Publication De Recherche

Selon RSF Digital Security Lab (Reporters sans frontières), en collaboration avec RESIDENT.NGO et avec un appui d’Amnesty International Security Lab, un nouveau spyware Android nommé « ResidentBat » a été mis au jour après l’infection du téléphone d’un journaliste biélorusse au T3 2025, consécutive à une saisie par le KGB. • Le spyware, empaqueté en APK et installé via accès physique (pas d’exploits), abuse de permissions étendues et d’un service d’accessibilité pour collecter des SMS, appels entrants/sortants (avec enregistrement d’appels), fichiers, photos/vidéos, microphone, captures d’écran/vidéo (MediaProjection), presse-papiers (jusqu’à Android 10), localisation, notifications et contenus d’apps (messageries comme Telegram, Viber, Skype, VK, Signal, WhatsApp, etc.). Il se déclare Device Admin, peut verrouiller ou effacer l’appareil, et persiste en service au premier plan. ...

Source : Kaspersky (Security technologies, 11 décembre 2025). Contexte : l’article analyse comment identifier le framework de post‑exploitation open source Mythic dans le trafic réseau, alors que ces outils (Mythic, Sliver, Havoc, Adaptix C2) sont de plus en plus utilisés par des acteurs malveillants, dont Mythic Likho (Arcane Wolf) et GOFFEE (Paper Werewolf). Le focus porte sur la tactique MITRE ATT&CK Command and Control (TA0011) et la détection NDR/IDS. • Aperçu du framework et des canaux C2. Mythic multiplie agents (Go, Python, C#) et transports (HTTP/S, WebSocket, TCP, SMB, DNS, MQTT). Deux architectures sont décrites : P2P entre agents via SMB/TCP, ou communication directe vers le serveur C2 via HTTP/S, WebSocket, MQTT ou DNS. Les agents priorisent l’évasion EDR, mais restent détectables via l’analyse réseau. ...

Selon une publication de recherche de Koi (blog Koi.ai) datée du 16 décembre 2025, des extensions populaires marquées comme mises en avant sur les stores Chrome et Edge interceptent et exfiltrent des conversations d’IA à grande échelle. 🔍 Découverte et portée Koi, via son moteur de risque Wings, a identifié Urban VPN Proxy (plus de 6 M d’utilisateurs, badge Featured) comme collectant par défaut les conversations sur plusieurs plateformes d’IA, dont ChatGPT, Claude, Gemini, Microsoft Copilot, Perplexity, DeepSeek, Grok (xAI), Meta AI. La même logique de collecte apparaît dans sept autres extensions du même éditeur, totalisant plus de 8 millions d’utilisateurs. ...

Selon Check Point Research, cette publication détaille les opérations d’« Ink Dragon » (chevauchement avec Earth Alux, Jewelbug, REF7707, CL-STA-0049), un cluster APT évalué comme aligné PRC, actif depuis au moins 2023 contre des entités gouvernementales, télécom et secteur public, d’abord en Asie du Sud-Est et Amérique du Sud, avec une expansion récente en Europe. Le rapport met en avant l’usage d’un module ShadowPad pour IIS qui transforme les victimes en nœuds de relais C2, ainsi qu’un nouvel échantillon de FinalDraft plus furtif. ...

Selon une publication de recherche d’Infoblox datée du 16 décembre 2025 et reprise par le journaliste spécialisé Brian Krebs, la navigation directe vers des domaines expirés, parkés ou typosquattés expose désormais majoritairement les internautes à des redirections malveillantes. 🚨 Constat clé: alors qu’en 2014 les redirections malveillantes sur domaines parkés étaient observées dans <5 % des cas, Infoblox relève qu’en 2025 plus de 90 % des visites mènent à du contenu illégal, arnaques, scareware/abonnements antivirus, ou malwares. Les parkings vendent les « clics » à des réseaux publicitaires qui les revendent souvent, jusqu’à un annonceur final sans lien direct avec le parking. ...

Source: Kaspersky ICS CERT — Contexte: publication de recherche (16 déc. 2025) décrivant l’évaluation de sécurité du SoC Unisoc UIS7862A intégré aux head units de véhicules chinois et à divers appareils mobiles. Les chercheurs ont identifié plusieurs vulnérabilités critiques dans la pile protocolaire cellulaire du modem intégré. L’article se concentre sur une vulnérabilité de type dépassement de pile dans l’implémentation 3G RLC en mode UM, référencée CVE-2024-39432, permettant une exécution de code à distance (RCE) dès les premières étapes de connexion, avant l’activation des mécanismes de protection. Une section distincte mentionne également CVE-2024-39431 liée à l’accès distant au modem. ...

Dans un billet de blog daté du 10 décembre 2025, Simcha Kosman décrit une méthode qui combine analyse statique CodeQL et raisonnement LLM afin de réduire drastiquement les faux positifs et de concentrer les équipes sur des failles réellement exploitables. L’auteur introduit l’outil Vulnhalla, conçu pour laisser passer uniquement les « vrais » problèmes. En moins de 48 h et pour moins de 80 $, l’approche a permis d’identifier des vulnérabilités publiées sous les identifiants CVE-2025-38676 (Linux Kernel), CVE-2025-0518 (FFmpeg), CVE-2025-27151 (Redis), CVE-2025-8854 (Bullet3), CVE-2025-9136 (RetroArch), CVE-2025-9809 (Libretro) et CVE-2025-9810 (Linenoise), avec divulgation responsable préalable aux éditeurs. ...

Selon Palo Alto Networks (Unit 42), un nouveau ransomware nommé 01flip a été observé dès juin 2025, utilisé par le cluster financier CL-CRI-1036 contre un nombre limité de victimes en Asie-Pacifique, incluant des entités d’infrastructures critiques en Asie du Sud-Est. Les opérateurs demandent 1 BTC et communiquent via e‑mail/messagerie privée. Une publication sur forum clandestin évoque des fuites concernant des victimes aux Philippines et à Taïwan, bien que 01flip lui‑même n’intègre pas d’exfiltration. Aucune vitrine de double extorsion n’a été constatée. ...

Selon des chercheurs de ReversingLab, 19 extensions malveillantes ont été identifiées sur le Marketplace VS Code, la majorité embarquant un fichier malveillant se faisant passer pour une image PNG. Campagne malveillante ciblant VS Code via des dépendances piégées 1. Contexte général Les chercheurs de ReversingLabs ont identifié une campagne active depuis février 2025, découverte le 2 décembre 2025, impliquant 19 extensions malveillantes Visual Studio Code publiées sur le VS Code Marketplace. ...

ReversingLabs publie une enquête sur une campagne active depuis février 2025 révélant 19 extensions VS Code malveillantes qui cachent des charges utiles dans leurs dépendances, notamment une fausse image PNG contenant des binaires. Les extensions malicieuses incluent des dépendances pré-packagées dans le dossier node_modules dont le contenu a été altéré par l’attaquant. La dépendance populaire path-is-absolute a été modifiée localement (sans impact sur le package npm officiel) pour ajouter du code déclenché au démarrage de VS Code, chargé de décoder un dropper JavaScript stocké dans un fichier nommé ’lock’ (obfuscation par base64 puis inversion de la chaîne). ...