Publication De Recherche

🔍 Contexte Publié le 30 avril 2026 par l’AI Security Institute (AISI) du Royaume-Uni, ce rapport présente les résultats d’une évaluation des capacités cyber offensives de GPT-5.5 d’OpenAI, réalisée sur un snapshot précoce du modèle. Il fait suite à une évaluation similaire du modèle Claude Mythos Preview d’Anthropic, premier modèle à avoir résolu une simulation d’attaque réseau complète. 📊 Résultats sur les tâches cyber avancées L’AISI utilise une suite de 95 tâches cyber réparties en 4 niveaux de difficulté, au format Capture The Flag (CTF). Les tâches avancées, développées avec les firmes Crystal Peak Security et Irregular, couvrent : ...

🔍 Contexte Publié le 30 avril 2026 par l’Acronis Threat Research Unit (TRU), ce rapport documente des campagnes actives d’abus des plateformes de distribution IA Hugging Face et ClawHub (écosystème OpenClaw) pour la livraison de malwares déguisés en modèles, datasets et extensions légitimes. 🎯 Vecteurs d’attaque principaux ClawHub / OpenClaw 575 skills malveillants identifiés, distribués par 13 comptes développeurs Deux acteurs principaux : hightower6eu (334 skills, 58%) et sakaen736jih (199 skills, 35%) Ciblage cross-platform : Windows et macOS Technique clé : indirect prompt injection — des instructions malveillantes cachées dans des fichiers SKILL.md ou README poussent les agents IA à exécuter des actions malveillantes Les skills instruisent les utilisateurs à télécharger des archives protégées par mot de passe et des binaires non vérifiés depuis GitHub Hugging Face Utilisé comme infrastructure de staging dans des chaînes d’infection multi-étapes Campagne ITHKRPAW : ciblage du secteur financier et d’entités au Vietnam, usage de Cloudflare Workers pour déployer un script PowerShell dropper, payload omni-agent-v4.exe déguisé en microsoft-update-assist.exe Campagne FAKESECURITY : script batch CDC1.bat avec blob PowerShell encodé, dropper multi-étapes avec injection de processus dans explorer.exe, payload final déguisé en Windows Defender 🛠️ Techniques observées Social engineering via des noms de dépôts attractifs et README bien rédigés Obfuscation : encodage base64, XOR (clé 30 octets, clé 0xF1), chaînes déchiffrées à l’exécution In-memory execution et process injection dans explorer.exe Persistence : tâches planifiées (WindowsSystemService, RuntimeBrokerService), clés Run registry Évasion : exclusions Windows Defender, suppression Zone.Identifier (Mark-of-the-Web), mutex C2 chiffré : canal AES-CBC sur HTTPS vers velvet-parrot.com:443 Dead-drop resolver via bot Telegram (t.me/dusty_vintage) Payload macOS : script shell téléchargé depuis IP 91.92.242.30, suppression des attributs étendus (xattr -c) 🦠 Payloads identifiés AMOS Stealer : infostealer macOS vendu en MaaS via Telegram Trojan (binaire Windows packé avec VMProtect) Cryptominer : déposé comme svchost.exe / RuntimeBroker.exe Loader : ClawHub-DependencyInstaller.exe avec déchiffrement AES-CBC en mémoire RATs, infostealers, loaders divers sur Hugging Face (Windows, Linux, Android) 📌 Type d’article Il s’agit d’une publication de recherche technique produite par Acronis TRU, visant à documenter et quantifier l’abus des écosystèmes IA comme nouveaux vecteurs de distribution de malwares, avec fourniture d’IOCs exploitables. ...

🔍 Contexte Publié le 29 avril 2026 sur le blog de Xint (xint.io), cet article est une divulgation publique coordonnée de CVE-2026-31431, surnommé « Copy Fail », découvert par le chercheur Taeyang Lee (Theori) avec l’assistance de l’outil d’analyse automatisée Xint Code. La vulnérabilité a été signalée à l’équipe de sécurité du noyau Linux le 23 mars 2026 et corrigée en mainline le 1er avril 2026. 🐛 Nature de la vulnérabilité Copy Fail est un bug logique dans le template AEAD authencesn du noyau Linux, combiné à deux mécanismes : ...

