Unit 42 rĂ©vĂšle 01flip, un ransomware Rust multi‑plateforme ciblant l’Asie‑Pacifique

Selon Palo Alto Networks (Unit 42), un nouveau ransomware nommĂ© 01flip a Ă©tĂ© observĂ© dĂšs juin 2025, utilisĂ© par le cluster financier CL-CRI-1036 contre un nombre limitĂ© de victimes en Asie-Pacifique, incluant des entitĂ©s d’infrastructures critiques en Asie du Sud-Est. Les opĂ©rateurs demandent 1 BTC et communiquent via e‑mail/messagerie privĂ©e. Une publication sur forum clandestin Ă©voque des fuites concernant des victimes aux Philippines et Ă  TaĂŻwan, bien que 01flip lui‑mĂȘme n’intĂšgre pas d’exfiltration. Aucune vitrine de double extorsion n’a Ă©tĂ© constatĂ©e. ...

14 dĂ©cembre 2025 Â· 3 min

19 extensions malveillantes détectées sur le Marketplace VS Code, avec fichier PNG piégé

Selon des chercheurs de ReversingLab, 19 extensions malveillantes ont été identifiées sur le Marketplace VS Code, la majorité embarquant un fichier malveillant se faisant passer pour une image PNG. Campagne malveillante ciblant VS Code via des dépendances piégées 1. Contexte général Les chercheurs de ReversingLabs ont identifié une campagne active depuis février 2025, découverte le 2 décembre 2025, impliquant 19 extensions malveillantes Visual Studio Code publiées sur le VS Code Marketplace. ...

13 dĂ©cembre 2025 Â· 4 min

19 extensions VS Code malveillantes cachaient un trojan dans une fausse image PNG

ReversingLabs publie une enquĂȘte sur une campagne active depuis fĂ©vrier 2025 rĂ©vĂ©lant 19 extensions VS Code malveillantes qui cachent des charges utiles dans leurs dĂ©pendances, notamment une fausse image PNG contenant des binaires. Les extensions malicieuses incluent des dĂ©pendances prĂ©-packagĂ©es dans le dossier node_modules dont le contenu a Ă©tĂ© altĂ©rĂ© par l’attaquant. La dĂ©pendance populaire path-is-absolute a Ă©tĂ© modifiĂ©e localement (sans impact sur le package npm officiel) pour ajouter du code dĂ©clenchĂ© au dĂ©marrage de VS Code, chargĂ© de dĂ©coder un dropper JavaScript stockĂ© dans un fichier nommĂ© ’lock’ (obfuscation par base64 puis inversion de la chaĂźne). ...

11 dĂ©cembre 2025 Â· 3 min

SOAPwn: une faille d’invalid cast dans .NET Framework permet des RCE via proxies SOAP et WSDL dynamiques

Source: watchTowr (whitepaper publiĂ© suite Ă  une prĂ©sentation Ă  Black Hat Europe 2025). Ce document de recherche expose une vulnĂ©rabilitĂ© d’« invalid cast » dans .NET Framework (HttpWebClientProtocol) et montre comment l’import dynamique de WSDL gĂ©nĂšre des proxies SOAP vulnĂ©rables menant Ă  des Ă©critures arbitraires de fichiers et Ă  des compromissions. Le cƓur du problĂšme est un mauvais cast dans HttpWebClientProtocol.GetWebRequest: au lieu de forcer un HttpWebRequest, le code retourne un WebRequest pouvant devenir un FileWebRequest si l’URL utilise file://. RĂ©sultat: les classes dĂ©rivĂ©es (SoapHttpClientProtocol, HttpPostClientProtocol, etc.) peuvent Ă©crire sur le disque ou relayer NTLM au lieu d’émettre des requĂȘtes HTTP/S. L’impact principal est une Ă©criture arbitraire de fichier (notamment via POST/SOAP) et le NTLM relaying/fuite de challenge. ...

11 dĂ©cembre 2025 Â· 3 min

Careless Whisper : une faille WhatsApp permet un pistage silencieux et un drainage massif de batterie

Selon le blog de Korben (8 dĂ©cembre 2025), des chercheurs de l’UniversitĂ© de Vienne ont prĂ©sentĂ© « Careless Whisper », une attaque rĂ©compensĂ©e Best Paper Ă  RAID 2025, montrant comment exploiter les accusĂ©s de rĂ©ception de WhatsApp (et Signal) pour surveiller un utilisateur Ă  distance sans notification. ‱ L’attaque s’appuie sur des accusĂ©s de rĂ©ception silencieux dĂ©clenchĂ©s via l’envoi de rĂ©actions Ă  des messages inexistants. L’utilisateur ne voit rien (pas de notif, pas de message visible), tandis que l’attaquant mesure les temps de rĂ©ponse du tĂ©lĂ©phone pour en tirer des informations. đŸ•”ïž ...

