Foxveil : un nouveau loader abuse de Cloudflare, Netlify et Discord pour héberger ses charges

Source et contexte : Cato Networks (Cato CTRL Threat Research) publie une analyse technique d’un nouveau loader baptisĂ© « Foxveil », actif depuis aoĂ»t 2025, qui s’appuie sur des plateformes cloud de confiance pour le staging et dĂ©ploie du shellcode en mĂ©moire avec des techniques d’injection et d’évasion avancĂ©es. Foxveil s’appuie sur des infrastructures « de confiance » (Cloudflare Pages, Netlify, Discord) pour hĂ©berger ses charges de second Ă©tage, ce qui brouille les signaux rĂ©seau et rend inefficaces les simples listes de blocage. Deux variantes sont observĂ©es : v1 (staging surtout via Cloudflare/Netlify) et v2 (staging souvent via piĂšces jointes Discord). La campagne est en cours depuis aoĂ»t 2025. ...

19 fĂ©vrier 2026 Â· 3 min

IV par défaut dans aes-js/pyaes : réutilisation clé/IV à grande échelle et correctif dans strongMan (strongSwan)

Selon Trail of Bits (blog), dans une analyse publiĂ©e en fĂ©vrier 2026, deux bibliothĂšques populaires, aes-js (JavaScript) et pyaes (Python), exposent leurs utilisateurs Ă  des failles cryptographiques en fournissant un IV par dĂ©faut en mode AES-CTR, ce qui a entraĂźnĂ© des vulnĂ©rabilitĂ©s dans de nombreux projets en aval, dont strongMan (outil de gestion pour strongSwan), qui a Ă©tĂ© corrigĂ©. ProblĂšme central: IV par dĂ©faut (0x00000000_00000000_00000000_00000001) en AES-CTR dans aes-js et pyaes, avec des exemples de documentation omettant l’IV. Cela favorise la rĂ©utilisation clĂ©/IV, permettant la rĂ©cupĂ©ration de l’XOR des textes en clair et rendant le chiffrement trĂšs fragile (rĂ©cupĂ©ration de masques et secrets en chaĂźne). ...

19 fĂ©vrier 2026 Â· 3 min

Keenaduxa0: un backdoor Android intégré au firmware relie plusieurs botnets majeurs

Source : Kaspersky (Securelist) — Dans une publication de recherche, les analystes dĂ©taillent « Keenadu », un nouveau backdoor Android intĂ©grĂ© Ă  la chaĂźne d’approvisionnement du firmware, capable de s’injecter dans tous les processus via Zygote et d’offrir un contrĂŽle quasi illimitĂ© des appareils infectĂ©s. L’étude couvre l’architecture, les charges utiles, les vecteurs de distribution (firmware, apps systĂšme et stores), et des liens avec d’autres botnets Android majeurs. ‱ Vecteur et mĂ©canisme d’infection. Keenadu est intĂ©grĂ© durant la phase de build du firmware via une bibliothĂšque statique malveillante liĂ©e Ă  libandroid_runtime.so, parfois livrĂ©e via mises Ă  jour OTA signĂ©es. À l’exĂ©cution, il s’injecte dans Zygote et opĂšre dans chaque application, rendant le sandboxing caduc. Il implĂ©mente une architecture client-serveur binder (AKClient/AKServer) au sein de system_server, avec des interfaces permettant de donner/rĂ©voquer des permissions, de collecter la gĂ©olocalisation et d’exfiltrer des donnĂ©es de l’appareil. Un kill switch est prĂ©sent (fichiers spĂ©cifiques, dĂ©tection langue/zone chinoises, absence de Google Play/Services). Les communications et charges sont chiffrĂ©es (RC4/AES‑CFB, signature DSA, MD5) et chargĂ©es via DexClassLoader. ...

19 fĂ©vrier 2026 Â· 4 min

L’UE veut durcir sa cybersĂ©curitĂ©: rĂ©vision du Cybersecurity Act et retrait des fournisseurs Ă  haut risque

Selon The Record from Recorded Future News, lors de la Munich Cyber Security Conference, la vice‑prĂ©sidente exĂ©cutive de la Commission europĂ©enne Henna Virkkunen a averti que l’UE ne peut plus ĂȘtre « naĂŻve » face Ă  la capacitĂ© d’adversaires de couper des infrastructures critiques et a appelĂ© Ă  des rĂšgles plus strictes et davantage d’investissements. Virkkunen a soulignĂ© que les cyberattaques sont devenues un outil central des conflits modernes, souvent coordonnĂ©es avec sabotage physique, dĂ©sinformation et pressions Ă©conomiques. Des secteurs comme les rĂ©seaux Ă©lectriques, hĂŽpitaux, systĂšmes financiers, satellites et rĂ©seaux de commandement militaires sont profondĂ©ment dĂ©pendants du numĂ©rique et donc plus exposĂ©s. « Il n’y a pas de sĂ©curitĂ© sans cybersĂ©curitĂ© », a-t-elle martelĂ©. đŸ›ĄïžâšĄđŸ„đŸ›°ïž ...

19 fĂ©vrier 2026 Â· 2 min

Le chef de la DĂ©fense nĂ©erlandaise affirme qu’un F‑35 peut ĂȘtre « jailbreakĂ© » comme un iPhone

Selon The Register, le secrĂ©taire Ă  la DĂ©fense des Pays-Bas, Gijs Tuinman, a dĂ©clarĂ© dans un podcast que l’on peut « jailbreak » un F‑35 « comme un iPhone », en rĂ©ponse Ă  une question sur la capacitĂ© des forces europĂ©ennes Ă  modifier le logiciel de l’appareil sans l’autorisation des États‑Unis si ceux‑ci se retiraient en tant qu’alliĂ©. Tuinman affirme que le F‑35 est un « produit vĂ©ritablement partagĂ© » entre partenaires et soutient que, mĂȘme sans mises Ă  jour, l’avion resterait supĂ©rieur Ă  d’autres chasseurs. Il suggĂšre que les forces europĂ©ennes opĂ©rant dĂ©jĂ  des F‑35 pourraient entretenir le logiciel de leurs appareils, avec ou sans l’aide de Lockheed Martin. ...

