🔍 Contexte Publié le 17 avril 2026 par CYFIRMA, ce rapport présente l’analyse technique approfondie d’un framework post-exploitation avancé baptisé Operation PhantomCLR, ciblant des organisations du Moyen-Orient et du secteur financier EMEA. 🎯 Vecteur d’infection L’attaque débute par un spear-phishing livrant une archive ZIP contenant six composants : IAStorHelp.exe — binaire Intel légitime et signé IAStorHelp.exe.config — fichier de configuration CLR weaponisé IAStorHelpMosquitoproof.dll — DLL .NET malveillante setting.yml — payload chiffré AES Work From Home Policy Update.pdf.lnk — déclencheur LNK masqué en PDF Un PDF leurre en arabe imitant un document officiel du gouvernement saoudien Le fichier LNK utilise une double extension (.pdf.lnk) et résout l’icône PDF de Microsoft Edge pour tromper la victime. Le PDF leurre imite un document du Ministère saoudien avec formatage officiel, calendrier hégirien et typographie arabe authentique. ...

🔍 Contexte Publié le 21 avril 2026 par l’équipe de recherche Infrawatch (https://infrawatch.com), cet article présente les résultats d’une investigation menée en février 2026 sur l’écosystème des SIM Farm as a Service, en particulier la plateforme ProxySmart. 🏗️ Infrastructure identifiée 87 instances exposées du panneau de contrôle ProxySmart sur l’internet public, dans 17 pays 94 sites physiques de fermes de téléphones/modems recensés (Amérique du Nord, Europe, Amérique du Sud) 19 États américains couverts, principalement dans des zones métropolitaines à forte couverture 4G/5G Pays identifiés : États-Unis, Canada, Royaume-Uni, Allemagne, Espagne, Portugal, Ukraine, Lettonie, France, Roumanie, Brésil, Irlande, Pays-Bas, Australie, Italie, Pologne, Géorgie Lié à 24 fournisseurs proxy commerciaux et 35 opérateurs mobiles ⚙️ Fonctionnement de ProxySmart ProxySmart est un logiciel OEM à destination des opérateurs de fermes SIM, associé à une empreinte vendeur basée en Biélorussie. Il offre une stack complète : ...

🗓️ Contexte Publié le 21 avril 2026 sur le blog Substack de calif.io, cet article s’inscrit dans la série MAD Bugs (avril 2026) et fait suite à deux divulgations précédentes : un 0-day dans radare2 et un auth bypass dans le serveur Ghidra de la NSA. Les chercheurs présentent ici quatre nouvelles vulnérabilités d’exécution de code arbitraire (RCE), toutes découvertes à l’aide des modèles d’IA Claude ou Codex. 🔍 Vulnérabilités divulguées radare2 — Incomplete Fix / PDB Section Name Injection (issue #25752) Le correctif précédent (issue #25731) avait encodé en base64 le champ fN, mais avait omis le champ f dans print_gvars(). Le nom de section PE brut (8 octets) est interpolé sans sanitisation via %.*s dans la commande f. Un \n dans le nom de section termine le commentaire # et injecte une nouvelle commande r2. Un stager de type HITCON CTF 2017 “BabyFirst Revenge” permet de transformer des écritures de 7 octets en exécution sh arbitraire. Fix livré immédiatement par l’équipe radare2 après signalement. PoC : https://github.com/califio/publications/tree/main/MADBugs/radare2-pdb-section-rce Ghidra (NSA) — RMI Client Deserialization RCE (toutes versions ≥ 9.1) Le serveur Ghidra dispose d’un ObjectInputFilter allow-list, mais le client Ghidra n’en installe aucun. Un fichier .gpr malveillant contenant une URL ghidra:// dans son XML projectState force le client à se connecter silencieusement à un serveur attaquant. Le premier appel RMI (reg.list()) est effectué avant toute authentification et sans filtre de désérialisation. Chaîne d’exploitation originale via org.python.core.PyMethod (dans jython-standalone-2.7.4.jar), contournant le correctif readResolve() de PyFunction introduit par Jython 2.7.4. La chaîne aboutit à un interpréteur CPython 2.7 bytecode (21 octets) appelant Runtime.getRuntime().exec(). Flux d’exploitation : PriorityQueue.readObject → Proxy(Comparator).compare → PyMethod.__call__ → __builtin__.eval → PyBytecode → Runtime.exec() La victime voit une erreur PySingleton cannot be cast to Integer après l’exécution du payload. PoC : https://github.com/califio/publications/tree/main/MADBugs/ghidra-rmi-rce IDA Pro (Hex-Rays) & Binary Ninja Sidekick (Vector 35) Deux vulnérabilités RCE arbitraires sous embargo de divulgation coordonnée. Toutes deux se déclenchent sur le workflow standard « ouvrir un fichier reçu ». Détails, PoCs et logs de prompts à publier à la levée des embargos. 🤖 Rôle de l’IA L’ensemble des vulnérabilités a été identifié par Claude ou Codex. L’IA a notamment analysé le patch de radare2 et identifié le second champ non corrigé de manière autonome, produisant un PoC fonctionnel avant la fin du débat humain sur la pertinence de la recherche assistée par IA. ...

