Ă©value la transfĂ©rabilitĂ© de modĂšles de Machine Learning (ML) pour la dĂ©tection statique de fichiers Portable Executable (PE) Windows malveillants, en s’appuyant sur le standard de features EMBER-v2 (2 381 dimensions). 🎯 ProblĂ©matique Les auteurs identifient deux dĂ©fis majeurs dans la dĂ©tection ML de malwares : ...

3 avril 2026 Â· 2 min

Opération TrueChaos : zero-day dans TrueConf exploité contre des gouvernements en Asie du Sud-Est

🔍 Contexte PubliĂ© le 30 mars 2026 par Check Point Research, ce rapport dĂ©taille l’OpĂ©ration TrueChaos, une campagne d’espionnage ciblĂ©e dĂ©couverte dĂ©but 2026. L’attaque exploite une vulnĂ©rabilitĂ© zero-day (CVE-2026-3502, CVSS 7.8) dans le client Windows de TrueConf, une plateforme de vidĂ©oconfĂ©rence dĂ©ployĂ©e dans des environnements gouvernementaux, de dĂ©fense et d’infrastructure critique. 🎯 Vecteur d’attaque Les attaquants ont compromis un serveur TrueConf on-premises opĂ©rĂ© par une organisation IT gouvernementale, puis ont remplacĂ© une mise Ă  jour lĂ©gitime du client par une mise Ă  jour malveillante. Le client TrueConf ne vĂ©rifiait pas suffisamment l’intĂ©gritĂ© ou l’authenticitĂ© du paquet de mise Ă  jour avant exĂ©cution, permettant ainsi : ...

2 avril 2026 Â· 2 min

Un infostealer expose un agent DPRK derriĂšre l'attaque supply chain Polyfill.io et une infiltration crypto US

🔍 Contexte PubliĂ© le 2 avril 2026 par Hudson Rock sur infostealers.com, ce rapport prĂ©sente une analyse forensique exhaustive d’un endpoint compromis par le stealer LummaC2 (build du 31 juillet 2024), infectĂ© le 6 aoĂ»t 2024. La machine (DESKTOP-OG1CFR5, IP 192.161.60.132, Windows 10 Enterprise) appartenait Ă  un opĂ©rateur nord-corĂ©en travaillant pour le syndicat chinois Funnull. 💀 Vecteur d’infection L’opĂ©rateur a lui-mĂȘme tĂ©lĂ©chargĂ© un faux installateur logiciel hĂ©bergĂ© sur MediaFire (@#Full_Istaller_Pc_Setup_2024_PaSSWáčrD^$.zip), contenant le payload LummaC2. L’infection a permis l’exfiltration de 100+ credentials, 7 000+ logs de navigation, accĂšs Cloudflare admin et des milliers de traductions Google internes. ...

2 avril 2026 Â· 4 min

Vertex AI : une faille 'double agent' expose les environnements GCP via des agents IA sur-privilégiés

🔍 Contexte PubliĂ© le 31 mars 2026 par Ofir Shaty (Unit 42 / Palo Alto Networks), cet article prĂ©sente les rĂ©sultats d’une recherche offensive sur la plateforme Google Cloud Platform Vertex AI, et plus prĂ©cisĂ©ment sur son composant Agent Engine et l’Application Development Kit (ADK). 🎯 VulnĂ©rabilitĂ© identifiĂ©e Les chercheurs ont dĂ©couvert que le Per-Project, Per-Product Service Agent (P4SA) associĂ© Ă  un agent IA dĂ©ployĂ© via Vertex AI Agent Engine dispose de permissions excessives accordĂ©es par dĂ©faut. En exploitant ces permissions, il est possible d’extraire les credentials du service agent suivant : ...

2 avril 2026 Â· 2 min

Campagne de password spraying liée à l'Iran ciblant Microsoft 365 au Moyen-Orient

🌐 Contexte Check Point Research (CPR) publie le 1er avril 2026 une analyse d’une campagne de password spraying active, attribuĂ©e avec une confiance modĂ©rĂ©e Ă  un acteur liĂ© Ă  l’Iran, ciblant des environnements Microsoft 365 principalement au Moyen-Orient. 🎯 Cibles et portĂ©e La campagne a impactĂ© : Plus de 300 organisations en IsraĂ«l et plus de 25 aux Émirats arabes unis Un nombre limitĂ© de cibles en Europe, États-Unis, Royaume-Uni et Arabie Saoudite Les secteurs principalement visĂ©s incluent : ...

1 avril 2026 Â· 2 min

Exposition massive de clés API sur le web : 1 748 credentials actifs identifiés sur 10M de pages

🔬 Contexte Publication de recherche acadĂ©mique (arXiv, mars 2026) conduite par des chercheurs de Stanford University, UC Davis et TU Delft. L’étude porte sur l’exposition de credentials API sur le web public via l’analyse dynamique de 10 millions de pages web issues du dataset HTTP Archive (crawl septembre 2025). 📊 PĂ©rimĂštre et mĂ©thodologie Les chercheurs ont utilisĂ© TruffleHog (v3.90.8) pour dĂ©tecter les credentials dans les fichiers HAR (HTTP Archive), couvrant environ 200 TB de donnĂ©es. Seuls les credentials vĂ©rifiĂ©s via les API officielles des fournisseurs ont Ă©tĂ© retenus, constituant une borne infĂ©rieure des expositions rĂ©elles. 14 types de services ont Ă©tĂ© analysĂ©s : AWS, Azure, Alibaba, Cloudflare, Stripe, RazorPay, Telegram, Mailchimp, SendGrid, Twilio, Slack, OpenAI, GitHub, Bitly. ...

1 avril 2026 Â· 3 min
Derniùre mise à jour le: 5 juillet 2026 📝