ChromeAlone transforme Chromium en implant C2 furtif avec capture d’identifiants

Selon Darknet, ChromeAlone transforme le navigateur Chromium en un implant C2 furtif. L’outil offre la capture d’identifiants, l’accĂšs aux fichiers et des mĂ©canismes de persistance, et se positionne comme une alternative basĂ©e sur le navigateur Ă  Cobalt Strike. Points clĂ©s đŸ§©: Implant C2 intĂ©grĂ© Ă  Chromium Capture d’identifiants AccĂšs aux fichiers Persistance Alternative basĂ©e navigateur Ă  Cobalt Strike TTPs mentionnĂ©es: Implantation C2 furtive via navigateur Chromium Credential capture (capture d’identifiants) File access (accĂšs aux fichiers) Persistance Il s’agit d’un article de prĂ©sentation d’outil dĂ©crivant ses capacitĂ©s et sa finalitĂ©. ...

24 aoĂ»t 2025 Â· 1 min

CrowdStrike bloque la campagne SHAMOS (AMOS) sur macOS diffusĂ©e via malvertising et commande one‑liner

Selon CrowdStrike, entre juin et aoĂ»t 2025, la plateforme Falcon a empĂȘchĂ© une campagne de malware visant plus de 300 environnements clients, opĂ©rĂ©e par l’acteur eCrime COOKIE SPIDER et dĂ©ployant SHAMOS, une variante d’Atomic macOS Stealer (AMOS). ‱ Le mode opĂ©ratoire s’appuie sur du malvertising redirigeant vers de faux sites d’aide macOS (ex. mac-safer[.]com, rescue-mac[.]com) qui incitent les victimes Ă  exĂ©cuter une commande d’installation one‑liner 🍎. Cette technique permet de contourner Gatekeeper et d’installer directement un binaire Mach‑O. Des campagnes similaires (Cuckoo Stealer et SHAMOS) avaient dĂ©jĂ  exploitĂ© cette mĂ©thode via des annonces Homebrew entre mai 2024 et janvier 2025. ...

24 aoĂ»t 2025 Â· 3 min

Deux hacktivistes disent avoir piraté un hacker lié au régime nord-coréen et divulguent des artefacts via Phrack

TechCrunch (21 aoĂ»t 2025) rapporte que deux hacktivistes, connus sous les pseudonymes « Saber » et « cyb0rg », ont accĂ©dĂ© durant environ quatre mois Ă  l’ordinateur d’un hacker qu’ils estiment travailler pour le gouvernement nord-corĂ©en, avant de rendre publiques leurs dĂ©couvertes via l’e‑zine Phrack. Les deux individus disent avoir identifiĂ© des preuves reliant ce hacker — qu’ils appellent « Kim » — Ă  des opĂ©rations de cyberespionnage menĂ©es par la CorĂ©e du Nord, ainsi que des exploits, outils de piratage et de l’infrastructure utilisĂ©s dans ces opĂ©rations. Ils expliquent avoir dĂ©cidĂ© de « hacker les hackers » puis de divulguer les Ă©lĂ©ments afin d’aider la communautĂ© sĂ©curitĂ© Ă  mieux dĂ©tecter ces activitĂ©s. ...

24 aoĂ»t 2025 Â· 2 min

Flipper dĂ©ment un « firmware secret » du Flipper Zero censĂ© pirater n’importe quelle voiture

Source : Blog de Flipper Devices — l’article rĂ©pond aux reportages Ă©voquant un « firmware secret » du Flipper Zero capable de pirater n’importe quelle voiture, sujet repris par The Verge, Gizmodo, 404 Media et The Drive. ⚠ Le billet explique que des boutiques du darknet ont commencĂ© Ă  vendre un « firmware privĂ© » pour Flipper Zero, prĂ©sentĂ© comme pouvant « hacker » d’innombrables voitures. Ces vendeurs affirment que de nouvelles vulnĂ©rabilitĂ©s auraient « fuitĂ© » en ligne, rendant ce piratage possible. ...

24 aoĂ»t 2025 Â· 1 min

INTERPOL arrĂȘte 1 209 cybercriminels en Afrique et dĂ©mantĂšle 11 432 infrastructures malveillantes

Source : INTERPOL (interpol.int) – Dans le cadre de l’opĂ©ration Serengeti 2.0 menĂ©e de juin Ă  aoĂ»t 2025, 18 pays africains et le Royaume‑Uni ont coordonnĂ© une vaste action contre la cybercriminalitĂ©, soutenue par des partenaires privĂ©s et des ateliers de formation ciblĂ©s. Bilan global : 1 209 arrestations, prĂšs de 88 000 victimes concernĂ©es, 97,4 M$ rĂ©cupĂ©rĂ©s et 11 432 infrastructures malveillantes dĂ©mantelĂ©es. Les menaces visĂ©es incluent ransomware, arnaques en ligne et Business Email Compromise (BEC). Des renseignements (IPs, domaines, serveurs C2) ont Ă©tĂ© partagĂ©s en amont pour guider les interventions. 🔐 ...