19 fĂ©vrier 2026 Â· 2 min

Le Parlement europĂ©en coupe les fonctions d’IA des tablettes des eurodĂ©putĂ©s pour raisons de sĂ©curitĂ©

Selon Euractiv FR, un courriel adressĂ© le lundi 16 fĂ©vrier aux dĂ©putĂ©s europĂ©ens annonce la dĂ©sactivation des fonctionnalitĂ©s d’IA sur les tablettes institutionnelles mises Ă  leur disposition, en raison de prĂ©occupations de cybersĂ©curitĂ© et de protection des donnĂ©es. đŸ›Ąïž La mesure concerne les appareils fournis par le Parlement europĂ©en aux Ă©lus, avec pour motif explicite la rĂ©duction des risques liĂ©s Ă  l’exposition des donnĂ©es et Ă  la sĂ©curitĂ© des systĂšmes. ...

19 fĂ©vrier 2026 Â· 1 min

0APT : une campagne de bluff mais un ransomware Rust réellement opérationnel (analyse Cyderes)

Selon Cyderes – Howler Cell Threat Research Team (publiĂ© le 16 fĂ©vrier 2026), 0APT est un ransomware Ă©crit en Rust apparu avec une campagne de bluff revendiquant plus de 200 victimes, mais sans preuves vĂ©rifiables; l’équipe a nĂ©anmoins confirmĂ© l’existence d’une plateforme RaaS fonctionnelle et de charges malveillantes opĂ©rationnelles. Cyderes souligne des doutes sur la crĂ©dibilitĂ© des fuites: un site onion listait de nombreuses victimes avant de disparaĂźtre, la section « leaks » du panneau RaaS propose des archives prĂ©tendument volumineuses qui ne se tĂ©lĂ©chargent pas, et aucune capture de donnĂ©es compromises n’est fournie. Les annonces massives et rapides (≈200 victimes) sans artefacts contredisent les pratiques des groupes de rançongiciels matures, renforçant l’hypothĂšse d’une campagne de bluff destinĂ©e Ă  impressionner. ...

18 fĂ©vrier 2026 Â· 3 min

Analyse de « RustyRocket » : l’outil d’exfiltration multi‑couches de WorldLeaks

Selon Accenture Cybersecurity, WorldLeaks — issu du rebranding de Hunters International en 2025 — a adoptĂ© une stratĂ©gie d’extorsion centrĂ©e sur la fuite de donnĂ©es plutĂŽt que le chiffrement ransomware, s’appuyant sur un outil personnalisĂ© d’exfiltration/proxy nommĂ© RustyRocket. Contexte et menace. WorldLeaks se concentre sur le vol de donnĂ©es sensibles et la menace de publication pour extorquer, ciblant divers secteurs avec un accent sur l’AmĂ©rique du Nord. Cette approche contourne l’efficacitĂ© croissante des sauvegardes et outils de dĂ©chiffrement : une fois les donnĂ©es exfiltrĂ©es, il n’existe aucune remĂ©diation technique Ă©quivalente. ...

16 fĂ©vrier 2026 Â· 3 min

Bashe (APT73), un nouvel acteur émergent du RaaS

Bashe (ex-APT73) – Profil d’un acteur RaaS Ă©mergent Source : SuspectFile – Inside Bashe: The Interview with the Ransomware Group Known as APT73 https://www.suspectfile.com/inside-bashe-the-interview-with-the-ransomware-group-known-as-apt73/ RĂ©sumĂ© exĂ©cutif Le groupe Bashe, prĂ©cĂ©demment identifiĂ© sous le nom APT73, est un acteur RaaS (Ransomware-as-a-Service) qui s’inscrit dans la nouvelle gĂ©nĂ©ration d’opĂ©rations structurĂ©es autour d’un modĂšle d’affiliation centralisĂ©. Le rebranding vers “Bashe” ne serait pas liĂ© Ă  une pression policiĂšre ou Ă  une compromission d’infrastructure, mais Ă  un repositionnement identitaire. Le nom fait rĂ©fĂ©rence Ă  une crĂ©ature mythologique chinoise (serpent gĂ©ant dĂ©voreur d’élĂ©phants), en cohĂ©rence avec leur rhĂ©torique : cibler de grandes entreprises solvables. ...

16 fĂ©vrier 2026 Â· 4 min

CVE-2025-56520 dans Dify: vulnérabilité SSRF activement exploitée sans correctif

Source: CrowdSec — Le billet signale une exploitation active de la vulnĂ©rabilitĂ© CVE-2025-56520 affectant Dify, avec dĂ©tection par le rĂ©seau CrowdSec et un suivi de la menace depuis le 11 fĂ©vrier 2026. ‱ VulnĂ©rabilitĂ© et portĂ©e: La faille est une SSRF au sein du composant RemoteFileUploadApi de Dify (jusqu’à la version 1.6.0), dĂ©clenchĂ©e via l’endpoint /console/api/remote-files/. Dify, plateforme open source d’orchestration d’agents IA/LLM (env. 130k Ă©toiles GitHub), est largement dĂ©ployĂ©e, ce qui expose de nombreux environnements. ...

16 fĂ©vrier 2026 Â· 2 min
Derniùre mise à jour le: 5 juillet 2026 📝