Publication De Recherche

🌐 Contexte Check Point Research (CPR) publie le 1er avril 2026 une analyse d’une campagne de password spraying active, attribuée avec une confiance modérée à un acteur lié à l’Iran, ciblant des environnements Microsoft 365 principalement au Moyen-Orient. 🎯 Cibles et portée La campagne a impacté : Plus de 300 organisations en Israël et plus de 25 aux Émirats arabes unis Un nombre limité de cibles en Europe, États-Unis, Royaume-Uni et Arabie Saoudite Les secteurs principalement visés incluent : ...

🔬 Contexte Publication de recherche académique (arXiv, mars 2026) conduite par des chercheurs de Stanford University, UC Davis et TU Delft. L’étude porte sur l’exposition de credentials API sur le web public via l’analyse dynamique de 10 millions de pages web issues du dataset HTTP Archive (crawl septembre 2025). 📊 Périmètre et méthodologie Les chercheurs ont utilisé TruffleHog (v3.90.8) pour détecter les credentials dans les fichiers HAR (HTTP Archive), couvrant environ 200 TB de données. Seuls les credentials vérifiés via les API officielles des fournisseurs ont été retenus, constituant une borne inférieure des expositions réelles. 14 types de services ont été analysés : AWS, Azure, Alibaba, Cloudflare, Stripe, RazorPay, Telegram, Mailchimp, SendGrid, Twilio, Slack, OpenAI, GitHub, Bitly. ...

🔍 Contexte Publié le 31 mars 2026 par McAfee Labs (auteur : Ahmad Zubair Zahid), cet article présente les résultats d’une investigation approfondie sur une campagne de rootkit Android baptisée Operation NoVoice, distribuée via le Google Play Store officiel. 🎯 Vecteur d’infection et distribution Plus de 50 applications malveillantes publiées sur Google Play (nettoyeurs, jeux, galeries photos) ont été identifiées, totalisant au moins 2,3 millions de téléchargements. Aucun sideloading requis, aucune permission inhabituelle demandée. Les composants malveillants sont enregistrés sous com.facebook.utils, se fondant dans le SDK Facebook légitime. Le payload initial est dissimulé dans une image polyglotte (payload chiffré après le marqueur IEND du PNG). ⚙️ Chaîne d’infection en 8 étapes Stage 1 – Delivery : Extraction et déchiffrement du payload enc.apk → h.apk depuis les assets de l’app. Stage 2 – Gatekeeper : Chargement de libkwc.so qui vérifie l’environnement (15 contrôles anti-analyse, géofencing Beijing/Shenzhen, détection émulateur, Xposed, VPN). Stage 3 – Plugin : Framework plugin “kuwo” avec check-in C2 toutes les 60 secondes ; plugins livrés via images polyglotte déguisées en icônes (warningIcon). Stage 4 – Exploit : security.jar envoie les identifiants matériels au C2 qui retourne des exploits ciblés. 22 exploits récupérés, dont une chaîne : use-after-free IPv6 + vulnérabilité driver Mali GPU + désactivation SELinux. Stage 5 – Rootkit : CsKaitno.d remplace libandroid_runtime.so et libmedia_jni.so par des wrappers malveillants (ARM32/ARM64). jkpatch modifie le bytecode framework compilé sur disque. Stage 6 – Watchdog : Daemon watch_dog vérifie l’installation toutes les 60 secondes, force un redémarrage si nécessaire. Survit à la réinitialisation d’usine (Android 7 et inférieur). Stage 7 – Injection : À chaque démarrage, toutes les apps héritent du code attaquant. BufferA (installeur silencieux) et BufferB (outil post-exploitation principal, deux canaux C2 indépendants). Stage 8 – Theft : Payload PtfLibc (hébergé sur Alibaba Cloud OSS) cible WhatsApp : copie de la base de données de chiffrement, extraction des clés Signal, clonage de session. 🌍 Géographie et cibles Les taux d’infection les plus élevés sont observés au Nigeria, Éthiopie, Algérie, Inde et Kenya, régions où les appareils anciens sous Android 7 ou inférieur sont répandus. ...

