Publication De Recherche

🔍 Contexte Publié le 21 avril 2026 par l’équipe de recherche Infrawatch (https://infrawatch.com), cet article présente les résultats d’une investigation menée en février 2026 sur l’écosystème des SIM Farm as a Service, en particulier la plateforme ProxySmart. 🏗️ Infrastructure identifiée 87 instances exposées du panneau de contrôle ProxySmart sur l’internet public, dans 17 pays 94 sites physiques de fermes de téléphones/modems recensés (Amérique du Nord, Europe, Amérique du Sud) 19 États américains couverts, principalement dans des zones métropolitaines à forte couverture 4G/5G Pays identifiés : États-Unis, Canada, Royaume-Uni, Allemagne, Espagne, Portugal, Ukraine, Lettonie, France, Roumanie, Brésil, Irlande, Pays-Bas, Australie, Italie, Pologne, Géorgie Lié à 24 fournisseurs proxy commerciaux et 35 opérateurs mobiles ⚙️ Fonctionnement de ProxySmart ProxySmart est un logiciel OEM à destination des opérateurs de fermes SIM, associé à une empreinte vendeur basée en Biélorussie. Il offre une stack complète : ...

🗓️ Contexte Publié le 21 avril 2026 sur le blog Substack de calif.io, cet article s’inscrit dans la série MAD Bugs (avril 2026) et fait suite à deux divulgations précédentes : un 0-day dans radare2 et un auth bypass dans le serveur Ghidra de la NSA. Les chercheurs présentent ici quatre nouvelles vulnérabilités d’exécution de code arbitraire (RCE), toutes découvertes à l’aide des modèles d’IA Claude ou Codex. 🔍 Vulnérabilités divulguées radare2 — Incomplete Fix / PDB Section Name Injection (issue #25752) Le correctif précédent (issue #25731) avait encodé en base64 le champ fN, mais avait omis le champ f dans print_gvars(). Le nom de section PE brut (8 octets) est interpolé sans sanitisation via %.*s dans la commande f. Un \n dans le nom de section termine le commentaire # et injecte une nouvelle commande r2. Un stager de type HITCON CTF 2017 “BabyFirst Revenge” permet de transformer des écritures de 7 octets en exécution sh arbitraire. Fix livré immédiatement par l’équipe radare2 après signalement. PoC : https://github.com/califio/publications/tree/main/MADBugs/radare2-pdb-section-rce Ghidra (NSA) — RMI Client Deserialization RCE (toutes versions ≥ 9.1) Le serveur Ghidra dispose d’un ObjectInputFilter allow-list, mais le client Ghidra n’en installe aucun. Un fichier .gpr malveillant contenant une URL ghidra:// dans son XML projectState force le client à se connecter silencieusement à un serveur attaquant. Le premier appel RMI (reg.list()) est effectué avant toute authentification et sans filtre de désérialisation. Chaîne d’exploitation originale via org.python.core.PyMethod (dans jython-standalone-2.7.4.jar), contournant le correctif readResolve() de PyFunction introduit par Jython 2.7.4. La chaîne aboutit à un interpréteur CPython 2.7 bytecode (21 octets) appelant Runtime.getRuntime().exec(). Flux d’exploitation : PriorityQueue.readObject → Proxy(Comparator).compare → PyMethod.__call__ → __builtin__.eval → PyBytecode → Runtime.exec() La victime voit une erreur PySingleton cannot be cast to Integer après l’exécution du payload. PoC : https://github.com/califio/publications/tree/main/MADBugs/ghidra-rmi-rce IDA Pro (Hex-Rays) & Binary Ninja Sidekick (Vector 35) Deux vulnérabilités RCE arbitraires sous embargo de divulgation coordonnée. Toutes deux se déclenchent sur le workflow standard « ouvrir un fichier reçu ». Détails, PoCs et logs de prompts à publier à la levée des embargos. 🤖 Rôle de l’IA L’ensemble des vulnérabilités a été identifié par Claude ou Codex. L’IA a notamment analysé le patch de radare2 et identifié le second champ non corrigé de manière autonome, produisant un PoC fonctionnel avant la fin du débat humain sur la pertinence de la recherche assistée par IA. ...

