QEMU détourné pour masquer des activités malveillantes et déployer le ransomware PayoutsKing

🔍 Contexte PubliĂ© le 16 avril 2026 par Sophos, cet article documente l’abus actif de QEMU (Ă©mulateur open-source) par des acteurs malveillants pour dissimuler leurs activitĂ©s au sein d’environnements virtualisĂ©s, contournant ainsi les contrĂŽles de sĂ©curitĂ© des endpoints. 🎯 Campagne STAC4713 (depuis novembre 2025) AssociĂ©e au groupe GOLD ENCOUNTER et au ransomware PayoutsKing, cette campagne utilise QEMU comme backdoor SSH inversĂ© covert : Persistance : tĂąche planifiĂ©e nommĂ©e TPMProfiler lançant qemu-system-x86_64.exe sous le compte SYSTEM DĂ©guisement : image disque masquĂ©e en vault.db puis en bisrv.dll (janvier 2026) Port forwarding vers les ports 32567, 22022 → port 22 (SSH) VM Alpine 3.22.0 contenant : AdaptixC2 (tinker2), wg-obfuscator, BusyBox, Chisel, Rclone Vol de credentials : copie de NTDS.dit, ruches SAM et SYSTEM via VSS et commande print sur SMB AccĂšs initial : VPN SonicWall exposĂ©s sans MFA, puis exploitation de CVE-2025-26399 (SolarWinds Web Help Desk) Évolution en fĂ©vrier 2026 : abandon de QEMU, accĂšs via VPN Cisco SSL, ingĂ©nierie sociale via Microsoft Teams/QuickAssist, sideloading d’un payload Havoc C2 (vcruntime140_1.dll) via ADNotificationManager.exe, exfiltration via Rclone vers SFTP. ...

16 avril 2026 Â· 4 min

RedSun : PoC exploitant Windows Defender pour écraser des fichiers systÚme et élever les privilÚges

🔍 Contexte PubliĂ© le 16 avril 2026 sur GitHub par l’utilisateur Nightmare-Eclipse, le dĂ©pĂŽt RedSun expose une vulnĂ©rabilitĂ© affectant Windows Defender (antivirus Microsoft). Le code source est disponible en C++ sous licence MIT. 🐛 Description de la vulnĂ©rabilitĂ© La vulnĂ©rabilitĂ© repose sur un comportement inattendu de Windows Defender lors de la dĂ©tection d’un fichier malveillant portant un cloud tag : Lorsque Windows Defender identifie un fichier malveillant avec un cloud tag, au lieu de le supprimer, il réécrit le fichier Ă  son emplacement d’origine. Le PoC abuse de ce comportement pour Ă©craser des fichiers systĂšme arbitraires. L’exploitation permet d’obtenir des privilĂšges administrateurs (Ă©lĂ©vation de privilĂšges). đŸ’» DĂ©tails techniques Langage : C++ (100%) Fichier principal : RedSun.cpp Le dĂ©pĂŽt contient une release initiale publiĂ©e la veille de l’article. 664 Ă©toiles et 128 forks au moment de la publication, indiquant une forte visibilitĂ© communautaire. 📌 Type d’article Il s’agit d’une publication de PoC (Proof of Concept) accompagnĂ©e d’une description technique de la vulnĂ©rabilitĂ©. Le but principal est de divulguer publiquement un comportement anormal de Windows Defender exploitable pour une Ă©lĂ©vation de privilĂšges locale. ...

16 avril 2026 Â· 2 min

RondoDox : analyse approfondie du botnet DDoS et minage de cryptomonnaies

🔍 Contexte PubliĂ© le 16 avril 2026 par BitSight, cet article constitue le second volet d’une sĂ©rie d’analyses sur le botnet RondoDox, actif depuis mai 2025 jusqu’à au moins janvier 2026. Il couvre en dĂ©tail l’implant initial, le binaire principal, le protocole C2 et l’évolution des capacitĂ©s du malware. 🩠 ChaĂźne d’infection L’infection dĂ©bute par l’exploitation de vulnĂ©rabilitĂ©s sur des systĂšmes exposĂ©s (ex: React2Shell, Netgear, Linksys, Edimax). Un script shell est exĂ©cutĂ© en mĂ©moire sans Ă©criture disque, rĂ©alisant : ...