24 aoĂ»t 2025 Â· 2 min

Le groupe russe « Static Tundra » exploite encore la faille Cisco CVE-2018-0171 pour infiltrer des équipements réseau

CyberScoop (20 aoĂ»t 2025) relaie de nouvelles dĂ©couvertes de Cisco Talos attribuant au groupe russe « Static Tundra », liĂ© au Centre 16 du FSB et considĂ©rĂ© comme un sous-cluster d’« Energetic Bear », une campagne de compromission d’équipements rĂ©seau d’une grande persistance. Les chercheurs dĂ©crivent l’exploitation continue de CVE-2018-0171 touchant la fonctionnalitĂ© Smart Install de Cisco IOS. Bien que corrigĂ©e depuis 2018, la faille reste efficace contre des parcs non patchĂ©s ou en fin de vie. Elle permet l’exĂ©cution de code arbitraire ou des dĂ©ni de service. Le groupe aurait industrialisĂ© l’attaque via des outils automatisĂ©s et la sĂ©lection de cibles par des donnĂ©es de scan publiques (Shodan, Censys). ...

24 aoĂ»t 2025 Â· 2 min

Mandiant dévoile CORNFLAKE.V3 : une porte dérobée Node.js/PHP diffusée via ClickFix et faux CAPTCHA

Source: Mandiant Threat Defense — Publication de recherche dĂ©taillant une campagne multi‑étapes d’« access‑as‑a‑service » aboutissant au dĂ©ploiement du backdoor CORNFLAKE.V3. Le groupe UNC5518 utilise des pages CAPTCHA factices pour piĂ©ger les utilisateurs et fournir l’accĂšs initial Ă  d’autres acteurs. Cet accĂšs est ensuite exploitĂ© par UNC5774 pour installer CORNFLAKE.V3, une porte dĂ©robĂ©e disponible en variantes JavaScript (Node.js) et PHP. Le malware permet persistance, reconnaissance et exĂ©cution de charges, notamment des outils de collecte d’identifiants et d’autres backdoors. ...

24 aoĂ»t 2025 Â· 3 min

MITRE met à jour la liste 2025 des faiblesses matérielles les plus importantes (CWE MIHW)

SecurityWeek rapporte que la MITRE Corporation a publiĂ© une version rĂ©visĂ©e de la liste « CWE Most Important Hardware Weaknesses (MIHW) », alignĂ©e sur l’évolution du paysage de la sĂ©curitĂ© matĂ©rielle. Initialement publiĂ©e en 2021, la liste MIHW recense des erreurs frĂ©quentes menant Ă  des vulnĂ©rabilitĂ©s matĂ©rielles critiques, afin de sensibiliser et d’éliminer ces dĂ©fauts dĂšs la conception. La version 2025 compte 11 entrĂ©es, introduit de nouvelles classes, catĂ©gories et faiblesses de base, tout en conservant 5 entrĂ©es de 2021. Elle met particuliĂšrement l’accent sur la rĂ©utilisation de ressources, les bogues de mode debug et l’injection de fautes. ...

24 aoĂ»t 2025 Â· 2 min

QuirkyLoader : nouveau loader .NET (AOT) qui diffuse infostealers et RATs via DLL side‑loading

Source et contexte — IBM X-Force publie une analyse technique de « QuirkyLoader », observĂ© depuis novembre 2024, un nouveau loader employĂ© pour dĂ©poser des charges additionnelles sur des hĂŽtes dĂ©jĂ  compromis. L’article dĂ©taille la chaĂźne d’infection, les techniques d’évasion, les familles livrĂ©es, la victimologie rĂ©cente (TaĂŻwan, Mexique) et des indicateurs d’infraction associĂ©s. ChaĂźne d’infection — La campagne dĂ©bute par des e‑mails de spam contenant une archive malveillante. Celle‑ci regroupe un exĂ©cutable lĂ©gitime, un payload chiffrĂ© (dĂ©guisĂ© en DLL) et un module DLL loader. L’acteur exploite le DLL side‑loading: l’exĂ©cutable lĂ©gitime charge la DLL malveillante, qui lit et dĂ©chiffre la charge, puis l’injecte dans un processus cible. Le module DLL est systĂ©matiquement Ă©crit en C# .NET et compilĂ© en Ahead‑of‑Time (AOT), produisant un binaire natif qui ressemble Ă  du C/C++. Un variant notĂ© utilise le chiffre Speck‑128 en mode CTR pour gĂ©nĂ©rer un keystream (opĂ©rations ARX) et dĂ©chiffrer le payload par XOR en blocs de 16 octets. ...

24 aoĂ»t 2025 Â· 3 min

RaaS : +179% d’attaques en 2025, recul de LockBit et BlackCat selon Flashpoint

Selon Flashpoint, en 2025, les groupes de Ransomware-as-a-Service (RaaS) reconfigurent le paysage des menaces, avec une hausse de 179% des attaques d’une annĂ©e sur l’autre et un recul de groupes auparavant dominants comme LockBit et BlackCat. Points clĂ©s 🔎 RaaS en forte progression, redessinant la dynamique des menaces en 2025. +179% d’attaques d’une annĂ©e sur l’autre, d’aprĂšs le suivi de Flashpoint. DĂ©clin des acteurs historiques LockBit et BlackCat. Enjeux et contexte ...

24 aoĂ»t 2025 Â· 1 min
Derniùre mise à jour le: 10 juillet 2026 📝