Publication De Recherche

Selon Pentera Labs (blog Pentera.io), une étude à grande échelle montre que des applications de formation volontairement vulnérables (OWASP Juice Shop, DVWA, Hackazon, bWAPP…) laissées accessibles sur Internet dans des environnements cloud sont activement exploitées, ouvrant la voie à des compromissions de rôles IAM sur‑privilégiés et à des mouvements latéraux vers des systèmes sensibles. • Constat global: plus de 10 000 résultats bruts collectés via des moteurs (Shodan, Censys), conduisant à 1 926 applications vulnérables vérifiées et en ligne, déployées sur 1 626 serveurs uniques; près de 60 % (974) sur des infrastructures cloud d’entreprise (AWS, Azure, GCP). 109 jeux d’identifiants temporaires de rôles cloud exposés ont été trouvés, souvent avec des permissions trop larges (jusqu’à AdministratorAccess), permettant des actions à fort impact (accès aux stockages S3/GCS/Azure Blob, Secrets Manager, registres de conteneurs, déploiement/destruction de ressources, etc.). ...

Source: GreyNoise Intelligence — Analyse de trafic capturé par le Global Observation Grid (GOG) sur ~90 jours (20 oct. 2025 – 19 janv. 2026). L’étude met en évidence une énumération de plugins WordPress via des requêtes ciblant /wp-content/plugins/*/readme.txt, précédemment classées à tort en simple « Web Crawler ». Volume et périmètre: 40 090 événements uniques (combinaisons jour+IP+plugin), ~91K sessions totales; 994 IPs, 145 ASNs, 706 plugins ciblés; 84 JA4T et 131 JA4H; médiane quotidienne 282 enregistrements, pic à 6 550. Activité inégalement répartie entre les plugins, avec une attention soutenue sur certains. ...

Source : Check Point Research (blog technique). CPR présente VoidLink comme un cas probant de malware avancé généré quasi intégralement par une IA, probablement dirigée par un seul développeur, et expose les artefacts qui retracent sa conception accélérée. Le cadre est décrit comme mature, modulaire et hautement fonctionnel, avec un C2 dédié et des capacités pour eBPF, rootkits LKM, énumération cloud et post‑exploitation en environnements conteneurisés. L’architecture et l’opérationnel ont évolué rapidement vers une plateforme complète, avec une infrastructure C2 mise en place au fil des itérations. 🤖 ...

Publication de recherche académique (CISPA Helmholtz Center for Information Security). Les auteurs présentent « StackWarp », une attaque logicielle qui exploite un contrôle inter‑hyperthread de la « stack engine » sur AMD Zen pour modifier de manière déterministe le pointeur de pile (RSP) d’un invité SEV‑SNP, et ainsi casser ses garanties d’intégrité. Le cœur de la vulnérabilité réside dans un bit non documenté d’un MSR par‑cœur (0xC0011029, bit 19) qui active/désactive la stack engine. Son état n’est pas correctement synchronisé entre les deux threads SMT du même cœur. En basculant ce bit au moment où l’autre thread exécute des instructions de pile (push/pop/call/ret), la mise à jour architecturale de RSP est retardée (« freeze‑release »), ce qui permet d’injecter un décalage ±∆ choisi par l’attaquant, jusqu’à 640 octets en un coup, avec une précision au niveau instruction. L’effet est bidirectionnel, déterministe, et observé sur Zen 1 à Zen 5, y compris sur des Zen 4/Zen 5 « entièrement patchés » avec SMT activé. ...

Selon Hunt.io, une analyse « host-centric » sur trois mois a mis au jour plus de 18 000 serveurs de commande et contrôle (C2) actifs répartis sur 48 fournisseurs d’infrastructure en Chine, montrant une forte concentration de l’abus sur quelques grands FAI et clouds. • Panorama quantitatif. L’étude recense 21 629 artefacts malveillants, dont 18 130 C2 (~84%), 2 837 sites de phishing (~13%), 528 répertoires ouverts et 134 IOCs publics. China Unicom concentre près de la moitié des C2 (≈9 100), devant Alibaba Cloud et Tencent (~3 300 chacun). Les réseaux de confiance élevés comme China169 Backbone, CHINANET et CERNET sont activement abusés. ...