16 avril 2026 Â· 5 min

Sapphire Sleet : campagne macOS sophistiquée ciblant cryptomonnaies via ingénierie sociale

🔍 Contexte Le 16 avril 2026, la Microsoft Defender Security Research Team publie une analyse technique dĂ©taillĂ©e d’une campagne macOS attribuĂ©e Ă  Sapphire Sleet, un acteur Ă©tatique nord-corĂ©en actif depuis au moins mars 2020, ciblant principalement le secteur financier, les cryptomonnaies, le capital-risque et les plateformes blockchain. 🎯 Vecteur d’accĂšs initial L’attaque repose sur de l’ingĂ©nierie sociale et non sur des vulnĂ©rabilitĂ©s logicielles. L’acteur crĂ©e de faux profils de recruteurs sur les rĂ©seaux sociaux et professionnels, engage les cibles dans des conversations sur des opportunitĂ©s d’emploi, puis les dirige vers le tĂ©lĂ©chargement d’un fichier malveillant nommĂ© Zoom SDK Update.scpt — un AppleScript compilĂ© s’ouvrant dans Script Editor, application Apple de confiance. ...

16 avril 2026 Â· 6 min

108 extensions Chrome malveillantes liées à une campagne coordonnée de vol de sessions et d'identités

🔍 Contexte PubliĂ© le 13 avril 2026 par l’équipe de recherche de Socket (socket.dev), cet article prĂ©sente les rĂ©sultats d’une investigation technique approfondie sur une campagne coordonnĂ©e de 108 extensions Chrome malveillantes, toujours actives au moment de la publication. Des demandes de suppression ont Ă©tĂ© soumises au Chrome Web Store et Ă  Google Safe Browsing. 🎯 Description de la campagne Les 108 extensions sont publiĂ©es sous cinq identitĂ©s d’éditeurs distincts (Yana Project, GameGen, SideGames, Rodeo Games, InterAlt) et totalisent environ 20 000 installations sur le Chrome Web Store. Toutes partagent la mĂȘme infrastructure C2 hĂ©bergĂ©e sur cloudapi[.]stream (IP : 144.126.135.238, Contabo GmbH VPS), enregistrĂ©e le 30 avril 2022 via Hosting Ukraine LLC. Le serveur exĂ©cute un CMS Strapi sur le port 1337 avec une base de donnĂ©es PostgreSQL. ...

15 avril 2026 Â· 5 min

Analyse technique du moteur d'exploitation kernel iOS du spyware Predator par Jamf Threat Labs

🔍 Contexte PubliĂ© le 10 avril 2026 par Jamf Threat Labs (auteur : Nir Avraham / GotR00tAcce55), cet article constitue le troisiĂšme volet d’une sĂ©rie de recherches sur le spyware commercial Predator (attribuĂ© Ă  Intellexa). Il fait suite aux publications de janvier et fĂ©vrier 2026 sur les techniques anti-analyse et le contournement des indicateurs d’enregistrement iOS. 🎯 PĂ©rimĂštre de l’exploitation La chaĂźne d’exploitation analysĂ©e cible iOS antĂ©rieur Ă  la version 17 et les appareils jusqu’à la gĂ©nĂ©ration A16, couvrant 21 modĂšles d’iPhone (iPhone XS Ă  iPhone 14 Pro Max, 2018–2022), organisĂ©s en 5 classes de dispositifs. ...

