🔍 Contexte Publié le 2 avril 2026 par la Microsoft Defender Security Research Team, cet article constitue une analyse technique approfondie d’une technique d’attaque observée dans des environnements d’hébergement Linux partagés. L’équipe documente l’abus de webshells PHP contrôlés par cookies HTTP comme canal de commande furtif. 🎯 Technique principale : Cookie-gated PHP webshells Au lieu d’exposer les fonctionnalités malveillantes via des paramètres d’URL ou le corps des requêtes, ces webshells restent dormants jusqu’à la réception de valeurs de cookies spécifiques fournies par l’attaquant. Le mécanisme repose sur la superglobale PHP $_COOKIE, permettant une activation discrète sans modification fréquente des fichiers sur disque. ...

🔍 Contexte Publié le 31 mars 2026 par ThreatLabz (Zscaler), cet article constitue une analyse technique approfondie des évolutions introduites dans Xloader à partir de la version 8.1, un malware de type stealer/loader issu du rebranding de FormBook. 🛡️ Nouvelles techniques d’obfuscation (v8.1+) Xloader v8.1 introduit plusieurs améliorations significatives pour contrer l’analyse automatisée et le reverse engineering : Construction désordonnée des paramètres « eggs » : les marqueurs de début et de fin des fonctions chiffrées sont désormais construits dans un ordre aléatoire et octet par octet, rendant le pattern matching inefficace. Obfuscation des prédicats opaques : les valeurs constantes hardcodées sont chiffrées via des opérations XOR au niveau bit, y compris les octets de prologue de fonctions. Routine de déchiffrement personnalisée obfusquée : la fonction de déchiffrement passe désormais par une structure de paramètres contenant des valeurs hardcodées chiffrées (ex. : déchiffrement de la taille de la S-box via la valeur 0x25 + 0xDB). L’outil Miasm framework est recommandé pour reconstruire statiquement la pile obfusquée. 🌐 Protocole réseau et communication C2 Objectifs principaux d’Xloader : ...

🎯 Contexte Publié le 3 avril 2026 par SafeDep, cet article documente une campagne de supply chain attack via npm ciblant spécifiquement les déploiements Strapi CMS d’une plateforme de paiement en cryptomonnaies identifiée comme Guardarian. La campagne s’est déroulée sur une fenêtre de 13 heures le 3 avril 2026. 📦 Vecteur d’attaque Trente-six packages npm malveillants ont été publiés via 4 comptes sock-puppet (umarbek1233, kekylf12, tikeqemif26, umar_bektembiev1), tous imitant la convention de nommage strapi-plugin-* avec la version 3.6.8 pour paraître légitimes. Chaque package contient 3 fichiers (package.json, index.js, postinstall.js), le payload s’exécutant automatiquement via le hook postinstall sans interaction utilisateur. ...

🔍 Contexte Publié le 4 avril 2026 par CERT Polska, cet article présente une analyse technique approfondie d’un malware Android inédit baptisé cifrat (dérivé du nom de package io.cifnzm.utility67pu), distribué via une infrastructure d’hameçonnage imitant Booking.com. 🎣 Vecteur d’infection initial La chaîne d’infection débute par un email de phishing incitant la victime à cliquer sur un lien qui redirige successivement via : share.google/Yc9fcYQCgnKxNfRmH booking.interaction.lat/starting/ Cette page présente une fausse invite de mise à jour de sécurité Booking.com et déclenche le téléchargement d’un APK malveillant : com.pulsebookmanager.helper.apk. ...

🗞️ Contexte Article publié le 2 avril 2026 par le Wall Street Journal, relatant l’investigation ayant conduit au démantèlement du botnet Kimwolf, l’un des plus puissants jamais observés sur internet. L’opération de police fédérale américaine a été annoncée le 19 mars 2026. 🎯 Le botnet Kimwolf Kimwolf est un botnet de type DDoS-as-a-service ayant lancé plus de 26 000 attaques DDoS ciblant plus de 8 000 victimes. À son apogée, il comptait environ 2 millions d’appareils compromis, avec des dizaines de milliers de nouveaux appareils ajoutés quotidiennement. Les opérateurs dépensaient environ 30 000 dollars par mois pour les serveurs de commande et contrôle. ...