🔍 Contexte Article de recherche publié le 28 avril 2026 par Ax Sharma (Manifold Security). L’analyse porte sur 30 skills publiés sur la plateforme ClawHub par un auteur unique nommé imaflytok, totalisant environ 9 800 téléchargements. ⚙️ Mécanisme technique Les skills utilisent un protocole maison appelé Open Agent Discovery Protocol (OADP) dont tous les endpoints pointent vers onlyflies.buzz/clawswarm. Le vecteur d’infection repose sur : Un commentaire HTML caché dans un fichier AGENTS.md créé dans le workspace de l’agent au premier lancement L’agent lit ce fichier à chaque démarrage de session et envoie une requête d’enregistrement vers https://onlyflies.buzz/clawswarm/api/v1/agents/register Le serveur retourne un ID et un secret stockés dans ~/.config/clawswarm/credentials.json Un fichier HEARTBEAT.md déclenche un check-in toutes les 4 heures pour récupérer des tâches Le skill clawswarm-wallet génère une clé privée Hedera (HBAR) et l’envoie au serveur Le skill oadp-beacon propage les marqueurs OADP dans d’autres fichiers du workspace Le hostname de la machine est exfiltré lors du ping d’enregistrement 🎯 Objectif de la campagne Les skills fournissent une utilité réelle (gestion de cron, variables d’environnement, initialisation de workspace) pour passer les inspections superficielles. En réalité, ils constituent un funnel d’acquisition pour un réseau d’agents économiques centré sur le token $FLY (créé le 30 décembre 2024), avec un groupe Telegram de 32 membres publiant des rapports de suivi de baleines Hedera. ...

🔍 Contexte Publié le 20 avril 2026 par Netcraft (Harry Freeborough), cet article présente une investigation approfondie sur Fibergrid, un hébergeur bulletproof actif depuis au moins 2018, identifié comme infrastructure centrale d’une criminalité en ligne à grande échelle. 🏗️ Infrastructure et adresses IP volées Netcraft a identifié 16 700 faux shops actifs hébergés sur l’infrastructure liée à Fibergrid. L’une des caractéristiques distinctives de Fibergrid est la possession de trois plages d’adresses IPv4 issues de l’AFRINIC, représentant 1 million d’adresses IP (valeur estimée : 20 à 25 millions USD), obtenues dans le cadre du scandale dit du « Great African IP Address Heist » (2019) impliquant un ex-dirigeant de l’AFRINIC : ...

🔍 Contexte Publié le 23 avril 2026 par le Citizen Lab (Université de Toronto), ce rapport de recherche documente deux campagnes distinctes de surveillance télécom menées par des acteurs désignés STA1 et STA2, identifiés comme des vendeurs commerciaux de surveillance (CSV) opérant probablement pour le compte d’États. L’investigation a débuté fin 2024 suite à l’analyse de logs de pare-feu de signalisation mobile, en collaboration avec Cellusys, Telenor Linx, Roaming Audit et P1 Security. ...

🔍 Contexte Publié le 23 avril 2026 par The Register, cet article couvre une présentation donnée à la conférence Black Hat Asia à Singapour par Ilan Kalendarov et Ben Zamir de la société de sécurité Cymulate. Leur talk, intitulé “Breaking Hybrid Boundaries Across Azure and Windows”, porte sur des vulnérabilités découvertes dans Microsoft Windows Admin Center (WAC). 🛡️ Vulnérabilités identifiées Quatre CVEs ont été découvertes et signalées à Microsoft, qui a depuis publié des correctifs : ...

📰 Source : Help Net Security, 23 avril 2026. Étude de mesure académique sur le tracking web dans 10 juridictions mondiales. Contexte Des chercheurs ont crawlé un ensemble de sites web populaires depuis des machines virtuelles localisées dans 10 pays : Australie, Brésil, Canada, Allemagne, Inde, Singapour, Afrique du Sud, Corée du Sud, Espagne et Californie. L’objectif était de mesurer l’exposition réelle aux trackers selon la juridiction et le régime réglementaire applicable. ...

🔍 Contexte Publié le 23 avril 2026 par ESET Research (WeLiveSecurity), cet article présente la découverte d’un groupe APT jusqu’alors inconnu, baptisé GopherWhisper, identifié pour la première fois en janvier 2025 lors de l’analyse d’un système appartenant à une entité gouvernementale en Mongolie. 🎯 Attribution et ciblage Le groupe est considéré comme aligné avec la Chine sur la base de plusieurs éléments : Les messages Slack et Discord ont été envoyés majoritairement entre 8h et 17h UTC+8 (heure standard de Chine) Les métadonnées Slack indiquent un fuseau horaire configuré en UTC+8 Le comportement d’une machine opérateur (VM VMware) correspond également à ce fuseau horaire Aucun chevauchement de code ou de TTPs avec un groupe connu n’a été identifié, justifiant la création d’une nouvelle attribution. ...

🔍 Contexte Publié le 21 avril 2026 par ESET Research (Lukas Stefanko), cet article présente la découverte d’une nouvelle variante du malware NGate ciblant des utilisateurs Android au Brésil, active depuis novembre 2025. 🦠 Description du malware Les attaquants ont trojanisé l’application légitime HandyPay (disponible sur Google Play depuis 2021), qui permet nativement de relayer des données NFC entre appareils. Le code malveillant injecté présente des signes d’avoir été généré par GenAI/LLM (présence d’emojis dans les logs, typiques des textes générés par IA). ...