15 avril 2026 Â· 3 min

Attaque supply chain WordPress : 31 plugins backdoorés aprÚs rachat sur Flippa

🔍 Contexte Article publiĂ© le 9 avril 2026 par Austin Ginder sur anchor.host. Il s’agit d’un post-mortem technique dĂ©taillĂ© d’une attaque de chaĂźne d’approvisionnement ciblant l’écosystĂšme WordPress, dĂ©couverte suite Ă  une alerte client sur un plugin nommĂ© Countdown Timer Ultimate. 🎯 Nature de l’attaque Un acheteur identifiĂ© uniquement comme « Kris », avec un profil en SEO, crypto et marketing de jeux d’argent en ligne, a acquis dĂ©but 2025 via la marketplace Flippa le portefeuille de 31 plugins WordPress de la sociĂ©tĂ© « Essential Plugin » (anciennement WP Online Support) pour un montant Ă  six chiffres. DĂšs son premier commit SVN le 8 aoĂ»t 2025, il a introduit un backdoor PHP par dĂ©sĂ©rialisation dans le fichier class-anylc-admin.php du plugin Countdown Timer Ultimate (version 2.6.7), en mentant dans le changelog (« Check compatibility with WordPress version 6.8.2 »). ...

15 avril 2026 Â· 5 min

Basic-Fit victime d'une violation de données exposant 200 000 membres aux Pays-Bas

đŸ—“ïž Contexte Source : The Next Web, publiĂ© le 13 avril 2026. Basic-Fit, la plus grande chaĂźne de fitness low-cost d’Europe par nombre de clubs (plus de 1 300 Ă©tablissements dans 7 pays), a divulguĂ© une violation de donnĂ©es affectant ses membres dans plusieurs pays europĂ©ens. 🎯 SystĂšme ciblĂ© L’attaque a ciblĂ© le systĂšme d’enregistrement des visites en club, utilisĂ© pour gĂ©rer l’accĂšs des membres via les tourniquets d’entrĂ©e. Ce systĂšme agrĂšge des donnĂ©es d’identitĂ© et financiĂšres en volume. ...

15 avril 2026 Â· 2 min

Codex (OpenAI) exploite une vulnérabilité physmem sur Samsung TV pour obtenir un shell root

🔍 Contexte PubliĂ© le 13 avril 2026 sur le blog Calif (https://blog.calif.io), cet article documente une recherche offensive menĂ©e en partenariat avec OpenAI, visant Ă  Ă©valuer la capacitĂ© de l’IA Codex Ă  rĂ©aliser une escalade de privilĂšges complĂšte sur un Ă©quipement embarquĂ© rĂ©el : une Samsung Smart TV fonctionnant sous le firmware KantS2 (Samsung Tizen). 🎯 Objectif et environnement Les chercheurs ont fourni Ă  Codex un point d’ancrage initial (code execution dans le contexte du navigateur de la TV) et un environnement de travail structurĂ© : ...

15 avril 2026 Â· 3 min

Des hackers pro-russes tentent de compromettre une centrale thermique en SuĂšde

đŸ—“ïž Contexte Source : The Record Media, publiĂ© le 15 avril 2026. L’information est rapportĂ©e lors d’une confĂ©rence de presse Ă  Stockholm par Carl-Oskar Bohlin, ministre suĂ©dois de la dĂ©fense civile, en rĂ©fĂ©rence Ă  un incident survenu au printemps 2025. 🎯 Incident Un groupe de hackers suspectĂ© d’ĂȘtre pro-russe a tentĂ© de perturber les opĂ©rations d’une centrale thermique situĂ©e dans l’ouest de la SuĂšde. La tentative d’intrusion a Ă©chouĂ© grĂące aux protections de sĂ©curitĂ© intĂ©grĂ©es de l’installation. Le nom de la centrale n’a pas Ă©tĂ© divulguĂ©. ...

15 avril 2026 Â· 3 min
Derniùre mise à jour le: 2 juillet 2026 📝