StackWarp : une faille brise l’intĂ©gritĂ© d’AMD SEV‑SNP via la Stack Engine (Zen1–5)

Publication de recherche acadĂ©mique (CISPA Helmholtz Center for Information Security). Les auteurs prĂ©sentent « StackWarp », une attaque logicielle qui exploite un contrĂŽle inter‑hyperthread de la « stack engine » sur AMD Zen pour modifier de maniĂšre dĂ©terministe le pointeur de pile (RSP) d’un invitĂ© SEV‑SNP, et ainsi casser ses garanties d’intĂ©gritĂ©. Le cƓur de la vulnĂ©rabilitĂ© rĂ©side dans un bit non documentĂ© d’un MSR par‑cƓur (0xC0011029, bit 19) qui active/dĂ©sactive la stack engine. Son Ă©tat n’est pas correctement synchronisĂ© entre les deux threads SMT du mĂȘme cƓur. En basculant ce bit au moment oĂč l’autre thread exĂ©cute des instructions de pile (push/pop/call/ret), la mise Ă  jour architecturale de RSP est retardĂ©e (« freeze‑release »), ce qui permet d’injecter un dĂ©calage ±∆ choisi par l’attaquant, jusqu’à 640 octets en un coup, avec une prĂ©cision au niveau instruction. L’effet est bidirectionnel, dĂ©terministe, et observĂ© sur Zen 1 Ă  Zen 5, y compris sur des Zen 4/Zen 5 « entiĂšrement patchĂ©s » avec SMT activĂ©. ...

20 janvier 2026 Â· 3 min

BodySnatcher (CVE-2025-12420) : usurpation d’identitĂ© et dĂ©tournement d’agents IA via ServiceNow Virtual Agent/Now Assist

Source: appomni.com — Aaron Costello (AppOmni) publie une analyse technique dĂ©taillĂ©e de « BodySnatcher » (CVE-2025-12420), une vulnĂ©rabilitĂ© critique touchant ServiceNow Virtual Agent API et l’application Now Assist AI Agents, permettant Ă  un attaquant non authentifiĂ© d’usurper n’importe quel utilisateur Ă  partir de son e‑mail, de contourner MFA/SSO et de piloter des workflows d’agents IA avec des privilĂšges Ă©levĂ©s. ‱ Nature de la faille et impact: La combinaison d’un secret partagĂ© au niveau plateforme et d’une logique d’auto‑liaison de comptes basĂ©e uniquement sur l’adresse e‑mail a permis Ă  un attaquant distant d’usurper l’identitĂ© de n’importe quel utilisateur (y compris administrateur) et d’exĂ©cuter des agents IA pour crĂ©er des comptes backdoor et accorder des rĂŽles administrateurs, exposant potentiellement des donnĂ©es sensibles (SSN, santĂ©, finances, PI). L’auteur qualifie cette faille de plus sĂ©vĂšre vulnĂ©rabilitĂ© IA agentique dĂ©couverte Ă  ce jour. ...

19 janvier 2026 Â· 3 min

Mandiant publie des tables arc-en-ciel Net‑NTLMv1 pour accĂ©lĂ©rer la dĂ©prĂ©ciation du protocole

Mandiant publie un dataset complet de tables arc‑en‑ciel dĂ©diĂ© Ă  Net‑NTLMv1, avec l’objectif dĂ©clarĂ© de faciliter la dĂ©monstration de l’insĂ©curitĂ© du protocole et d’en accĂ©lĂ©rer la dĂ©prĂ©ciation. L’initiative s’appuie sur l’expertise de terrain de Mandiant et les ressources de Google Cloud, et met en avant la possibilitĂ© de rĂ©cupĂ©rer des clĂ©s en moins de 12 heures avec du matĂ©riel grand public coĂ»tant moins de 600 $. Contexte: Net‑NTLMv1 est connu comme insecure depuis au moins 2012 (prĂ©sentations Ă  DEFCON 20), avec une cryptanalyse remontant Ă  1999. La prise en charge par Hashcat (2016) du craquage de clĂ©s DES via known plaintext a dĂ©mocratisĂ© l’attaque. Les tables arc‑en‑ciel existent depuis 2003 (Oechslin), hĂ©ritant des travaux de Hellman (1980). Quand un attaquant obtient un hash Net‑NTLMv1 sans ESS (Extended Session Security) avec le texte clair connu 1122334455667788, une known plaintext attack (KPA) permet de rĂ©cupĂ©rer de façon garantie le matĂ©riau de clĂ©, c’est‑à‑dire le hash de mot de passe de l’objet Active Directory (AD) (utilisateur ou compte machine), facilitant une escalade de privilĂšges. ...

19 janvier 2026 Â· 3 min

Un BOF universel pour pivoter vers WSL2 et contourner la surveillance

Source : SpecterOps (billet de blog de Daniel Mayer). Contexte : l’auteur dĂ©taille la crĂ©ation d’un Beacon Object File (BOF) permettant d’énumĂ©rer et d’exĂ©cuter des commandes dans WSL2 sur diffĂ©rentes versions, afin de faciliter le pivot depuis des hĂŽtes Windows fortement surveillĂ©s. ‱ Constats clĂ©s : WSL2 s’exĂ©cute comme une VM Hyper‑V sĂ©parĂ©e et est « rarement » monitorĂ©e, offrant aux attaquants un espace d’exĂ©cution discret. Les approches classiques via WslLaunch/WslApi.dll appellent en rĂ©alitĂ© WSL.exe via CreateProcess, gĂ©nĂ©rant des artefacts visibles mais communs. L’interface COM de WSL2 a Ă©voluĂ© de façon non rĂ©trocompatible, rendant un client COM unique difficile sans gĂ©rer de multiples versions. ...

19 janvier 2026 Â· 2 min

Arrestation et extradition en Chine de Chen Zhi, accusĂ© de piloter un vaste rĂ©seau d’escroqueries en ligne

Source: CNN. Contexte: Les autoritĂ©s cambodgiennes et les mĂ©dias d’État chinois annoncent l’arrestation de Chen Zhi et son extradition vers la Chine, sur fond d’enquĂȘtes internationales pour escroqueries en ligne et blanchiment Ă  trĂšs grande Ă©chelle. Les autoritĂ©s cambodgiennes confirment que Chen Zhi, 38 ans, fondateur du Prince Group, a Ă©tĂ© arrĂȘtĂ© avec deux autres ressortissants chinois puis extradĂ© vers la Chine Ă  la demande de PĂ©kin, aprĂšs la rĂ©vocation de sa citoyennetĂ© cambodgienne. La police chinoise diffuse des images de son transfert et indique qu’il est placĂ© sous mesures pĂ©nales, le qualifiant de « chef de file d’un important syndicat criminel transfrontalier de jeux d’argent en ligne et de fraude ». 🚓 ...

17 janvier 2026 Â· 3 min

DeadLock délaisse la double extorsion et menace de vendre les données volées

Contexte: Dans un article d’actualitĂ©, des chercheurs dĂ©crivent le mode opĂ©ratoire du groupe DeadLock, actif depuis juillet 2025, et sa maniĂšre de rester discret tout en multipliant les attaques. — Profil et discrĂ©tion — Le groupe DeadLock, repĂ©rĂ© pour la premiĂšre fois en juillet 2025, a attaquĂ© un large Ă©ventail d’organisations tout en restant presque sous les radars. — Tactique d’extorsion — DeadLock rompt avec la double extorsion traditionnelle (vol de donnĂ©es, chiffrement des systĂšmes, puis menace de publication). Le groupe n’exploite pas de Data Leak Site (DLS) pour publiciser ses attaques. En l’absence d’un levier de dommage rĂ©putationnel en cas de non-paiement, il menace de vendre les donnĂ©es sur le marchĂ© souterrain — une stratĂ©gie que des experts ont dĂ©jĂ  qualifiĂ©e de potentiellement « du vent ». ...

