CVE-2026-31431 ' Copy Fail ' : escalade de privilĂšges root en 732 octets sur toutes les distributions Linux majeures

🔍 Contexte PubliĂ© le 29 avril 2026 sur le blog de Xint (xint.io), cet article est une divulgation publique coordonnĂ©e de CVE-2026-31431, surnommĂ© « Copy Fail », dĂ©couvert par le chercheur Taeyang Lee (Theori) avec l’assistance de l’outil d’analyse automatisĂ©e Xint Code. La vulnĂ©rabilitĂ© a Ă©tĂ© signalĂ©e Ă  l’équipe de sĂ©curitĂ© du noyau Linux le 23 mars 2026 et corrigĂ©e en mainline le 1er avril 2026. 🐛 Nature de la vulnĂ©rabilitĂ© Copy Fail est un bug logique dans le template AEAD authencesn du noyau Linux, combinĂ© Ă  deux mĂ©canismes : ...

30 avril 2026 Â· 3 min

30 skills ClawHub recrutent silencieusement des agents IA dans un réseau crypto (ClawSwarm)

🔍 Contexte Article de recherche publiĂ© le 28 avril 2026 par Ax Sharma (Manifold Security). L’analyse porte sur 30 skills publiĂ©s sur la plateforme ClawHub par un auteur unique nommĂ© imaflytok, totalisant environ 9 800 tĂ©lĂ©chargements. ⚙ MĂ©canisme technique Les skills utilisent un protocole maison appelĂ© Open Agent Discovery Protocol (OADP) dont tous les endpoints pointent vers onlyflies.buzz/clawswarm. Le vecteur d’infection repose sur : Un commentaire HTML cachĂ© dans un fichier AGENTS.md créé dans le workspace de l’agent au premier lancement L’agent lit ce fichier Ă  chaque dĂ©marrage de session et envoie une requĂȘte d’enregistrement vers https://onlyflies.buzz/clawswarm/api/v1/agents/register Le serveur retourne un ID et un secret stockĂ©s dans ~/.config/clawswarm/credentials.json Un fichier HEARTBEAT.md dĂ©clenche un check-in toutes les 4 heures pour rĂ©cupĂ©rer des tĂąches Le skill clawswarm-wallet gĂ©nĂšre une clĂ© privĂ©e Hedera (HBAR) et l’envoie au serveur Le skill oadp-beacon propage les marqueurs OADP dans d’autres fichiers du workspace Le hostname de la machine est exfiltrĂ© lors du ping d’enregistrement 🎯 Objectif de la campagne Les skills fournissent une utilitĂ© rĂ©elle (gestion de cron, variables d’environnement, initialisation de workspace) pour passer les inspections superficielles. En rĂ©alitĂ©, ils constituent un funnel d’acquisition pour un rĂ©seau d’agents Ă©conomiques centrĂ© sur le token $FLY (créé le 30 dĂ©cembre 2024), avec un groupe Telegram de 32 membres publiant des rapports de suivi de baleines Hedera. ...

29 avril 2026 Â· 3 min

Fibergrid : anatomie d'un hébergeur bulletproof hébergeant 16 700 faux shops actifs

🔍 Contexte PubliĂ© le 20 avril 2026 par Netcraft (Harry Freeborough), cet article prĂ©sente une investigation approfondie sur Fibergrid, un hĂ©bergeur bulletproof actif depuis au moins 2018, identifiĂ© comme infrastructure centrale d’une criminalitĂ© en ligne Ă  grande Ă©chelle. đŸ—ïž Infrastructure et adresses IP volĂ©es Netcraft a identifiĂ© 16 700 faux shops actifs hĂ©bergĂ©s sur l’infrastructure liĂ©e Ă  Fibergrid. L’une des caractĂ©ristiques distinctives de Fibergrid est la possession de trois plages d’adresses IPv4 issues de l’AFRINIC, reprĂ©sentant 1 million d’adresses IP (valeur estimĂ©e : 20 Ă  25 millions USD), obtenues dans le cadre du scandale dit du « Great African IP Address Heist » (2019) impliquant un ex-dirigeant de l’AFRINIC : ...

26 avril 2026 Â· 4 min

Citizen Lab expose deux campagnes de surveillance télécom via SS7/Diameter et SIMjacker

🔍 Contexte PubliĂ© le 23 avril 2026 par le Citizen Lab (UniversitĂ© de Toronto), ce rapport de recherche documente deux campagnes distinctes de surveillance tĂ©lĂ©com menĂ©es par des acteurs dĂ©signĂ©s STA1 et STA2, identifiĂ©s comme des vendeurs commerciaux de surveillance (CSV) opĂ©rant probablement pour le compte d’États. L’investigation a dĂ©butĂ© fin 2024 suite Ă  l’analyse de logs de pare-feu de signalisation mobile, en collaboration avec Cellusys, Telenor Linx, Roaming Audit et P1 Security. ...

