GlassWorm macOS: rotation d’infrastructure C2, injections GitHub et nouveaux IoCs

Source: tip-o-deincognito (GlassWorm: Part 2). Ce suivi technique couvre 72 h supplĂ©mentaires de monitoring de l’infostealer macOS GlassWorm, dĂ©taillant la rotation d’infrastructure C2 via mĂ©mos Solana, la persistance des panels de gestion, la poursuite des injections GitHub et une mise Ă  jour des IoCs. L’opĂ©rateur a publiĂ© trois mĂ©mos Solana le 13 mars menant Ă  de nouveaux C2, a fait tourner les chemins de payload et maintient plusieurs serveurs C2 Socket.IO actifs en parallĂšle. MalgrĂ© un kill switch HTTP (process.exit(0)), les serveurs continuent l’« inventory-only mode » et les injections GitHub se sont poursuivies jusqu’au 14 mars. Le DHT (ex-« push-like » de config) a Ă©tĂ© abandonnĂ©, au profit de mĂ©mos Solana publics. ...

15 mars 2026 Â· 4 min

GlassWorm sur macOS : infostealer avec C2 décentralisé, RAT persistant et IoCs détaillés

Source: tip-o-deincognito (write-up technique). Contexte: analyse statique et surveillance live (57 h) d’une variante GlassWorm macOS distribuĂ©e via des extensions Open VSX compromises, avec mise en Ă©vidence d’un C2 rĂ©silient (BitTorrent DHT + Solana), d’un stealer multi-cibles et d’un RAT persistant. ‱ Infection supply chain via extensions VS Code (compte “oorzc” — ssh-tools, i18n-tools-plus, mind-map, scss-to-css-compile, 22k+ tĂ©lĂ©chargements). Le package npm injecte un preinstall.js contenant une stĂ©ganographie Unicode (sĂ©lecteurs de variation) pour dissimuler le blob AES-256-CBC menant au loader Stage 1. Exclusion CIS via dĂ©tection de locale russe + fuseau/offset. Un kill switch base64 de 20 caractĂšres est gĂ©rĂ© cĂŽtĂ© Stage 1 (eval), mais Ă©choue cĂŽtĂ© RAT persistant. ...

15 mars 2026 Â· 4 min

IA en cyberconflit: un écart d'automatisation qui avantage la défense

Source et contexte — International Security (MIT Press/Harvard), mars 2026: Lennart Maschmeyer analyse pourquoi l’IA, malgrĂ© les prĂ©dictions d’une rĂ©volution offensive, renforce surtout la dĂ©fense en cybersĂ©curitĂ©. En s’appuyant sur des donnĂ©es expĂ©rimentales et des observations in-the-wild, l’auteur avance la thĂšse d’un « Ă©cart d’automatisation »: l’IA excelle en dĂ©tection (đŸ›ĄïžđŸ”) mais peine en tromperie crĂ©ative requise par l’offensive (âš”ïžđŸ€–), ce qui abaisse l’efficacitĂ© des attaques automatisĂ©es. ThĂšse centrale: en cyberconflit, l’offense repose sur la crĂ©ativitĂ© et la dĂ©ception (se cacher, manipuler sans ