🔍 Contexte Publié le 04/05/2026 sur GitHub (gist de Diana Damenova), cet article présente IRQL (Incident Response Query Language), une bibliothèque de fonctions KQL (Kusto Query Language) conçue pour unifier et simplifier l’analyse des logs de sécurité dans des environnements Microsoft (Azure, Sentinel, Defender XDR). 🛠️ Description de l’outil IRQL a été créé par Saar Ron, John Lambert et Diana Damenova. Il s’agit d’un ensemble de fonctions KQL organisées en cinq familles : ...

🔍 Contexte Le 13 mars 2026, une pull request (#221) a été fusionnée dans le dépôt public LOLDrivers (magicsword-io), un projet de référencement de drivers légitimes mais vulnérables exploitables dans des attaques BYOVD (Bring Your Own Vulnerable Driver). La contribution a été initiée par le chercheur mnznndr97 le 28 mars 2025 et approuvée après plusieurs mois de revue. 🧩 Contenu de la contribution Trois nouveaux drivers vulnérables ont été documentés et ajoutés au référentiel : ...

📰 Source : lina.sh/blog/ddos-honeypot — Publication du 04/05/2026. Article d’analyse technique rédigé par un chercheur indépendant ayant investigué l’infrastructure d’Operation PowerOFF. Contexte : Operation PowerOFF Operation PowerOFF est une opération internationale coordonnée visant à démanteler les services DDoS-for-hire (booters). Elle implique le FBI, la UK National Crime Agency (NCA), Europol, et est principalement pilotée par la police néerlandaise (Politie). L’opération a conduit à la saisie d’environ une centaine de domaines et à plusieurs arrestations. ...

🎯 Contexte Publié le 24 mars 2026 par Halcyon et Beazley Security, ce rapport conjoint analyse une intrusion ransomware attribuée à Pay2Key, groupe lié au gouvernement iranien actif depuis 2020, ayant ciblé une organisation de santé américaine en février 2026. 🕵️ Attribution et contexte géopolitique Pay2Key est suivi sous plusieurs alias : Fox Kitten, Pioneer Kitten, UNC757, Parasite, RUBIDIUM, Lemon Sandstorm. En août 2024, le FBI, la CISA et le DoD Cyber Crime Center ont officiellement attribué ce groupe à l’Iran. L’activité du groupe s’intensifie systématiquement lors de tensions géopolitiques impliquant l’Iran. En fin 2025, le groupe a tenté de vendre son infrastructure RaaS (pour 0,15 BTC) sur des forums underground et sur X/Twitter, sans résolution claire. ...

🔍 Contexte Publié sur GitHub (Whitecat18/Rust-for-Malware-Development), cet article présente un proof-of-concept (PoC) en Rust implémentant un contournement de l’Antimalware Scan Interface (AMSI) de Microsoft sans modifier un seul octet de amsi.dll. ⚙️ Mécanisme technique La technique repose sur l’exploitation des exceptions de page mémoire gardée (Page Guard) : La page mémoire contenant AmsiScanBuffer est transformée en « trap » via VirtualProtect avec le flag PAGE_GUARD. Tout appel à AmsiScanBuffer déclenche une violation de page gardée (exception 0x80000001) avant l’exécution de la première instruction. Un Vectored Exception Handler (VEH) intercepte cette exception et : Écrit AMSI_RESULT_CLEAN dans la variable résultat du caller (via déréférencement du pointeur en [Rsp+0x30]). Simule un ret pour retourner au caller. Réarme le piège via une exception de single-step (0x80000004) pour le prochain appel. 🧩 Point critique d’implémentation L’article souligne un gotcha critique : l’argument 6 sur la pile ([Rsp+0x30]) est un pointeur vers AMSI_RESULT, pas la valeur directe. Il faut charger le pointeur puis le déréférencer — écrire directement dans le slot de pile corrompt la pile sans affecter la variable résultat du caller. ...

