Check Point dĂ©voile Amaranth‑Dragon, espionnage ciblĂ© en ASEAN liĂ© Ă  APT‑41

Source: Check Point Research — Dans un billet de synthĂšse, le laboratoire dĂ©taille des campagnes d’espionnage menĂ©es en 2025 par un nouvel acteur, Amaranth‑Dragon, contre des institutions gouvernementales et des forces de l’ordre en Asie du Sud‑Est, avec des liens techniques et opĂ©rationnels vers l’écosystĂšme APT‑41. đŸ•”ïžâ€â™‚ïž Contexte et objectifs: Les opĂ©rations observĂ©es visaient des agences gouvernementales et de sĂ©curitĂ© dans plusieurs pays de l’ASEAN, avec un objectif clair de collecte d’intelligence gĂ©opolitique sur le long terme. Les campagnes ont Ă©tĂ© minutieusement calĂ©es sur des Ă©vĂ©nements politiques et sĂ©curitaires locaux pour maximiser l’engagement des cibles. ...

4 fĂ©vrier 2026 Â· 2 min

Chrysalis : le backdoor de Lotus Blossom distribuĂ© via l’abus de Notepad++ et un loader Warbird

Source: Rapid7 — Rapid7 Labs et l’équipe MDR publient une analyse technique d’une campagne attribuĂ©e Ă  l’APT chinois Lotus Blossom, active depuis 2009 et ciblant surtout l’Asie du Sud-Est (et rĂ©cemment l’AmĂ©rique centrale). L’enquĂȘte met au jour le backdoor sur mesure “Chrysalis”, livrĂ© via un abus de l’infrastructure de distribution de Notepad++, et un loader exploitant le framework Microsoft Warbird. ‱ ChaĂźne d’infection et loaders. L’accĂšs initial est en ligne avec l’abus public de Notepad++ (exĂ©cution de notepad++.exe puis GUP.exe avant un “update.exe” tĂ©lĂ©chargĂ© depuis 95.179.213.0). “update.exe” est un installateur NSIS plaçant dans %AppData%\Bluetooth un exĂ©cutable lĂ©gitime renommĂ© (BluetoothService.exe, Bitdefender Submission Wizard) pour du DLL sideloading avec un log.dll malveillant. LogInit/LogWrite chargent, dĂ©chiffrent et exĂ©cutent du shellcode via une dĂ©rivation de clĂ© (LCG + finaliseur MurmurHash-like) et rĂ©solution d’API par hash (FNV-1a + avalanche). Le shellcode dĂ©chiffre le module principal (clĂ© XOR gQ2JR&9;), charge dynamiquement des DLLs, reconstruit des chaĂźnes obfusquĂ©es et rĂ©sout les APIs en marchant le PEB. ...

4 fĂ©vrier 2026 Â· 4 min

CISA: des groupes de ransomware exploitent une faille d’évasion de sandbox dans VMware ESXi

Source : BleepingComputer — 29 janvier 2026 VulnĂ©rabilitĂ© concernĂ©e : CVE-2025-22225 (VMware ESXi) — Arbitrary Kernel Write / Sandbox Escape GravitĂ© : ÉlevĂ©e (activement exploitĂ©e) Selon BleepingComputer, la CISA a confirmĂ© mercredi que des groupes de rançongiciel exploitent une vulnĂ©rabilitĂ© de gravitĂ© Ă©levĂ©e permettant une Ă©vasion de sandbox dans VMware ESXi, une faille qui avait auparavant servi dans des attaques zero-day. 🚹 Exploitation confirmĂ©e par la CISA: des groupes de ransomware « ont commencĂ© » Ă  tirer parti de la faille. đŸ§© Nature de la faille: Ă©vasion de sandbox sur VMware ESXi. ⏳ Historique: vulnĂ©rabilitĂ© dĂ©jĂ  observĂ©e en zero-day avant cette confirmation d’exploitation par des rançongiciels. 📌 Ce qu’il faut retenir La CISA (Cybersecurity and Infrastructure Security Agency) americiane confirme que des groupes de ransomware exploitent dĂ©sormais CVE-2025-22225, une faille VMware ESXi qui avait dĂ©jĂ  Ă©tĂ© utilisĂ©e comme zero-day. ...