17 janvier 2026 Â· 2 min

DragonForce: analyse technique du ransomware, TTPs et liens avec BlackLock, RansomHub et LockBit

Source: S2W — S2W TALON (Byeongyeol An) publie le 14 janvier 2026 une analyse approfondie de DragonForce, un ransomware actif depuis fin 2023, dĂ©taillant son fonctionnement, ses liens avec d’autres groupes, ses TTPs et la dĂ©couverte de dĂ©chiffreurs dĂ©diĂ©s. — Contexte et Ă©volution — ‱ DĂ©couvert le 13 dĂ©cembre 2023 via un post sur BreachForums, le groupe « DragonForce » maintient un DLS (Data Leak Site) et comptait dĂ©jĂ  17 victimes Ă  cette date. En juin 2024, il officialise son modĂšle RaaS sur le forum RAMP (affiliĂ©s IAB, pentesters solo/Ă©quipes), promettant 80% des rançons aux affiliĂ©s et revendiquant une organisation de type « cartel ». Le groupe propose un service « Ransombay » pour des charges utiles personnalisĂ©es. ...

17 janvier 2026 Â· 4 min

Faux site RustDesk diffuse le backdoor Winos4.0 via un installateur piégé

Source: Malwarebytes — Analyse d’une campagne d’usurpation de site distribuant un installateur RustDesk modifiĂ© qui dĂ©ploie le backdoor Winos4.0. Les chercheurs dĂ©crivent une imitation quasi parfaite du site officiel de RustDesk via le domaine malveillant rustdesk[.]work, conçu pour tromper les utilisateurs (SEO/branding) et leur faire tĂ©lĂ©charger un installateur qui paraĂźt lĂ©gitime. L’installateur installe le vrai RustDesk afin de conserver l’illusion, mais dĂ©ploie simultanĂ©ment un backdoor Winos4.0 offrant un accĂšs persistant aux attaquants. 🎭 ...

17 janvier 2026 Â· 3 min

La Commission europĂ©enne lance une consultation sur une stratĂ©gie d’écosystĂšmes numĂ©riques ouverts (open source)

Selon digital-strategy.ec.europa.eu (DIGIBYTE), la Commission europĂ©enne a lancĂ© un appel Ă  contributions sur la future StratĂ©gie europĂ©enne des Ă©cosystĂšmes numĂ©riques ouverts afin de soutenir la souverainetĂ© technologique de l’UE. L’initiative place l’open source au cƓur de l’ambition europĂ©enne. Elle prĂ©voit une approche stratĂ©gique du secteur open source dans l’UE et la revue de la stratĂ©gie 2020-2023 des logiciels libres. Le texte souligne que l’open source sous-tend 70-90% du code de l’économie numĂ©rique, tandis que la dĂ©pendance aux technologies non-UE limite le choix, affecte la compĂ©titivitĂ© et crĂ©e des dĂ©fis pour la cybersĂ©curitĂ©. Avec la montĂ©e en puissance de l’open source dans des secteurs clĂ©s (ex. HPC et edge computing), une stratĂ©gie dĂ©diĂ©e est jugĂ©e critique. ...

17 janvier 2026 Â· 2 min

Microsoft perturbe l’infrastructure RedVDS, VDS clonĂ©s utilisĂ©s pour des campagnes mondiales de phishing et BEC

Source: Microsoft Threat Intelligence — Microsoft dĂ©taille l’essor de RedVDS, un marchĂ© criminel de VDS/RDP Windows clonĂ©s, utilisĂ© par de multiples acteurs financiers (Storm‑0259, Storm‑2227, Storm‑1575, Storm‑1747, etc.) pour des opĂ©rations de phishing, account takeover et BEC Ă  l’échelle mondiale. En coopĂ©ration avec des forces de l’ordre, la Digital Crimes Unit (DCU) a rĂ©cemment facilitĂ© une perturbation de l’infrastructure RedVDS. Microsoft relie ces activitĂ©s Ă  environ 40 M$ de pertes signalĂ©es aux États‑Unis depuis mars 2025. ...

17 janvier 2026 Â· 4 min
Derniùre mise à jour le: 6 juillet 2026 📝