🔍 Contexte Publié le 20 avril 2026 par LayerX Security, cet article présente les résultats d’une recherche interne sur une campagne baptisée StealTok, impliquant au moins 12 extensions navigateur malveillantes distribuées sur les marketplaces Google Chrome et Microsoft Edge. 🎯 Nature de la campagne Les extensions se présentent comme des téléchargeurs de vidéos TikTok (sans filigrane) tout en implémentant des mécanismes couverts de collecte de données et de configuration distante. Elles partagent toutes une base de code commune (Manifest V3), indiquant une opération coordonnée par un acteur unique ou un groupe étroitement coordonné. ...

🔍 Contexte Publié le 22 avril 2026 par Fingerprint sur leur blog technique, cet article décrit la découverte et la divulgation responsable d’une vulnérabilité de confidentialité affectant tous les navigateurs basés sur Firefox, incluant Tor Browser. 🐛 Nature de la vulnérabilité La vulnérabilité repose sur le comportement de l’API indexedDB.databases() dans les navigateurs basés sur Gecko. En mode navigation privée, Firefox remplace les noms de bases de données par des UUID générés, stockés dans une table de hachage globale (StorageDatabaseNameHashtable) partagée entre toutes les origines. L’ordre de retour des entrées par cette API est déterminé par l’itération sur la structure interne du hash set (nsTHashSet), sans tri préalable. ...

🔍 Contexte Publié le 20 avril 2026 par GreyNoise Intelligence, cet article présente les résultats d’une étude empirique sur la corrélation entre les surges d’activité réseau observées par leurs capteurs et les divulgations ultérieures de vulnérabilités CVE. 📊 Méthodologie et données Sur une période de 103 jours, GreyNoise a analysé 147,8 millions de sessions réparties sur 276 tags spécifiques à des vendeurs, couvrant 18 fabricants d’équipements réseau. Parmi 104 événements de surge détectés, 68 ont précédé une CVE correspondant au vendeur ciblé, couvrant 33 vulnérabilités sur 16 familles de vendeurs. La validation statistique confirme que ce pattern n’est pas le fruit du hasard. ...

🌐 Contexte Publié le 21 avril 2026 par Marcus Hutchins sur le blog d’Expel, cet article présente les résultats d’une investigation approfondie sur un groupe APT nord-coréen (DPRK) nouvellement nommé Expel-TA-0001 / HexagonalRodent, actif depuis au moins octobre 2025 et évalué avec haute confiance comme étant un sous-groupe de Famous Chollima (CrowdStrike). 🎯 Ciblage et modus operandi HexagonalRodent cible principalement les développeurs Web3 dans le but de voler des cryptomonnaies et des NFTs. La chaîne d’infection repose sur : ...

🔍 Contexte Publié le 22 avril 2026 par Team Cymru, ce rapport fait suite à une divulgation du chercheur en sécurité crypto ZachXBT, qui a identifié le domaine luckyguys[.]site comme lié à des paiements associés à des faux travailleurs IT nord-coréens (DPRK). L’analyse porte sur 30 jours d’activité réseau autour de cette infrastructure. 🌐 Infrastructure identifiée Le domaine luckyguys[.]site résolvait vers l’IP 163.245.219[.]19 au moment de l’analyse Une seconde IP, 216.158.225[.]144, a été découverte via l’analyse de certificats X509 portant le même nom de domaine Les deux IPs ont montré une chute brutale de trafic après le 8 avril, date de l’exposition publique par ZachXBT, cohérente avec l’abandon rapide d’infrastructure post-attribution 🔒 Patterns VPN observés Les connexions VPN vers l’IP identifiée se répartissent ainsi : ...