🗓️ Contexte Source : BBC News, publié le 23 avril 2026. Le Sri Lanka a officiellement lancé une enquête après la découverte d’une cyberattaque ayant conduit au détournement de 2,5 millions de dollars (1,8 million de livres sterling) depuis les systèmes informatiques du ministère des Finances. 🎯 Nature de l’attaque Les enquêteurs estiment que les cybercriminels ont manipulé des instructions de paiement transmises par email dans le cadre du processus de règlement de la dette souveraine. Les fonds, destinés à l’Australie dans le cadre d’un remboursement bilatéral dont l’échéance était fixée à septembre 2025, ont été redirigés vers des comptes bancaires non autorisés. Le détournement aurait eu lieu en janvier 2026, mais n’a été découvert que lorsque le créancier australien a signalé ne pas avoir reçu le paiement. ...

🔍 Contexte Publié le 20 avril 2026 par LayerX Security, cet article présente les résultats d’une recherche interne sur une campagne baptisée StealTok, impliquant au moins 12 extensions navigateur malveillantes distribuées sur les marketplaces Google Chrome et Microsoft Edge. 🎯 Nature de la campagne Les extensions se présentent comme des téléchargeurs de vidéos TikTok (sans filigrane) tout en implémentant des mécanismes couverts de collecte de données et de configuration distante. Elles partagent toutes une base de code commune (Manifest V3), indiquant une opération coordonnée par un acteur unique ou un groupe étroitement coordonné. ...

🔍 Contexte Publié le 22 avril 2026 sur le forum officiel Ubuntu Community Hub, ce billet de l’équipe Ubuntu Foundations (ravi-sharma) constitue un compte-rendu de transparence sur l’adoption de rust-coreutils (uutils) comme remplacement des GNU coreutils dans Ubuntu. 📋 Processus d’audit Suite à la décision d’adopter rust-coreutils, Canonical a constitué une équipe interne (Ubuntu Foundations et Ubuntu Security) et a commandité un audit de sécurité externe indépendant auprès de la société Zellic. L’audit s’est déroulé en deux phases : ...

📰 Source : ZDNet France, publié le 22 avril 2026 par Gabriel Thierry. 🔧 Présentation de l’outil : Un spécialiste en renseignement sur les cybermenaces de l’ANSSI a développé Verifium, une application iOS open source d’audit de sécurité et de confidentialité. L’outil est disponible sur GitHub et son site officiel (verifium.app). Il a été présenté publiquement le 31 mars 2026 via le réseau social Bluesky par le compte @x0rz. ✅ Fonctionnalités : L’application effectue 23 contrôles de sécurité locaux, sans transmission de données hors de l’appareil, couvrant : ...

🔍 Contexte Publié le 22 avril 2026 par Fingerprint sur leur blog technique, cet article décrit la découverte et la divulgation responsable d’une vulnérabilité de confidentialité affectant tous les navigateurs basés sur Firefox, incluant Tor Browser. 🐛 Nature de la vulnérabilité La vulnérabilité repose sur le comportement de l’API indexedDB.databases() dans les navigateurs basés sur Gecko. En mode navigation privée, Firefox remplace les noms de bases de données par des UUID générés, stockés dans une table de hachage globale (StorageDatabaseNameHashtable) partagée entre toutes les origines. L’ordre de retour des entrées par cette API est déterminé par l’itération sur la structure interne du hash set (nsTHashSet), sans tri préalable. ...

🔍 Contexte Article publié le 1er avril 2026 sur le blog Objective-See par Pablo Redondo Castro, étudiant chercheur en sécurité macOS. L’analyse porte sur un échantillon de stealer macOS découvert sur une machine physique remise à l’analyste, probablement lié à la campagne AMOS Stealer. 🎯 Vecteur d’infection initial La compromission repose sur un vecteur ClickFix : une commande curl combinée à un décodage base64 et une exécution zsh est copiée-collée par la victime. Le domaine initial est Mac-force.squarespace.com, déjà observé dans des campagnes AMOS antérieures (Claude-docs, n8n). Un second domaine, rvdownloads.com, est utilisé pour télécharger un fichier binaire /tmp/helper. ...

🏛️ Contexte Source officielle : site du gouvernement de Nouvelle-Galles du Sud (nsw.gov.au), publication datée du 21 avril 2026. Le gouvernement australien de l’État de NSW a déclaré un incident cyber significatif à la suite d’une violation de données interne impliquant un membre du personnel du NSW Treasury. 🔍 Déroulement de l’incident La surveillance de sécurité interne a détecté un transfert suspect de documents vers un serveur externe. Les fichiers concernés contiennent des informations commerciales et financières confidentielles couvrant plusieurs départements et projets du gouvernement NSW. Le NSW Treasury a signalé l’affaire à la NSW Police le dimanche précédant la publication. La police a lancé une enquête sous le nom de Strike Force Civic, aboutissant à des inculpations criminelles dans la nuit. 📊 Impact et état de la situation Les autorités estiment que l’ensemble des données présumées volées a été localisé et sécurisé. Aucune compromission externe du système de l’agence n’a été identifiée. L’enquête policière est toujours en cours au moment de la publication. 📌 Nature de l’article Il s’agit d’une annonce d’incident officielle publiée par le gouvernement de NSW, visant à informer le public de la déclaration d’un incident cyber significatif et des mesures prises par les autorités compétentes. ...