4 fĂ©vrier 2026 Â· 3 min

Exploitation active de CVE-2025-11953 (« Metro4Shell ») sur Metro (React Native) observée par VulnCheck

Selon VulnCheck, des exploitations de la vulnĂ©rabilitĂ© CVE-2025-11953 (« Metro4Shell ») ont Ă©tĂ© observĂ©es dĂšs le 21 dĂ©cembre 2025 sur des serveurs Metro (outil de bundling et dev pour React Native), avec des charges utiles cohĂ©rentes relevĂ©es Ă  plusieurs dates en janvier 2026. ‱ Contexte et vulnĂ©rabilitĂ©. Metro peut exposer par dĂ©faut un endpoint /open-url; sur Windows, celui-ci permet Ă  un attaquant non authentifiĂ© d’exĂ©cuter des commandes OS via un POST. La faille a Ă©tĂ© analysĂ©e par JFrog, suivie de POC publics sur GitHub. VulnCheck note un dĂ©calage entre l’exploitation rĂ©elle et sa reconnaissance publique (EPSS 0,00405), malgrĂ© une surface exposĂ©e sur Internet. ...

4 fĂ©vrier 2026 Â· 3 min

ImageMagick : chaßne de zero-days permettant RCE sur toutes les politiques de sécurité

🔍 Contexte PubliĂ© le 02/04/2026 par Octagon Networks sur pwn.ai, cet article dĂ©taille une recherche offensive autonome menĂ©e par l’agent IA pwn.ai pendant prĂšs de 5 jours, initiĂ©e lors d’un engagement client sur une application web minimaliste dont la seule surface d’attaque Ă©tait une boĂźte d’upload traitant les fichiers via ImageMagick. 🎯 DĂ©couvertes principales La recherche a abouti Ă  la dĂ©couverte de multiples zero-days dans ImageMagick affectant toutes les distributions Linux majeures (Ubuntu 22.04, Debian, Fedora, RHEL, Arch, Alpine, Amazon Linux, macOS Homebrew, Docker) ainsi que les installations WordPress. ...

4 fĂ©vrier 2026 Â· 3 min

Incident Notepad++ : IOCs publiés par l'ancien hébergeur suite à une mise à jour malveillante

🔍 Contexte Document publiĂ© le 02/04/2026 sur le site officiel de Notepad++ (notepad-plus-plus.org), Ă©manant de l’ancien fournisseur d’hĂ©bergement. Ce document partage des indicateurs de compromission (IOCs) observĂ©s dans l’environnement d’hĂ©bergement lors de l’incident impliquant une mise Ă  jour malveillante de Notepad++. L’hĂ©bergeur prĂ©cise ne pas avoir hĂ©bergĂ© la mise Ă  jour malveillante elle-mĂȘme et ne pas avoir de visibilitĂ© sur la chaĂźne d’attaque complĂšte ni sur l’impact pour les utilisateurs finaux. ...

4 fĂ©vrier 2026 Â· 2 min

macOS : Rétro-ingénierie des protections ClickFix d'Apple via Endpoint Security

🔍 Contexte PubliĂ© le 31 mars 2026 sur le blog Objective-See par Patrick Wardle, cet article constitue une analyse technique approfondie de l’implĂ©mentation des protections anti-ClickFix intĂ©grĂ©es nativement dans macOS 26.4 par Apple, ainsi que de leur relation avec le framework Endpoint Security (ES). 🎯 La technique ClickFix ClickFix est une technique d’infection largement adoptĂ©e ciblant macOS et Windows. Elle repose sur la manipulation sociale : convaincre un utilisateur de copier-coller une commande malveillante dans un terminal. Cette technique permet de contourner des protections OS comme Gatekeeper et Notarization sur macOS. Elle est dĂ©sormais utilisĂ©e aussi bien par des cybercriminels opportunistes que par des acteurs plus sophistiquĂ©s. ...