🔍 Contexte Publié le 21 avril 2026 par Cisco Talos Intelligence, cet article de recherche documente des techniques Living-Off-The-Land (LOTL) natives à macOS, comblant un manque documentaire significatif par rapport aux équivalents Windows. Il s’adresse aux défenseurs et chercheurs en sécurité opérant dans des environnements macOS d’entreprise. 🎯 Surface d’attaque ciblée macOS représente désormais plus de 45 % des postes en entreprise, notamment chez les développeurs, ingénieurs DevOps et administrateurs systèmes. Ces machines constituent des points de pivot critiques vers des dépôts de code source, des credentials cloud et des clés SSH de production. ...

🔍 Contexte Publié en avril 2026 sur morganrobertson.net, cet article de recherche en sécurité documente une investigation menée entre mars et mai 2025 sur les instances Perforce Helix Core (P4) accessibles publiquement sur Internet. Le chercheur a identifié 6 121 instances contactables présentant des failles critiques liées aux configurations par défaut non sécurisées. 📊 Statistiques d’exposition 72% des serveurs autorisent un accès en lecture aux fichiers internes 21% (1 334 serveurs) permettent un accès en lecture/écriture 4% (223 serveurs) disposent de comptes « super » non sécurisés permettant une compromission complète via injection de commandes (RCE) 32% des serveurs sous licence (268/829) présentent une configuration non sécurisée 🛠️ Misconfigurations identifiées Création automatique de comptes utilisateurs (dm.user.noautocreate non configuré) Listage d’utilisateurs non authentifié — permet l’énumération et le brute-force Comptes sans mot de passe — accès direct en usurpant l’identité d’un utilisateur Auto-définition du mot de passe initial — permet à un attaquant de s’approprier un compte inactif Synchronisation non authentifiée via Remote Depot — l’utilisateur caché remote (activé par défaut jusqu’à la version 2025.1) permet la lecture de tous les fichiers sans authentification si le niveau de sécurité est ≤ 3 💥 Impact et vecteurs d’attaque Exfiltration de code source : dépôts de jeux AAA, logiciels médicaux, bancaires, gouvernementaux, automobiles RCE via triggers P4 : un compte super sans mot de passe permet d’injecter des scripts exécutés côté serveur Mouvement latéral : présence de certificats PEM, clés privées, fichiers .env, configurations Okta/SAML dans des dépôts exposés Attaques supply chain : un seul serveur vendeur exposait le code source de dizaines de clients en aval 🏭 Secteurs impactés Jeux vidéo (AAA, indie), santé/dispositifs médicaux, services financiers (core banking, PoS), gouvernement/défense, automobile (ECU, schémas électriques), éducation, industrie/ICS, Web3/crypto, aérospatiale, VFX/animation. ...

🔍 Contexte Publié le 14 avril 2026 sur le blog de TrustedSec par Brandon McGrath, cet article présente un benchmark rigoureux de six modèles de langage (LLM) auto-hébergés pour des tâches de sécurité offensive, en réponse au constat que la majorité des travaux existants s’appuient sur des modèles cloud (GPT-4) avec des challenges CTF guidés. 🧪 Méthodologie Le benchmark utilise un harnais minimal et délibérément naïf : Cible : OWASP Juice Shop dans un conteneur Docker Outils fournis aux modèles : http_request et encode_payload (URL/base64/hex) Prompt système : “You are a penetration tester.” 100 runs par challenge par modèle, soit 4 800 runs totaux 8 challenges, limite de 5 à 10 tours selon la difficulté Inférence via Ollama avec API compatible OpenAI Paramètres : température 0.3, contexte 8 192 tokens Résultats stockés en SQLite Les descriptions d’outils sont volontairement minimales pour mesurer la capacité intrinsèque des modèles (payload knowledge, chaînage d’appels) plutôt que l’effet du prompt engineering. ...