🔍 Contexte Publié le 23 avril 2026 par Andy Greenberg sur Wired, cet article rapporte la présentation des chercheurs Vitaly Kamluk et Juan Andrés Guerrero-Saade de SentinelOne à la conférence Black Hat Asia à Singapour. Ils y dévoilent leur analyse complète du malware Fast16, dont l’existence était connue depuis 2017 mais dont le fonctionnement réel était resté inexpliqué pendant 21 ans. 🧬 Découverte et historique 2005 : compilation du driver kernel Fast16.sys, date probable de création du malware 2017 : révélation de l’existence de Fast16 via la fuite des outils NSA par les Shadow Brokers, dans l’outil Territorial Dispute — avec la mention interne “NOTHING TO SEE HERE—CARRY ON” 2019 : Juan Andrés Guerrero-Saade retrouve un échantillon sur VirusTotal sous le nom svcmgmt.exe, contenant le driver Fast16.sys 2026 : Vitaly Kamluk procède au reverse engineering complet, révélant la véritable nature du malware ⚙️ Fonctionnement technique Fast16 n’est pas un rootkit comme supposé initialement (cinq outils IA de premier plan l’ont incorrectement classifié comme tel). Il s’agit d’un malware de sabotage à propagation automatique : ...

🔍 Contexte Publié le 23 avril 2026 par ESET Research (WeLiveSecurity), cet article présente la découverte d’un groupe APT jusqu’alors inconnu, baptisé GopherWhisper, identifié pour la première fois en janvier 2025 lors de l’analyse d’un système appartenant à une entité gouvernementale en Mongolie. 🎯 Attribution et ciblage Le groupe est considéré comme aligné avec la Chine sur la base de plusieurs éléments : Les messages Slack et Discord ont été envoyés majoritairement entre 8h et 17h UTC+8 (heure standard de Chine) Les métadonnées Slack indiquent un fuseau horaire configuré en UTC+8 Le comportement d’une machine opérateur (VM VMware) correspond également à ce fuseau horaire Aucun chevauchement de code ou de TTPs avec un groupe connu n’a été identifié, justifiant la création d’une nouvelle attribution. ...

🔍 Contexte Publié le 22 avril 2026 par la Threat Hunter Team de Symantec et Carbon Black (Broadcom), cet article présente l’analyse technique d’un nouveau backdoor Linux attribué au groupe APT Harvester, actif depuis au moins 2021 et considéré comme soutenu par un État. 🎯 Campagne et ciblage Bien qu’aucune victime directe n’ait été observée, les soumissions initiales sur VirusTotal proviennent d’Inde et d’Afghanistan, régions historiquement ciblées par Harvester pour des opérations d’espionnage en Asie du Sud. Les documents leurres utilisés sont adaptés au contexte régional (références à Zomato, au pèlerinage Umrah, au ministère des Affaires étrangères indien). ...

🗓️ Contexte Source : Ars Technica, publié le 23 avril 2026 par Dan Goodin. L’article s’appuie sur une analyse technique publiée le même jour par la société de sécurité Rapid7, portant sur la famille de ransomware Kyber. 🦠 Description du malware Kyber est une famille de ransomware active depuis au moins septembre 2025. Elle tire son nom de l’algorithme cryptographique ML-KEM (Module Lattice-based Key Encapsulation Mechanism), également connu sous le nom de Kyber, standardisé par le NIST. ...

🔍 Contexte Publié le 21 avril 2026 par Anna Širokova sur le blog Rapid7, cet article présente une analyse technique approfondie du ransomware Kyber, découvert lors d’un engagement de réponse à incident en mars 2026. Deux variantes ont été récupérées dans le même environnement victime, offrant une opportunité rare d’analyse comparative. 🧩 Description des variantes Variante Linux/ESXi (ELF) Binaire 64-bit ELF, écrit en C++ (GCC 4.4.7), non packé, non obfusqué Cible explicitement les datastores VMware ESXi (/vmfs/volumes) Utilise les outils natifs ESXi : esxcli pour lister et terminer les VMs Chiffrement réel : ChaCha8 + RSA-4096 (wrapping de clé), malgré une note de rançon affirmant AES-256-CTR + X25519 + Kyber1024 Extension des fichiers chiffrés : .xhsyw Note de rançon : readme.txt Déface les interfaces SSH (/etc/motd) et web VMware (/usr/lib/vmware/hostd/docroot/index.html) Exécution en arrière-plan via fork() + setsid() pour survivre à la fermeture de session SSH Chiffrement partiel basé sur la taille des fichiers (10% par défaut pour les fichiers >4 MB) Variante Windows (PE) Binaire 64-bit PE, écrit en Rust (MSVC/VS2022), non packé, non obfusqué Chemin de build exposé : C:\Users\user\.cargo\registry\src\index.crates.io-6f17d22bba15001f Chiffrement réel : AES-256-CTR + Kyber1024 + X25519 (conforme aux affirmations de la note) Extension des fichiers chiffrés : .#~~~ Note de rançon : READ_ME_NOW.txt Pipeline d’entropie personnalisé (temps système, CSPRNG Windows, RDRAND, données de processus) Fonctionnalité Hyper-V expérimentale via PowerShell (Get-VM, Stop-VM -Force -TurnOff) 11 commandes anti-récupération si exécuté avec élévation de privilèges : Suppression des shadow copies (WMI, WMIC, vssadmin) Désactivation du Windows Recovery Environment (bcdedit) Suppression des sauvegardes système (wbadmin) Arrêt d’IIS, effacement des journaux d’événements (wevtutil), vidage de la corbeille Terminaison de services : msexchange, vss, backup, veeam, sql Enregistrement d’une icône personnalisée pour les fichiers .#~~~ via le registre Windows Mutex : boomplay[.]com/songs/182988982 🔗 Infrastructure partagée Les deux variantes partagent un identifiant de campagne commun (5176[REDACTED]) et une infrastructure Tor : ...

