Driver vulnérable ASTRA64.sys (EnTech Taiwan) : primitives kernel exposées sans validation

🔍 Contexte Une issue a été ouverte le 8 avril 2026 sur le dépôt GitHub LOLDrivers (magicsword-io) par le chercheur @weezerOSINT, signalant la soumission d’un driver vulnérable : ASTRA64.sys, produit par EnTech Taiwan / Sysinfo Lab. 🛠️ Description technique du driver Nom de fichier : ASTRA64.sys Architecture : x64 (variante 32-bit également existante) Signé : Oui, par EnTech Taiwan (certificat GlobalSign 2006) SHA256 : 4a8b6b462c4271af4a32cf8705fa64913bfcdaefb6cf02d1e722c611d428cb16 Device exposé : \Device\Astra32Device{n} Chargement : Fonctionne sur tout système Windows x64 sans restriction ⚠️ Vulnérabilités identifiées Le driver expose 31 IOCTLs à l’espace utilisateur sans aucune validation de paramètres et sans restriction DACL (IoCreateDevice simple) : ...

12 avril 2026 · 2 min

Génération automatique de magic packets BPF via exécution symbolique et Z3 pour analyser BPFDoor

🔍 Contexte Article publié le 8 avril 2026 sur le blog de Cloudflare, rédigé par Axel Boesenach. Il présente une recherche technique sur l’automatisation de l’analyse des filtres Berkeley Packet Filter (BPF) utilisés par des malwares Linux comme BPFDoor. 🧩 Problématique Les malwares Linux exploitent des programmes BPF classiques (non eBPF) pour rester dormants jusqu’à la réception d’un magic packet spécifique. Ces filtres peuvent dépasser 200 instructions, rendant leur rétro-ingénierie manuelle très coûteuse en temps (jusqu’à une journée de travail pour certains échantillons). ...

12 avril 2026 · 3 min

IA et cyberconflits : l'automatisation avantage la défense plus que l'offense

🗓️ Contexte Article publié le 12 avril 2026 sur Lawfare Media, synthétisant une analyse académique publiée dans la revue International Security. L’auteur examine l’impact réel de l’IA sur les cyberconflits à travers trois cas documentés survenus entre 2025 et 2026. 🧠 Thèse centrale L’auteur développe le concept d’« Automation Gap » (écart d’automatisation) entre offense et défense cyber. Il soutient que : L’IA excelle dans la détection (avantage défensif) L’IA peine avec la déception et la créativité (limite offensive) Les gains d’efficacité offensifs ne se traduisent pas en gains d’efficacité réels Plus les enjeux sont élevés, plus cet écart se creuse en faveur de la défense 📌 Cas 1 : Xbow — IA classée meilleur hacker mondial (juin 2025) Un modèle IA développé par la startup Xbow a atteint la première place du classement HackerOne Près de 1 000 vulnérabilités soumises, mais qualifiées de « surface material » par des chercheurs Performances supérieures en volume, mais limitées sur les vulnérabilités complexes (ex : zero-days iOS) Conclusion : l’IA améliore l’efficience à faible complexité, pas l’efficacité sur les cibles critiques 📌 Cas 2 : Cyberattaque étatique chinoise via Claude d’Anthropic (2025) Un groupe de hackers sponsorisé par l’État chinois a utilisé le modèle Claude d’Anthropic pour automatiser une attaque Workflow : ~30 cibles sélectionnées, jailbreak du modèle, décomposition en tâches individuelles masquant l’intention malveillante 80 à 90 % des tâches automatisées par des agents IA Résultat : échec sur la majorité des cibles, succès sur « un petit nombre » Outils utilisés : open-source connus, facilement détectables Hallucinations documentées : Claude a inventé des credentials ou prétendu extraire des données publiques Le rapport Anthropic est critiqué pour l’absence de TTPs, IoCs et détails techniques 📌 Cas 3 : Intrusion hacktiviste contre le gouvernement mexicain (février 2026) Un petit collectif hacktivist non identifié a utilisé Claude (Anthropic) et ChatGPT (OpenAI) pour compromettre des systèmes gouvernementaux mexicains 150 Go de données sensibles exfiltrées, via plus de 1 000 prompts manuels Workflow semi-automatisé, nécessitant un jailbreak préalable Découvert par la startup de sécurité Gambit Comparaison : le collectif Chronus, sans IA, avait exfiltré 15 fois plus de données du même gouvernement un mois auparavant Conclusion : l’IA amplifie les capacités des acteurs à faibles ressources, mais ne remplace pas les capacités étatiques ⚠️ Risques résiduels identifiés Escalade inadvertante : face à une offense rendue plus difficile, des acteurs pourraient tenter des frappes cyber plus dramatiques de type « tout ou rien » Cybercriminalité et répression autoritaire renforcées par l’IA contre des cibles « soft » sans défenses automatisées Modèles alternatifs (ex : « world models ») pourraient invalider ces conclusions si leur développement aboutit 📰 Nature de l’article Article d’analyse de menace et de tendances à visée académique et stratégique, publié dans un média spécialisé en droit et sécurité nationale. Son but principal est de contester le narratif dominant sur la supériorité offensive de l’IA en cyberconflits, en s’appuyant sur des cas empiriques récents. ...

12 avril 2026 · 3 min

Kubernetes : escalade de privilèges via vol de tokens et exploitation de CVE-2025-55182

🔍 Contexte Publié le 6 avril 2026 par Unit 42 (Palo Alto Networks), cet article de recherche analyse l’évolution des menaces ciblant les environnements Kubernetes en 2025-2026. La télémétrie de l’éditeur révèle une augmentation de 282% des opérations liées au vol de tokens Kubernetes sur un an, avec le secteur IT représentant 78% des activités observées. 📊 Cas 1 : Vol de tokens et mouvement latéral dans une plateforme crypto Mi-2025, Unit 42 documente une intrusion dans une bourse de cryptomonnaies attribuée au groupe nord-coréen Slow Pisces (alias Lazarus, TraderTraitor). L’attaque suit le schéma suivant : ...

12 avril 2026 · 4 min

L'IA redéfinit la cybersécurité à l'ère du logiciel instantané : analyse prospective

📅 Source et contexte : Article d’analyse prospective publié le 7 avril 2026 par Bruce Schneier sur son blog personnel, initialement paru dans CSO. L’article explore les implications de l’IA sur la cybersécurité dans un futur où les logiciels sont générés à la demande (« instant software »). 🔍 Tendances d’attaque identifiées : Les IA automatisent la découverte et l’exploitation de vulnérabilités, augmentant les capacités des attaquants peu sophistiqués Les logiciels open-source et leurs bibliothèques sont identifiés comme les cibles prioritaires (code source accessible) Les logiciels IoT (véhicules connectés, caméras, réfrigérateurs) et IoT industriel (réseaux électriques, raffineries, pipelines, usines chimiques) sont particulièrement exposés en raison de leur faible qualité et de leur nature legacy Les attaquants rechercheront des zero-days « nobody but us », utilisés de façon ciblée ou massive selon l’objectif Les attaques sociales (ingénierie sociale, vol de credentials, deepfakes) persistent indépendamment des vulnérabilités logicielles Les IA défensives elles-mêmes sont vulnérables : prompt injection, empoisonnement de données, manipulation des réseaux de partage 🛡️ Tendances défensives identifiées : ...

12 avril 2026 · 3 min

La Banque d'Angleterre alerte sur Claude Mythos, un modèle IA jugé trop dangereux pour le système financier

🗓️ Contexte Article publié le 10 avril 2026 par le Telegraph (Tim Wallace, Matthew Field, James Titcomb). Il rapporte les réactions institutionnelles britanniques et américaines face à la divulgation par Anthropic d’un nouveau modèle d’IA, Claude Mythos, jugé trop dangereux pour être rendu public. 🤖 Claude Mythos : capacités et risques Anthropic a annoncé que Claude Mythos est capable de découvrir des failles de sécurité inconnues dans des systèmes informatiques plus rapidement que tout humain. Le modèle a déjà identifié des milliers de vulnérabilités dans des navigateurs web et systèmes d’exploitation populaires. Anthropic a décidé de ne pas le rendre public en raison de ces capacités jugées dangereuses. ...

12 avril 2026 · 2 min

MuddyWater adopte CastleRAT, un MaaS russe, pour cibler Israël via ChainShell

🔍 Contexte Rapport technique publié le 6 avril 2026 par JUMPSEC, basé sur l’analyse d’un serveur C2 mal configuré, de 15 échantillons de malware et d’un nouveau payload PE. L’analyse s’inscrit dans la continuité des travaux de Symantec, Check Point, Malwarebytes et Recorded Future sur MuddyWater et CastleRAT. 🎯 Acteurs et relation MuddyWater (alias Seedworm, Mango Sandstorm, TA450, Static Kitten), groupe d’espionnage iranien opérant sous le Ministry of Intelligence and Security (MOIS), est identifié comme client de la plateforme MaaS TAG-150, développée par des cybercriminels russophones. Cette relation est confirmée par trois chaînes de preuves indépendantes. ...

12 avril 2026 · 4 min

Opération Atlantic : 20 000 victimes de fraude crypto identifiées, 12 M$ gelés

🌐 Contexte Publié le 11 avril 2026 sur BleepingComputer, cet article relate les résultats de l’Opération Atlantic, une action internationale de répression de la fraude aux cryptomonnaies conduite le mois précédent sous la direction de la National Crime Agency (NCA) britannique. 🏛️ Acteurs impliqués L’opération a réuni plusieurs agences et organismes : NCA (Royaume-Uni) — agence coordinatrice U.S. Secret Service Ontario Provincial Police Ontario Securities Commission City of London Police Financial Conduct Authority Partenaires privés de l’industrie 🎯 Résultats de l’opération Plus de 20 000 victimes identifiées au Canada, au Royaume-Uni et aux États-Unis Plus de 12 millions de dollars en produits criminels présumés gelés Plus de 45 millions de dollars en cryptomonnaies volées identifiés et liés à des schémas de fraude mondiaux Plusieurs réseaux de fraude perturbés à travers le monde 🪤 Technique d’attaque principale Les fraudes reposent sur des attaques dites d’« approval phishing » : les escrocs trompent les victimes pour qu’elles leur accordent l’accès à leurs portefeuilles de cryptomonnaies, généralement via de faux schémas d’investissement. ...

12 avril 2026 · 2 min

TA416 reprend l'espionnage des gouvernements européens et s'étend au Moyen-Orient

🌐 Contexte Cet article est une publication de recherche de Proofpoint (Threat Insight), datée du 26 mars 2026, analysant la reprise des activités du groupe de menace TA416 (aligné Chine, aussi connu sous les noms RedDelta, Red Lich, Vertigo Panda, SmugX, DarkPeony) contre des cibles européennes et moyen-orientales. 🎯 Ciblage et contexte géopolitique Depuis mi-2025, TA416 a repris ses campagnes contre les missions diplomatiques et gouvernements européens, notamment ceux accrédités auprès de l’UE et de l’OTAN. Cette reprise coïncide avec le 25e sommet UE-Chine et des tensions accrues autour du commerce, de la guerre Russie-Ukraine et des exportations de terres rares. ...

12 avril 2026 · 11 min

Watering hole sur cpuid.com : installateurs CPU-Z et HWMonitor trojanisés avec STX RAT

🔍 Contexte Source : Securelist (Kaspersky), publié le 10 avril 2026. Le site cpuid.com, hébergeant les installateurs des outils d’administration système CPU-Z, HWMonitor, HWMonitor Pro et PerfMonitor 2, a été compromis dans le cadre d’une attaque de type watering hole. 🕐 Chronologie La compromission a eu lieu entre le 9 avril 2026 à 15h00 UTC et le 10 avril 2026 à 10h00 UTC, soit une fenêtre d’attaque de moins de 24 heures. Les URLs de téléchargement légitimes ont été remplacées par des URLs pointant vers quatre sites malveillants. ...

12 avril 2026 · 4 min
Dernière mise à jour le: 2 juillet 2026 📝