Publication De Recherche

🔍 Contexte Publié le 3 avril 2026 par Ctrl-Alt-Intel (ctrlaltintel.com), cet article de recherche détaille une attaque supply-chain contre l’écosystème WordPress BuddyBoss / Caseproof, découverte indépendamment le 18 mars 2026 par le chercheur @ice_wzl_cyber. L’attaque avait été signalée publiquement pour la première fois par Cybernews le 24 mars 2026. 🎯 Vecteur d’attaque et déroulement L’acteur malveillant, identifié comme francophone, a utilisé Claude Code (Anthropic) comme outil d’assistance tout au long de la chaîne d’attaque : ...

🔬 Contexte Publié le 30 mars 2026 sur arXiv (cs.NI), cet article académique de Tushin Mallick, Ashish Kundu et Ramana Kompella constitue une étude de synthèse (survey) sur l’état de préparation post-quantique des protocoles réseau et de sécurité les plus répandus. ⚠️ Menace identifiée L’émergence de l’informatique quantique représente une menace structurelle pour les primitives cryptographiques à clé publique classiques, notamment : RSA Cryptographie sur courbes elliptiques (ECC) Ces primitives sont au cœur des mécanismes d’échange de clés et d’authentification de la majorité des protocoles réseau critiques. ...

🔍 Contexte Le 13 mars 2026, une pull request (#221) a été fusionnée dans le dépôt public LOLDrivers (magicsword-io), un projet de référencement de drivers légitimes mais vulnérables exploitables dans des attaques BYOVD (Bring Your Own Vulnerable Driver). La contribution a été initiée par le chercheur mnznndr97 le 28 mars 2025 et approuvée après plusieurs mois de revue. 🧩 Contenu de la contribution Trois nouveaux drivers vulnérables ont été documentés et ajoutés au référentiel : ...

🔍 Contexte Publié le 2 avril 2026 par Rapid7, cet article accompagne la sortie d’un whitepaper technique dédié à de nouveaux variants du backdoor BPFDoor, un implant Linux furtif utilisé dans des campagnes d’espionnage attribuées à des acteurs chinois. L’analyse couvre sept variants inédits (désignés F à L) identifiés lors de recherches en cours. 🧬 Variants identifiés Variant F : Se dissimule sous /var/run/user/0 pour éviter les logs auditd liés à chmod Effectue un wipe complet des file descriptors et du timestomping Utilise un filtre BPF de 26 instructions avec de nouveaux magic bytes Deux ensembles de magic bytes distincts selon les samples Variant G : ...

🔍 Contexte Publié le 30 mars 2026 par Check Point Research, cet article détaille la découverte d’une vulnérabilité d’exfiltration de données dans l’environnement d’exécution de code de ChatGPT (OpenAI). La faille a été corrigée par OpenAI le 20 février 2026 après signalement par CPR. 🧩 Mécanisme de la vulnérabilité L’environnement d’exécution Python de ChatGPT (Data Analysis / Code Execution) est censé être isolé d’internet. Cependant, CPR a découvert que la résolution DNS restait disponible malgré le blocage des connexions sortantes directes. Cette caractéristique a permis de construire un tunnel DNS entre le runtime isolé et un serveur contrôlé par l’attaquant : ...