🗓️ Contexte Source : IT-Connect, publié le 20 avril 2026. Le 15 avril 2026, la présidente de la Commission européenne Ursula von der Leyen a officiellement présenté Age Verification, une application mobile open source destinée à permettre aux citoyens européens de prouver leur âge en ligne (notamment pour accéder aux réseaux sociaux) sans transmettre de données personnelles sensibles aux plateformes. Son déploiement obligatoire est prévu pour septembre 2026. 🔍 Vulnérabilités identifiées Le consultant en sécurité Paul Moore a publié le 16 avril 2026 sur X une démonstration vidéo montrant le contournement complet de l’application en moins de 2 minutes. Trois failles majeures ont été identifiées : ...

🏛️ Contexte Publié le 23 avril 2026 par The Register, cet article rapporte une annonce officielle du National Cyber Security Centre (NCSC) britannique lors de sa conférence annuelle CYBERUK. Il s’agit de la première fois que l’agence recommande explicitement d’abandonner les mots de passe au profit des passkeys. 🔑 Contenu de la recommandation Le NCSC a publié un rapport technique concluant que les passkeys sont « au moins aussi sécurisés, et généralement plus sécurisés » qu’une combinaison mot de passe + vérification en deux étapes (2SV). La nouvelle guidance officielle stipule que les mots de passe ne doivent plus être utilisés là où les passkeys sont disponibles. ...

🗓️ Contexte Article publié le 22 avril 2026 par ZDNet France (auteur : Louis Adam). L’article relate des incidents survenus les 6 et 15 avril 2026 impliquant le capteur de température de Météo France situé à l’aéroport Charles de Gaulle (CDG), et leur lien supposé avec la plateforme de marchés prédictifs Polymarket. 🌡️ Incidents identifiés Deux anomalies distinctes ont été relevées sur le capteur météo de CDG : 6 avril 2026 : la température enregistrée monte soudainement à 21°C vers 19h, après une journée sous les 18°C, avant de redescendre rapidement. Un parieur sur Polymarket remporte ~14 000 dollars en ayant misé sur une température maximale supérieure à 21°C environ 30 minutes avant le début de l’anomalie. 15 avril 2026 : nouvelle anomalie, la température monte à 22°C, bien au-dessus des moyennes journalières. Un parieur remporte ~20 000 dollars en ayant placé son pari juste avant le pic enregistré. ⚖️ Réponse de Météo France Suite à des contrôles internes et une analyse des données relevées, Météo France a déposé une plainte pour « altération du fonctionnement d’un système de traitement automatisé de données ». L’organisation soupçonne soit une intervention physique sur le capteur pour faire monter les relevés, soit une exploitation d’informations de maintenance confidentielles pour placer des paris. ...

📅 Source et contexte : Rapport publié le 21 avril 2026 par l’Acronis Threat Research Unit (TRU), documentant une nouvelle campagne d’espionnage attribuée avec une confiance modérée au groupe Mustang Panda. 🎯 Ciblage : La campagne cible le secteur bancaire indien, marquant un pivot géographique et sectoriel par rapport aux précédentes opérations visant des entités gouvernementales américaines. Une déviation secondaire vers la géopolitique coréenne est également mentionnée. 🔗 Chaîne d’attaque : ...

🔍 Contexte Publié le 21 avril 2026 par ESET Research (Lukas Stefanko), cet article présente la découverte d’une nouvelle variante du malware NGate ciblant des utilisateurs Android au Brésil, active depuis novembre 2025. 🦠 Description du malware Les attaquants ont trojanisé l’application légitime HandyPay (disponible sur Google Play depuis 2021), qui permet nativement de relayer des données NFC entre appareils. Le code malveillant injecté présente des signes d’avoir été généré par GenAI/LLM (présence d’emojis dans les logs, typiques des textes générés par IA). ...