🔍 Contexte Publié le 28 mars 2026 par la Nokia Deepfield Emergency Response Team (ERT), ce rapport documente Drifter, un botnet DDoS jusqu’alors inconnu. Il s’inscrit dans une série de recherches sur l’écosystème de botnets exploitant la surface d’attaque ADB (Android Debug Bridge) sur des appareils Android TV non certifiés. 🎯 Vecteur d’infection et cibles Drifter cible les appareils Android TV AOSP bon marché exposant ADB sans authentification, la même population de dispositifs que MossadProxy v2.5.2, Jackskid et Kimwolf. Le dropper installe l’APK sous le nom com.siliconworks.android.update, accorde des permissions runtime, se met en liste blanche de l’optimisation batterie, et se relance toutes les 60 secondes via un BootReceiver (priorité 999). ...

🔍 Contexte Publié le 26 mars 2026 par Infoblox Threat Intel en collaboration avec Confiant, cet article constitue le second volet d’une étude de quatre mois portant sur l’abus du tracker publicitaire commercial Keitaro par des acteurs malveillants. Confiant surveille près de 90 milliards d’impressions publicitaires par mois. 🎯 Keitaro comme infrastructure criminelle Keitaro est un outil adtech commercial (tracker, TDS et cloaker en un seul produit) massivement détourné par des cybercriminels. Il leur permet d’externaliser la distribution, le ciblage et le routage des victimes sans construire leur propre infrastructure. Plus de 20% des acteurs malveillants suivis par Confiant ont utilisé Keitaro sur la période, certains générant des dizaines de millions d’impressions. ...

🔍 Contexte Publié le 27 mars 2026 par The Register, cet article rend compte d’une publication de recherche académique (preprint) intitulée “Keys on Doormats: Exposed API Credentials on the Web”, réalisée par des chercheurs de Stanford, UC Davis et TU Delft. 📊 Méthodologie et résultats Les chercheurs ont analysé environ 10 millions de sites web à l’aide de l’outil TruffleHog, en se concentrant sur l’analyse dynamique de sites en production (et non sur les dépôts de code). Ils ont découvert : ...

🔍 Contexte Article publié le 29 mars 2026 sur le blog personnel de la chercheuse Persephone Karnstein, adapté d’une présentation donnée avec Mitchell Marasch à BSides Seattle 2026, pour le compte de Bureau Veritas Cybersecurity North America (anciennement Security Innovation). L’évaluation a été conduite fin 2025 / début 2026. 🎯 Périmètre de l’évaluation Les chercheurs ont évalué trois surfaces d’attaque : Le hardware physique (PCB/MBB de la moto Zero Motorcycles) L’application Android com.zeromotorcycles.nextgen Le firmware embarqué distribué via OTA (Over-The-Air) 🔓 Vulnérabilités identifiées 1. Secrets hardcodés dans l’application Android L’analyse de l’APK via JADX révèle dans com.zeromotorcycles.nextgen.BuildConfig : ...

🔬 Contexte Article de recherche académique publié sur arXiv le 25 mars 2026, co-écrit par des chercheurs de l’Université de l’Illinois (Springfield), de l’Université de Lancaster (UK), du KIIT (Inde) et de l’équipe de recherche Splunk/Cisco. Il présente un framework de threat hunting proactif et automatisé. 🎯 Problématique adressée Les approches de sécurité traditionnelles (EDR, SIEM à base de règles) sont insuffisantes face aux APT (Advanced Persistent Threats) en constante évolution. Les analystes SOC sont submergés par le volume de logs. Kaspersky rapporte une augmentation de 74% des APTs en 2024, et Fortinet signale une hausse de 16,7% par an de l’activité de reconnaissance. ...

🔬 Contexte Article de recherche publié sur arXiv le 29 mars 2026 par des chercheurs de JOANNEUM RESEARCH (Graz, Autriche), TU Graz, Alias Robotics (Espagne) et Jamk University (Finlande), dans le cadre du projet européen ResilMesh (GA No. 101119681). 🤖 Architecture proposée Les auteurs présentent un workflow multi-agents basé sur LangGraph pour l’automatisation des tests de pénétration sur des environnements ROS (Robot Operating System) / ROS2. L’architecture repose sur trois agents coopératifs : ...

🔍 Contexte Rapid7 Labs publie le 26 mars 2026 un rapport d’investigation approfondi sur une campagne d’espionnage avancée ciblant les réseaux de télécommunications mondiaux. L’acteur identifié est Red Menshen, un groupe à nexus chinois (China-nexus), opérant sur le long terme avec des objectifs d’espionnage stratégique à haute valeur. 🎯 Cibles et objectifs Les cibles principales sont les opérateurs de télécommunications et les réseaux gouvernementaux. L’objectif est de positionner des accès persistants et dormants (« sleeper cells ») au cœur des infrastructures télécoms, permettant : ...