🔍 Contexte Publié le 31 mars 2026 par Check Point Research, ce rapport documente l’opération TrueChaos, une campagne d’espionnage ciblée contre des entités gouvernementales en Asie du Sud-Est, exploitant une vulnérabilité zero-day dans le client TrueConf, une plateforme de vidéoconférence on-premises. 🐛 Vulnérabilité : CVE-2026-3502 CVSS score : 7.8 La faille réside dans l’absence de vérification d’intégrité et d’authenticité dans le mécanisme de mise à jour du client TrueConf Un attaquant contrôlant le serveur TrueConf on-premises peut remplacer le paquet de mise à jour légitime par un exécutable arbitraire Le client fait confiance au serveur sans validation, permettant la distribution et l’exécution de fichiers malveillants sur tous les endpoints connectés Correctif disponible dans TrueConf Windows client version 8.5.3 (mars 2026) ⚔️ Déroulement de l’attaque L’attaquant compromet le serveur TrueConf on-premises d’un département IT gouvernemental Il remplace le paquet de mise à jour (trueconf_client.exe) par une version weaponisée Un lien est envoyé aux cibles pour déclencher le client TrueConf et afficher une invite de mise à jour Le paquet malveillant (construit avec Inno Setup) installe légitimement la version 8.5.2 tout en déposant : poweriso.exe (binaire bénin) 7z-x64.dll (implant malveillant) dans c:\programdata\poweriso\ DLL side-loading via poweriso.exe pour charger 7z-x64.dll 🛠️ Post-exploitation Reconnaissance : tasklist, tracert 8.8.8.8 Téléchargement via FTP depuis 47.237.15[.]197 d’un loader iscsiexe.dll dans update.7z Bypass UAC via iscsicpl.exe (SysWOW64) et DLL search-order hijacking Modification du PATH utilisateur : HKCU\environment Persistance via HKCU\Software\Microsoft\Windows\CurrentVersion\Run\UpdateCheck pointant vers PowerISO.exe Déploiement final d’un implant Havoc communiquant avec l’infrastructure C2 de l’acteur 🎯 Attribution Check Point Research attribue avec confiance modérée cette opération à un acteur à nexus chinois, sur la base de : ...

🔬 Contexte Publié le 3 avril 2026 sur arXiv (preprint), cet article de recherche académique est produit par des chercheurs du GECAD/ISEP (Polytechnic of Porto, Portugal). Il évalue la transférabilité de modèles de Machine Learning (ML) pour la détection statique de fichiers Portable Executable (PE) Windows malveillants, en s’appuyant sur le standard de features EMBER-v2 (2 381 dimensions). 🎯 Problématique Les auteurs identifient deux défis majeurs dans la détection ML de malwares : ...

🔍 Contexte Publié le 30 mars 2026 par Check Point Research, ce rapport détaille l’Opération TrueChaos, une campagne d’espionnage ciblée découverte début 2026. L’attaque exploite une vulnérabilité zero-day (CVE-2026-3502, CVSS 7.8) dans le client Windows de TrueConf, une plateforme de vidéoconférence déployée dans des environnements gouvernementaux, de défense et d’infrastructure critique. 🎯 Vecteur d’attaque Les attaquants ont compromis un serveur TrueConf on-premises opéré par une organisation IT gouvernementale, puis ont remplacé une mise à jour légitime du client par une mise à jour malveillante. Le client TrueConf ne vérifiait pas suffisamment l’intégrité ou l’authenticité du paquet de mise à jour avant exécution, permettant ainsi : ...

🔍 Contexte Publié le 2 avril 2026 par Hudson Rock sur infostealers.com, ce rapport présente une analyse forensique exhaustive d’un endpoint compromis par le stealer LummaC2 (build du 31 juillet 2024), infecté le 6 août 2024. La machine (DESKTOP-OG1CFR5, IP 192.161.60.132, Windows 10 Enterprise) appartenait à un opérateur nord-coréen travaillant pour le syndicat chinois Funnull. 💀 Vecteur d’infection L’opérateur a lui-même téléchargé un faux installateur logiciel hébergé sur MediaFire (@#Full_Istaller_Pc_Setup_2024_PaSSWṏrD^$.zip), contenant le payload LummaC2. L’infection a permis l’exfiltration de 100+ credentials, 7 000+ logs de navigation, accès Cloudflare admin et des milliers de traductions Google internes. ...

🔍 Contexte Publié le 31 mars 2026 par Ofir Shaty (Unit 42 / Palo Alto Networks), cet article présente les résultats d’une recherche offensive sur la plateforme Google Cloud Platform Vertex AI, et plus précisément sur son composant Agent Engine et l’Application Development Kit (ADK). 🎯 Vulnérabilité identifiée Les chercheurs ont découvert que le Per-Project, Per-Product Service Agent (P4SA) associé à un agent IA déployé via Vertex AI Agent Engine dispose de permissions excessives accordées par défaut. En exploitant ces permissions, il est possible d’extraire les credentials du service agent suivant : ...