Mandiant publie un dataset complet de tables arc‑en‑ciel dédié à Net‑NTLMv1, avec l’objectif déclaré de faciliter la démonstration de l’insécurité du protocole et d’en accélérer la dépréciation. L’initiative s’appuie sur l’expertise de terrain de Mandiant et les ressources de Google Cloud, et met en avant la possibilité de récupérer des clés en moins de 12 heures avec du matériel grand public coûtant moins de 600 $. Contexte: Net‑NTLMv1 est connu comme insecure depuis au moins 2012 (présentations à DEFCON 20), avec une cryptanalyse remontant à 1999. La prise en charge par Hashcat (2016) du craquage de clés DES via known plaintext a démocratisé l’attaque. Les tables arc‑en‑ciel existent depuis 2003 (Oechslin), héritant des travaux de Hellman (1980). Quand un attaquant obtient un hash Net‑NTLMv1 sans ESS (Extended Session Security) avec le texte clair connu 1122334455667788, une known plaintext attack (KPA) permet de récupérer de façon garantie le matériau de clé, c’est‑à‑dire le hash de mot de passe de l’objet Active Directory (AD) (utilisateur ou compte machine), facilitant une escalade de privilèges. ...

Selon Check Point Research, VoidLink est un framework malware « cloud-first » pour Linux, repéré en décembre 2025, en cours d’évolution rapide et attribué à des développeurs affiliés à la Chine (affiliation exacte incertaine). Les échantillons observés contiennent des artefacts de développement, une architecture modulaire ambitieuse et une documentation suggérant un usage commercial potentiel, sans preuve d’infections en conditions réelles à la date de publication. • Vue d’ensemble 🐧☁️: VoidLink est un implant écrit en Zig, pensé pour les environnements modernes (AWS, GCP, Azure, Alibaba, Tencent) et capable de détecter Docker/Kubernetes pour adapter son comportement. Il collecte des métadonnées cloud, profile le système/hyperviseur et cible aussi des éléments tels que les identifiants de dépôt Git, indiquant un intérêt possible pour les postes d’ingénieurs et la chaîne d’approvisionnement. Objectif principal: accès furtif et durable, surveillance et exfiltration de données. ...

Source : Eaton, 14 janvier 2026 — Dans un billet de recherche, Eaton détaille la découverte et la divulgation de vulnérabilités critiques dans BLUVOYIX, la plateforme SaaS de logistique maritime de Bluspark Global, utilisée par environ 500 entreprises. Ces failles permettaient une prise de contrôle complète de la plateforme, l’accès à toutes les données et expéditions (certaines depuis 2007) et même l’annulation de shipments. Les problèmes étaient corrigés à la date de publication. 🚢 ...

Source: Check Point Research (CPR) – Analyse publiée sur le blog de recherche de Check Point. CPR documente « Sicarii », une opération de ransomware-as-a-service (RaaS) observée depuis fin 2025, qui revendique une identité israélienne/juive tout en opérant surtout en russe et en anglais, et n’ayant à ce jour publié qu’une victime revendiquée. 🔎 Contexte et identité: Sicarii affiche une imagerie et des références idéologiques israéliennes (hébreu, symboles historiques, références à des groupes extrémistes) et affirme une motivation à la fois financière et idéologique (incitations contre des cibles arabes/musulmanes). CPR relève toutefois des incohérences linguistiques (hébreu non natif, erreurs de traduction), une activité souterraine principalement en russe, et un comportement qui suggère une manipulation d’identité ou un signalement performatif plutôt qu’une affiliation authentique. ...

Selon une publication PromptArmor, une démonstration détaille comment des attaquants peuvent exfiltrer des fichiers depuis Claude Cowork (recherche preview) en exploitant une vulnérabilité d’isolation reconnue mais non corrigée dans l’environnement d’exécution de code, initialement signalée par Johann Rehberger. Anthropic a averti que Cowork comporte des risques spécifiques liés à son caractère agentique et à son accès Internet. Principale découverte: l’attaque contourne les restrictions réseau du VM de Claude grâce à l’allowlisting de l’API Anthropic, permettant une exfiltration de données vers le compte de l’attaquant sans intervention humaine. Le scénario s’appuie sur une injection de prompt indirecte dissimulée dans un fichier que l’utilisateur charge dans Cowork. ...