24 avril 2026 Â· 5 min

Des failles dans Windows Admin Center permettent des attaques croisées entre cloud Azure et on-prem

🔍 Contexte PubliĂ© le 23 avril 2026 par The Register, cet article couvre une prĂ©sentation donnĂ©e Ă  la confĂ©rence Black Hat Asia Ă  Singapour par Ilan Kalendarov et Ben Zamir de la sociĂ©tĂ© de sĂ©curitĂ© Cymulate. Leur talk, intitulĂ© “Breaking Hybrid Boundaries Across Azure and Windows”, porte sur des vulnĂ©rabilitĂ©s dĂ©couvertes dans Microsoft Windows Admin Center (WAC). đŸ›Ąïž VulnĂ©rabilitĂ©s identifiĂ©es Quatre CVEs ont Ă©tĂ© dĂ©couvertes et signalĂ©es Ă  Microsoft, qui a depuis publiĂ© des correctifs : ...

24 avril 2026 Â· 2 min

Étude : le RGPD rĂ©duit le tracking web uniquement lĂ  oĂč il est activement appliquĂ©

📰 Source : Help Net Security, 23 avril 2026. Étude de mesure acadĂ©mique sur le tracking web dans 10 juridictions mondiales. Contexte Des chercheurs ont crawlĂ© un ensemble de sites web populaires depuis des machines virtuelles localisĂ©es dans 10 pays : Australie, BrĂ©sil, Canada, Allemagne, Inde, Singapour, Afrique du Sud, CorĂ©e du Sud, Espagne et Californie. L’objectif Ă©tait de mesurer l’exposition rĂ©elle aux trackers selon la juridiction et le rĂ©gime rĂ©glementaire applicable. ...

24 avril 2026 Â· 3 min

GopherWhisper : nouveau groupe APT aligné Chine ciblant des entités gouvernementales mongoles

🔍 Contexte PubliĂ© le 23 avril 2026 par ESET Research (WeLiveSecurity), cet article prĂ©sente la dĂ©couverte d’un groupe APT jusqu’alors inconnu, baptisĂ© GopherWhisper, identifiĂ© pour la premiĂšre fois en janvier 2025 lors de l’analyse d’un systĂšme appartenant Ă  une entitĂ© gouvernementale en Mongolie. 🎯 Attribution et ciblage Le groupe est considĂ©rĂ© comme alignĂ© avec la Chine sur la base de plusieurs Ă©lĂ©ments : Les messages Slack et Discord ont Ă©tĂ© envoyĂ©s majoritairement entre 8h et 17h UTC+8 (heure standard de Chine) Les mĂ©tadonnĂ©es Slack indiquent un fuseau horaire configurĂ© en UTC+8 Le comportement d’une machine opĂ©rateur (VM VMware) correspond Ă©galement Ă  ce fuseau horaire Aucun chevauchement de code ou de TTPs avec un groupe connu n’a Ă©tĂ© identifiĂ©, justifiant la crĂ©ation d’une nouvelle attribution. ...

24 avril 2026 Â· 3 min

NGate : nouvelle variante Android trojanisant HandyPay pour voler des données NFC au Brésil

🔍 Contexte PubliĂ© le 21 avril 2026 par ESET Research (Lukas Stefanko), cet article prĂ©sente la dĂ©couverte d’une nouvelle variante du malware NGate ciblant des utilisateurs Android au BrĂ©sil, active depuis novembre 2025. 🩠 Description du malware Les attaquants ont trojanisĂ© l’application lĂ©gitime HandyPay (disponible sur Google Play depuis 2021), qui permet nativement de relayer des donnĂ©es NFC entre appareils. Le code malveillant injectĂ© prĂ©sente des signes d’avoir Ă©tĂ© gĂ©nĂ©rĂ© par GenAI/LLM (prĂ©sence d’emojis dans les logs, typiques des textes gĂ©nĂ©rĂ©s par IA). ...

