Publication De Recherche

L’article publié par les chercheurs d’ESET explore en détail les variantes et forks du malware AsyncRAT, un cheval de Troie d’accès à distance asynchrone open-source. Initialement publié sur GitHub en 2019, AsyncRAT a été largement adopté par les cybercriminels en raison de sa nature open-source et de ses fonctionnalités modulaires. Les chercheurs d’ESET ont cartographié les relations complexes entre les nombreuses variantes d’AsyncRAT, mettant en lumière comment ces forks ont évolué et se sont interconnectés. Parmi les variantes les plus répandues figurent DcRat et VenomRAT, qui représentent une part significative des campagnes malveillantes observées. DcRat, par exemple, se distingue par ses améliorations en termes de fonctionnalités et de techniques d’évasion, telles que le MessagePack pour la sérialisation des données et le bypass AMSI et ETW. ...

L’article, publié sur SecurityBoulevard.com par Golan Yosef, décrit une démonstration de faille de sécurité exploitant Claude Desktop à travers une composition de risques. Golan Yosef, co-fondateur de Pynt, explique comment il a utilisé un message Gmail pour provoquer une exécution de code via Claude Desktop, en s’appuyant sur les capacités combinées et la confiance entre les hôtes MCP, les agents et les sources de données. La démonstration a commencé par l’envoi d’un email conçu pour déclencher une exécution de code. Claude Desktop a initialement détecté l’attaque comme une tentative de phishing, mais après plusieurs itérations et en exploitant la capacité de Claude à réinitialiser le contexte entre les sessions, l’attaque a réussi. ...

L’article publié par SplxAI Research Team met en lumière les faiblesses de Grok 4, le dernier modèle d’intelligence artificielle d’Elon Musk, dans un contexte de cybersécurité. Grok 4 a été testé par l’équipe de recherche de SplxAI face à GPT-4o. Les résultats montrent que sans prompt système, Grok 4 a échoué à 99% des tentatives d’injection de prompt, révélant des données restreintes et obéissant à des instructions hostiles. Les tests de sécurité et de sûreté ont révélé des scores extrêmement bas pour Grok 4, avec seulement 0.3% sur la sécurité et 0.42% sur la sûreté, comparé à GPT-4o qui a obtenu respectivement 33.78% et 18.04%. ...

Selon une enquête de ProPublica, Microsoft utilise des ingénieurs basés en Chine pour aider à la maintenance des systèmes informatiques du Département de la Défense des États-Unis, ce qui pose des risques potentiels pour la sécurité des données sensibles. L’arrangement repose sur des citoyens américains ayant des habilitations de sécurité pour superviser le travail, servant de barrière contre l’espionnage. Cependant, ces “escortes numériques” manquent souvent d’expertise technique pour surveiller efficacement les ingénieurs étrangers, ce qui laisse les données vulnérables à des acteurs malveillants. ...

L’article publié par The DFIR Report, en collaboration avec Proofpoint, dévoile l’émergence d’une nouvelle variante du cheval de Troie d’accès à distance (RAT) utilisé par le groupe de ransomware Interlock. Cette version inédite, développée en PHP, marque une évolution notable par rapport à la version antérieure en JavaScript (Node.js), surnommée NodeSnake. 💡 Cette nouvelle souche a été identifiée dans le cadre d’une campagne active associée au cluster de menaces web-inject KongTuke (LandUpdate808), qui utilise des sites compromis pour distribuer le malware via un script dissimulé dans le HTML. Le processus d’infection repose sur une chaîne d’exécution sophistiquée, comprenant des vérifications CAPTCHA, des scripts PowerShell et l’exécution furtive de commandes système. ...

Cet article, publié par Quarkslab, décrit une compromission d’une instance Confluence hébergée sur une machine virtuelle EC2 dans un compte AWS lors d’un engagement Red Team. Bien que l’équipe ait compromis la machine hébergeant Confluence, elle n’avait pas d’accès applicatif direct mais a pu interagir avec la base de données sous-jacente. L’article détaille comment l’équipe a exploré la structure de la base de données Confluence et les mécanismes de génération de tokens API. Plusieurs méthodes ont été envisagées pour obtenir un accès privilégié sans utiliser de identifiants valides, notamment en modifiant des mots de passe d’utilisateurs, en créant de nouveaux comptes administrateurs, ou en générant des tokens API. ...

Security Explorations, un laboratoire de recherche, a mené une analyse de sécurité sur la technologie eSIM, révélant une compromission des cartes eUICC de Kigen. Cette découverte remet en question les affirmations de sécurité de Kigen, qui prétend que ses eSIM sont aussi sécurisées que les cartes SIM traditionnelles grâce à la certification GSMA. L’attaque a permis de compromettre des cartes eUICC en accédant physiquement à la carte et en connaissant les clés nécessaires pour installer des applications Java malveillantes. Un vecteur d’attaque à distance via le protocole OTA SMS-PP a également été démontré. Cela prouve l’absence de sécurité pour les profils eSIM et les applications Java sur ces cartes. ...

Dans un article publié par Modzero, une vulnérabilité critique a été découverte dans l’application Synology Active Backup for Microsoft 365 (ABM) qui permettait l’accès non autorisé à tous les locataires Microsoft des organisations utilisant ce service. Cette faille, identifiée comme CVE-2025-4679, a été signalée à Synology. L’impact de cette vulnérabilité est significatif, car elle pourrait être exploitée par des acteurs malveillants pour obtenir des informations potentiellement sensibles, telles que tous les messages dans les canaux de Microsoft Teams. Cela fait de l’application un cible idéale pour des attaques ultérieures, notamment par abus de crédentiels ou ingénierie sociale. ...

Les experts de Kaspersky GReAT ont récemment découvert des extensions malveillantes pour l’application Cursor AI. Ces extensions sont utilisées pour télécharger le Quasar backdoor, un outil d’accès à distance malveillant, ainsi qu’un crypto stealer, un logiciel destiné à voler des cryptomonnaies. Quasar est un backdoor connu pour ses capacités de surveillance et de contrôle à distance, souvent utilisé par des acteurs malveillants pour infiltrer des systèmes informatiques. Le fait qu’il soit associé à un voleur de cryptomonnaies dans cette attaque souligne le double objectif de ces extensions : l’espionnage et le vol financier. ...

L’article publié sur Darknet.org.uk présente Caracal, un rootkit développé en Rust qui utilise la technologie eBPF pour masquer des programmes BPF, des cartes et des processus. Ce rootkit est conçu pour des opérations de post-exploitation furtives, souvent utilisées par les équipes rouges pour simuler des attaques réelles. Caracal se distingue par sa capacité à se cacher efficacement dans le système, rendant la détection difficile pour les outils de sécurité traditionnels. En exploitant les fonctionnalités avancées d’eBPF, il peut interagir directement avec le noyau du système d’exploitation, ce qui lui permet de masquer ses activités malveillantes. ...