10 dĂ©cembre 2025 Â· 2 min

IndonĂ©sie: une vaste infrastructure APT de jeux d’argent dĂ©tourne des milliers de domaines et propage des APK malveillants

Selon Malanta (Ă©quipe de recherche), dans une publication datĂ©e du 3 dĂ©cembre 2025, une opĂ©ration de type APT indonĂ©sienne, active depuis au moins 2011, alimente un Ă©cosystĂšme cybercriminel gĂ©ant mĂȘlant jeux d’argent illĂ©gaux, dĂ©tournement d’infrastructures Web, distribution d’APK Android malveillants et techniques furtives de proxy TLS sur des sous-domaines gouvernementaux. L’étude met en Ă©vidence une infrastructure massive et persistante: 328 039 domaines au total, dont 236 433 dĂ©diĂ©s aux sites de jeux, 90 125 domaines compromis et 1 481 sous‑domaines dĂ©tournĂ©s. L’acteur exploite le SEO, des domaines lookalikes (480 identifiĂ©s), et une automatisation avec gĂ©nĂ©ration de contenus (IA) pour la pĂ©rennitĂ© et l’échelle. Plus de 51 000 identifiants volĂ©s liĂ©s Ă  cet Ă©cosystĂšme ont Ă©tĂ© retrouvĂ©s sur des forums du dark web. ...

10 dĂ©cembre 2025 Â· 3 min

Publication du FACT Attribution Framework v1.0 pour relier preuves numériques et attribution humaine

Selon la notice de publication officielle (version 1.0, publiĂ©e le 8 dĂ©cembre 2025), le FACT Attribution Framework v1.0 est un modĂšle d’enquĂȘte juridiquement fondĂ© visant Ă  combler l’écart entre les preuves techniques et l’attribution humaine. Le framework fournit une mĂ©thode structurĂ©e et de bout en bout pour Ă©tablir qui a rĂ©alisĂ© une action numĂ©rique, sur quelles preuves cette conclusion s’appuie, et si elle peut rĂ©sister Ă  un examen juridique, administratif ou organisationnel. ...

10 dĂ©cembre 2025 Â· 1 min

Telegram sous pression : les blocages poussent l’underground vers d’autres messageries

Selon Kaspersky Security Services (publication sur le site Kaspersky Digital Footprint Intelligence), des chercheurs ont Ă©tudiĂ© l’usage de Telegram par les cybercriminels, ses capacitĂ©s techniques pour des opĂ©rations clandestines et le cycle de vie des chaĂźnes illicites, en analysant plus de 800 chaĂźnes bloquĂ©es entre 2021 et 2024. L’étude souligne que, vus par des cybercriminels, Telegram prĂ©sente des limites en matiĂšre d’anonymat et d’indĂ©pendance: absence de chiffrement de bout en bout par dĂ©faut, infrastructure centralisĂ©e et code serveur fermĂ©. MalgrĂ© ces faiblesses, la plateforme est largement utilisĂ©e comme place de marchĂ© clandestine grĂące Ă  des fonctionnalitĂ©s qui facilitent l’activitĂ© underground. ...

10 dĂ©cembre 2025 Â· 2 min

Attaque « agentic browser » contre Perplexity Comet capable d’effacer un Google Drive via un e‑mail

Selon des recherches publiĂ©es par Straiker STAR Labs, une nouvelle attaque « agentic browser » vise le navigateur Comet de Perplexity. PrĂ©sentĂ©e comme un « zero-click Google Drive Wiper », elle peut convertir un e‑mail apparemment anodin en une action destructive effaçant l’intĂ©gralitĂ© du contenu Google Drive d’un utilisateur. L’attaque met en avant un vecteur d’exploitation liĂ© aux navigateurs agentiques et Ă  l’automatisation des tĂąches. L’impact annoncĂ© est l’effacement complet d’un Google Drive. Les produits concernĂ©s incluent le navigateur Comet de Perplexity, ainsi que Gmail et Google Drive. ...

8 dĂ©cembre 2025 Â· 1 min

Unit 42 révÚle des attaques via la fonctionnalité MCP Sampling dans des copilotes de code

Palo Alto Networks (Unit 42) publie une analyse technique montrant, via trois preuves de concept rĂ©alisĂ©es sur un copilot de code intĂ©grant MCP, comment la fonctionnalitĂ© de sampling du Model Context Protocol peut ĂȘtre abusĂ©e pour mener des attaques, et dĂ©taille des stratĂ©gies de dĂ©tection et de prĂ©vention. Contexte. MCP est un standard client-serveur qui relie des applications LLM Ă  des outils et sources externes. La primitive de sampling permet Ă  un serveur MCP de demander au client d’appeler le LLM avec son propre prompt, inversant le schĂ©ma d’appel classique. Le modĂšle de confiance implicite et l’absence de contrĂŽles de sĂ©curitĂ© robustes intĂ©grĂ©s ouvrent de nouveaux vecteurs d’attaque lorsque des serveurs (non fiables) peuvent piloter ces requĂȘtes de complĂ©tion. ...

8 dĂ©cembre 2025 Â· 3 min
Derniùre mise à jour le: 16 Feb 2026 📝