📋 Contexte : Le Groupement d’Intérêt Public Action contre la Cybermalveillance (GIP ACYMA) publie son rapport d’activité 2025, couvrant l’ensemble des menaces cyber observées en France sur l’année. Ce document constitue la septième édition du rapport annuel de Cybermalveillance.gouv.fr. 📊 Chiffres clés : 5,1 millions de visiteurs uniques sur la plateforme (2e année consécutive au-dessus de 5M) 504 000 demandes d’assistance enregistrées, en hausse de +20 % Répartition : 93 % particuliers, 6 % entreprises/associations, 1 % collectivités/administrations Hausse marquée pour les professionnels : +73 % entreprises/associations, +22 % collectivités 🎯 Principales menaces pour les particuliers : ...

🔍 Contexte Article de recherche publié le 02 mai 2026 sur le blog personnel d’Aaron Haymore (zonifer.dev). L’auteur présente une analyse technique complète du pilote noyau gdrv3.sys livré avec Gigabyte APP Center, dans le cadre d’une étude sur les attaques BYOVD (Bring Your Own Vulnerable Driver). 🎯 Objet de l’analyse Le pilote gdrv3.sys (MD5 : 2791bbd810b9bc086bb1631e0f16c821) est un pilote WDF signé par Microsoft, déposé dans C:\Windows\System32\drivers lors de l’installation de Gigabyte APP Center. L’analyse de sa table d’imports dans Ghidra révèle des fonctions dangereuses : MmMapIoSpace, MmGetPhysicalAddress, MmAllocateContiguousMemory, MmMapLockedPagesSpecifyCache, RDMSR/WRMSR. ...

📅 Contexte Source : Office fédéral de la cybersécurité (OFCS) – Publication du 04/05/2026, relatant des faits observés à partir du 28/04/2026. Il s’agit d’un bilan hebdomadaire (semaine 17) de signalements reçus par l’autorité suisse. 🎯 Nature de la menace L’OFCS constate une recrudescence des signalements liés aux escroqueries dites « Coucou maman/papa » (arnaque au faux proche en détresse). Ces campagnes ciblent des particuliers, typiquement des parents, en se faisant passer pour un enfant ayant changé de numéro. ...

🗂️ Contexte Source : Bureau du Procureur général d’Ukraine (gp.gov.ua), publication du 27 avril 2026. L’opération a été conduite par les procureurs de la région de Lviv, la cyber-police et le Service de sécurité d’Ukraine (SBU). 👥 Acteurs impliqués Un groupe de trois individus a été démantelé dans la région de Lviv : Un résident de Drohobych âgé de 19 ans, organisateur du schéma Deux complices âgés de 21 et 22 ans La période d’activité documentée s’étend d’octobre 2025 à janvier 2026. ...

🛡️ Contexte Publié le 04/05/2026 sur GitHub par Ridgeline Cyber Defence, VanGuard est un toolkit de réponse à incident (DFIR) open-source développé en Go, conçu pour les équipes de sécurité en entreprise. Il se présente comme un binaire unique, portable, sans installation requise, compatible Windows et Linux. 🔧 Fonctionnalités principales VanGuard consolide l’ensemble du cycle de vie IR dans un seul exécutable : Triage rapide : collecte de 20+ catégories d’artefacts Windows et 15+ Linux (processus, logs, tâches planifiées, historique navigateur, registre, connexions réseau, etc.) Threat Hunting : intégration de Hayabusa (Sigma), Chainsaw, Loki (IOC scanning), YARA ; détection de LOLBins, autoruns suspects, DLL hijacking, unités systemd rogues, binaires SUID, patterns C2 Forensique mémoire : capture via DumpIt, WinPMEM, AVML, LiME ; analyse via Volatility3 Collecte disque : KAPE + EZ Tools (Windows), UAC (Linux) Opérations Velociraptor : gestion complète du cycle de vie serveur/agent, déploiement via WinRM/SSH/PSExec, VQL, hunts Opérations distantes : exécution simultanée sur plusieurs endpoints, authentification NTLM/SSH/PSExec Reporting : rapports HTML auto-contenus, super-timelines CSV, clustering MITRE ATT&CK automatique 📋 Bibliothèque de 28 cas d’usage pré-construits Chaque cas d’usage inclut un mapping MITRE ATT&CK, une classification de sévérité et une collecte d’artefacts phasée : ...