🗓️ Contexte Article publié le 4 avril 2026 par Luke Jennings sur le blog de Push Security. Il s’agit d’une analyse technique approfondie de la montée en puissance du device code phishing en 2026, technique exploitant le flux OAuth 2.0 Device Authorization Grant. 📈 Tendance observée Push Security a observé une augmentation de 37,5x des pages de device code phishing détectées en 2026 par rapport à l’année précédente. Dix kits distincts ont été identifiés en circulation, dont le plus prominent est EvilTokens, premier kit PhaaS (Phishing-as-a-Service) criminel dédié au device code phishing, lancé en février 2026. ...

🔍 Contexte Article publié le 3 avril 2026 par Tammy Harper, Senior Threat Intelligence Researcher chez Flare.io, sur LinkedIn. L’article présente une analyse technique d’un outil offensif commercial nommé Pentagram, commercialisé comme solution automatisée d’acquisition de comptes VPN d’entreprise. 🛠️ Description de l’outil Pentagram est une plateforme modulaire composée d’un panel web centralisé et de workers distribués. La communication backend s’effectue via I2P pour assurer l’anonymat de l’opérateur. Les binaires distribués incluent pentagram.exe et i2pd.exe. ...

🗞️ Contexte Article publié le 1er avril 2026 par The Register, basé sur une étude de la société de cybersécurité ESET portant sur le secteur manufacturier britannique. 📊 Chiffres clés de l’étude ESET 78% des fabricants britanniques déclarent avoir subi au moins un incident cyber au cours des 12 derniers mois Plus de la moitié signalent des pertes de revenus directes Dans plus de la moitié des incidents les plus graves, les pertes ont dépassé £250 000 Presque tous les répondants ont constaté un impact opérationnel direct La majorité des interruptions durent plusieurs jours, parfois près d’une semaine 1 fabricant sur 5 dispose d’une visibilité limitée ou nulle sur les menaces cyber Près de la moitié des répondants identifient les attaques assistées par IA comme la principale menace pour l’année à venir, devant le phishing et les ransomwares Seulement 22% des entreprises placent la cybersécurité au niveau exécutif Plus d’un cinquième des entreprises adoptent encore une posture réactive plutôt que préventive 🏭 Incident de référence : Jaguar Land Rover L’article cite l’attaque contre Jaguar Land Rover comme exemple emblématique : l’entreprise a été contrainte d’arrêter sa production, avec des perturbations s’étendant sur plusieurs semaines et un impact économique global estimé à £1,9 milliard, en incluant les fournisseurs, les retards et la perte de production. ...

📅 Source : tech.stonecharioteer.com, publié le 31 mars 2026. Article technique personnel décrivant une expérimentation approfondie des exit nodes Tailscale sur une infrastructure domestique (Proxmox LXC). 🔧 Architecture technique Tailscale repose sur WireGuard comme plan de données, auquel il ajoute un plan de contrôle gérant : l’identité/SSO, la découverte de pairs, la traversée NAT, la distribution des ACL et routes, MagicDNS, et la révocation rapide de dispositifs. Le flux de connexion entre pairs : ...

🔍 Contexte Article technique publié le 26 mars 2026 par Paul Meyer (Edgeless Systems) sur le blog katexochen.aro.bz. L’auteur décrit la reproduction complète de l’attaque BadAML contre la plateforme Contrast (runtime Kubernetes basé sur des CVMs) et la mise en place d’une mitigation. 🎯 Description de l’attaque BadAML BadAML est une attaque exploitant les tables ACPI fournies par l’hôte pour obtenir une exécution de code arbitraire à l’intérieur de VMs confidentielles (CVMs), contournant leurs garanties d’isolation mémoire. ...