Publication De Recherche

Source: USENIX Security 2025 — Dans un article de recherche, des auteurs de la Singapore University of Technology and Design dévoilent SNI5GECT, un framework open source pour le sniffing et l’injection de messages 5G NR avant authentification, permettant des attaques ciblées sans déployer de rogue gNB. SNI5GECT agit comme un tiers sur l’interface radio: il synchronise la cellule, sniffe en temps réel les messages uplink/downlink pré-authentification (DCI/PDCCH, PDSCH, PUSCH), suit l’état du protocole (RACH, RRC attach, NAS) puis injecte des payloads en downlink au bon moment. Il atteint >80% d’exactitude de sniffing UL/DL et 70–90% de réussite d’injection jusqu’à 20 m. L’équipe a évalué l’outil avec 5 UEs 5G (OnePlus Nord CE2/MediaTek, Galaxy S22/X65, Pixel 7/Exynos 5300, Huawei P40 Pro/Balong 5000, modem Fibocom X55) et avec un gNB open-source (srsRAN) et un gNB commercial (Effnet + Phluido RRU) via USRP B210. 🔬📶 ...

Selon Zscaler ThreatLabz, dans une publication de recherche sur une attaque de supply chain visant les développeurs Python, un package PyPI nommé termncolor importe une dépendance malveillante (colorinal) pour lancer une chaîne d’attaque sophistiquée affectant Windows et Linux. L’attaque débute lorsque termncolor importe colorinal, dont le fichier unicode.py charge terminate.dll via ctypes.CDLL. La DLL utilise un chiffrement AES-CBC avec la clé “xterminalunicode” pour déchiffrer et déposer deux fichiers dans %LOCALAPPDATA%\vcpacket: vcpktsvr.exe (fichier signé légitime) et libcef.dll (charge utile malveillante). La persistance est assurée via la clé Run du Registre Windows. ...

Source: Bishop Fox — Dans un billet de recherche, Bishop Fox présente une méthodologie exploitant des modèles de langage pour accélérer et fiabiliser le « patch diffing » afin d’orienter la découverte de vulnérabilités à partir de correctifs. 🧪 Méthodologie: Les chercheurs combinent Binary Ninja (décompilation), BinDiff (analyse différentielle) et un prompting itératif avec LLM pour classer les fonctions par pertinence vis-à-vis de la vulnérabilité. L’approche vise à prioriser rapidement les zones de code à auditer après l’application d’un patch. ...

Bitdefender Labs publie une recherche approfondie sur « Curly COMrades », un cluster d’activité malveillante suivi depuis mi‑2024, opérant au bénéfice d’intérêts russes. Les cibles confirmées incluent des entités judiciaires et gouvernementales en Géorgie ainsi qu’une entreprise de distribution d’énergie en Moldavie. 🎯 Le groupe vise l’accès persistant et le vol d’identifiants (NTDS, LSASS), s’appuie sur des proxies (Resocks, SSH, Stunnel) et exécute des commandes distantes (probablement via Atexec/Impacket). Il dissimule son C2 et l’exfiltration de données en relayant le trafic via des sites légitimes compromis, compliquant détection et attribution. 🕵️‍♂️🌐 ...

Source: College of Engineering at Carnegie Mellon University (engineering.cmu.edu). Contexte: une équipe de CMU a étudié la capacité des modèles de langage à planifier et mener des attaques réseau complexes de manière autonome dans des environnements d’entreprise réalistes. 🔬 Les chercheurs montrent que des LLM, lorsqu’ils sont dotés d’une abstraction de « modèle mental » du red teaming et intégrés à un système hiérarchique d’agents, peuvent passer de simples outils passifs à de véritables agents de red team autonomes, capables de coordonner des cyberattaques multi‑étapes sans instructions humaines détaillées. ...

Selon un rapport de recherche publié le 8 août 2025, la convergence de technologies émergentes (IA, IoT, edge/fog, blockchain/DLT, communications quantiques, satellites LEO, jumeaux numériques, BCI/robotique, personnalisation en santé, etc.) transforme profondément le paysage des menaces et des défenses en cybersécurité. Le document dresse un panorama des paires et groupements technologiques les plus discutés (ex. Digital Twins + IA, Blockchain + IA, IA + IoT, Edge + IoT, LEO + communications quantiques, BCI + robotique, IA + médecine personnalisée, Comms quantiques + IoT), en soulignant des risques récurrents: attaque par empoisonnement de modèles, adversarial ML, manipulation/altération des données, atteintes à la vie privée, élargissement de la surface d’attaque et tensions réglementaires (ex. immutabilité blockchain vs droit à l’effacement). ...

Selon WatchTowr Labs, une vulnérabilité critique CVE-2025-25256 affecte FortiSIEM (versions 5.4 à 7.3.1), permettant une injection de commandes pré-authentification via le composant phMonitor exposé sur le port 7900, avec un risque de compromission complète du SIEM. Le problème réside dans l’usage non sûr de ShellCmd::addParaSafe dans la fonction handleStorageArchiveRequest du binaire C++ phMonitor. Des payloads XML malveillants peuvent injecter des commandes dans les champs archive_nfs_server_ip ou archive_nfs_archive_dir, lorsque archive_storage_type est défini sur « nfs » et que les deux paramètres (IP et répertoire) sont fournis. ...

Source: Lares (blog) — Dans une étude de cas de test d’intrusion en Identity & Access Management, des chercheurs montrent comment une architecture de connexion faible et l’absence de MFA ont permis un accès non autorisé à des systèmes internes et à des données sensibles. Les testeurs ont exploité un portail MDM externe qui validait les identifiants directement contre l’Active Directory interne, sans multi‑facteur. Après une authentification réussie via Microsoft Online Services, l’utilisateur était redirigé vers des systèmes CRM internes. ...

Selon PolySwarm, des chercheurs ont analysé ‘Plague’, un backdoor Linux sophistiqué qui s’intègre au flux d’authentification en se faisant passer pour un module PAM légitime, afin de fournir un accès SSH persistant et un contournement de l’authentification. L’échantillon se présente comme libselinux.so.8 et persiste discrètement avec très peu de traces forensiques tout en survivant aux mises à jour système. Le malware exploite des mots de passe statiques pour une entrée clandestine (ex. ‘Mvi4Odm6tld7’ et ‘changeme’), et met en place des capacités de furtivité comme la désactivation de variables SSH et la redirection de l’historique shell (HISTFILE) vers /dev/null. 🐧🔐 ...

Selon Mend (référence: mend.io), une nouvelle voie d’attaque dite slopsquatting exploite la tendance des assistants de codage IA à proposer des dépendances inexistantes, que des attaquants enregistrent ensuite en packages malveillants, créant un risque majeur pour la supply chain logicielle. Un package halluciné a déjà cumulé plus de 30 000 téléchargements. L’étude, menée sur 16 LLMs et 500 000+ prompts, mesure des taux d’hallucination de packages allant de 3,59% (GPT-4 Turbo) à 33%+ (CodeLlama). Les modèles open-source affichent 21,7% en moyenne contre 5,2% pour les modèles commerciaux. Au total, 205 000+ noms de packages hallucinés ont été observés, dont 43% répétés de manière récurrente. ...