24 avril 2026 Â· 3 min

ProxySmart : 87 fermes SIM exposées dans 17 pays, infrastructure proxy mobile massive

🔍 Contexte PubliĂ© le 21 avril 2026 par l’équipe de recherche Infrawatch (https://infrawatch.com), cet article prĂ©sente les rĂ©sultats d’une investigation menĂ©e en fĂ©vrier 2026 sur l’écosystĂšme des SIM Farm as a Service, en particulier la plateforme ProxySmart. đŸ—ïž Infrastructure identifiĂ©e 87 instances exposĂ©es du panneau de contrĂŽle ProxySmart sur l’internet public, dans 17 pays 94 sites physiques de fermes de tĂ©lĂ©phones/modems recensĂ©s (AmĂ©rique du Nord, Europe, AmĂ©rique du Sud) 19 États amĂ©ricains couverts, principalement dans des zones mĂ©tropolitaines Ă  forte couverture 4G/5G Pays identifiĂ©s : États-Unis, Canada, Royaume-Uni, Allemagne, Espagne, Portugal, Ukraine, Lettonie, France, Roumanie, BrĂ©sil, Irlande, Pays-Bas, Australie, Italie, Pologne, GĂ©orgie LiĂ© Ă  24 fournisseurs proxy commerciaux et 35 opĂ©rateurs mobiles ⚙ Fonctionnement de ProxySmart ProxySmart est un logiciel OEM Ă  destination des opĂ©rateurs de fermes SIM, associĂ© Ă  une empreinte vendeur basĂ©e en BiĂ©lorussie. Il offre une stack complĂšte : ...

24 avril 2026 Â· 3 min

Série MAD Bugs : RCE découvertes dans Ghidra, radare2, IDA Pro et Binary Ninja via IA

đŸ—“ïž Contexte PubliĂ© le 21 avril 2026 sur le blog Substack de calif.io, cet article s’inscrit dans la sĂ©rie MAD Bugs (avril 2026) et fait suite Ă  deux divulgations prĂ©cĂ©dentes : un 0-day dans radare2 et un auth bypass dans le serveur Ghidra de la NSA. Les chercheurs prĂ©sentent ici quatre nouvelles vulnĂ©rabilitĂ©s d’exĂ©cution de code arbitraire (RCE), toutes dĂ©couvertes Ă  l’aide des modĂšles d’IA Claude ou Codex. 🔍 VulnĂ©rabilitĂ©s divulguĂ©es radare2 — Incomplete Fix / PDB Section Name Injection (issue #25752) Le correctif prĂ©cĂ©dent (issue #25731) avait encodĂ© en base64 le champ fN, mais avait omis le champ f dans print_gvars(). Le nom de section PE brut (8 octets) est interpolĂ© sans sanitisation via %.*s dans la commande f. Un \n dans le nom de section termine le commentaire # et injecte une nouvelle commande r2. Un stager de type HITCON CTF 2017 “BabyFirst Revenge” permet de transformer des Ă©critures de 7 octets en exĂ©cution sh arbitraire. Fix livrĂ© immĂ©diatement par l’équipe radare2 aprĂšs signalement. PoC : https://github.com/califio/publications/tree/main/MADBugs/radare2-pdb-section-rce Ghidra (NSA) — RMI Client Deserialization RCE (toutes versions ≄ 9.1) Le serveur Ghidra dispose d’un ObjectInputFilter allow-list, mais le client Ghidra n’en installe aucun. Un fichier .gpr malveillant contenant une URL ghidra:// dans son XML projectState force le client Ă  se connecter silencieusement Ă  un serveur attaquant. Le premier appel RMI (reg.list()) est effectuĂ© avant toute authentification et sans filtre de dĂ©sĂ©rialisation. ChaĂźne d’exploitation originale via org.python.core.PyMethod (dans jython-standalone-2.7.4.jar), contournant le correctif readResolve() de PyFunction introduit par Jython 2.7.4. La chaĂźne aboutit Ă  un interprĂ©teur CPython 2.7 bytecode (21 octets) appelant Runtime.getRuntime().exec(). Flux d’exploitation : PriorityQueue.readObject → Proxy(Comparator).compare → PyMethod.__call__ → __builtin__.eval → PyBytecode → Runtime.exec() La victime voit une erreur PySingleton cannot be cast to Integer aprĂšs l’exĂ©cution du payload. PoC : https://github.com/califio/publications/tree/main/MADBugs/ghidra-rmi-rce IDA Pro (Hex-Rays) & Binary Ninja Sidekick (Vector 35) Deux vulnĂ©rabilitĂ©s RCE arbitraires sous embargo de divulgation coordonnĂ©e. Toutes deux se dĂ©clenchent sur le workflow standard « ouvrir un fichier reçu ». DĂ©tails, PoCs et logs de prompts Ă  publier Ă  la levĂ©e des embargos. đŸ€– RĂŽle de l’IA L’ensemble des vulnĂ©rabilitĂ©s a Ă©tĂ© identifiĂ© par Claude ou Codex. L’IA a notamment analysĂ© le patch de radare2 et identifiĂ© le second champ non corrigĂ© de maniĂšre autonome, produisant un PoC fonctionnel avant la fin du dĂ©bat humain sur la pertinence de la recherche assistĂ©e par IA. ...

24 avril 2026 Â· 3 min
Derniùre mise à jour le: 4 juillet 2026 📝