4 fĂ©vrier 2026 Â· 2 min

Moltbook : une mauvaise configuration Supabase expose 1,5 M de tokens et permet la modification de contenus

Selon Wiz (blog), une analyse non intrusive du rĂ©seau social d’agents IA Moltbook a mis au jour une clĂ© Supabase exposĂ©e dans le JavaScript client, pointant vers une base de production sans Row Level Security, ce qui a permis un accĂšs anonyme en lecture et en Ă©criture Ă  de nombreuses tables jusqu’à la correction appliquĂ©e en plusieurs Ă©tapes. Impact et donnĂ©es exposĂ©es. L’équipe Wiz a constatĂ© l’exposition de 1,5 million de tokens d’authentification d’API, d’environ 35 000 adresses e‑mail (tables owners et observers) et de 4 060 messages privĂ©s entre « agents », certains contenant des clĂ©s OpenAI en clair. Les enregistrements d’agents incluaient des secrets sensibles (api_key, claim_token, verification_code), rendant possible une usurpation complĂšte d’identitĂ© et l’interaction Ă  la place de n’importe quel agent, y compris des comptes Ă  forte « karma ». ...

4 fĂ©vrier 2026 Â· 3 min

OpenClaw: plus de 1 800 instances d’agents IA exposent clĂ©s API et historiques, Cisco alerte sur un « cauchemar » sĂ©curitĂ©

Selon VentureBeat, l’agent IA open source OpenClaw (ex-Clawdbot/Moltbot) connaĂźt un essor fulgurant, mais des scans Internet ont rĂ©vĂ©lĂ© plus de 1 800 instances exposĂ©es divulguant des clĂ©s API, des historiques de chats et des identifiants. Des chercheurs et des Ă©quipes sĂ©curitĂ© (Cisco, IBM Research) soulignent que les agents IA crĂ©ent une surface d’attaque sĂ©mantique que pare-feu, EDR et SIEM voient mal, en particulier sur du BYOD. ‱ Pourquoi les pĂ©rimĂštres Ă©chouent ⚠: les attaques visent la sĂ©mantique (ex. « Ignore previous instructions ») plutĂŽt que des signatures de malware. La « trifecta lĂ©tale » dĂ©crite par Simon Willison — accĂšs Ă  des donnĂ©es privĂ©es, exposition Ă  du contenu non fiable, et communication externe — est rĂ©unie dans OpenClaw, permettant des fuites sans alerte. Les SOC voient un HTTP 200 et du comportement process standard, alors que l’attaque est dans le raisonnement du modĂšle. ...

4 fĂ©vrier 2026 Â· 3 min

RFC 9849 : Publication du standard TLS Encrypted Client Hello (ECH) par l'IETF

🌐 Contexte PubliĂ© le 3 mars 2026 sur le datatracker de l’IETF (https://datatracker.ietf.org/doc/rfc9849/), ce document constitue la RFC 9849, un standard de la catĂ©gorie Standards Track produit par le groupe de travail TLS de l’IETF. Les auteurs sont Eric Rescorla (Independent), Kazuho Oku (Fastly), Nick Sullivan (Cryptography Consulting LLC) et Christopher A. Wood (Apple). 🔐 Objet du standard La RFC 9849 spĂ©cifie le mĂ©canisme TLS Encrypted Client Hello (ECH), une extension TLS permettant aux clients de chiffrer leur message ClientHello sous la clĂ© publique du serveur. Ce mĂ©canisme protĂšge notamment : ...

4 fĂ©vrier 2026 Â· 2 min
Derniùre mise à jour le: 5 juillet 2026 📝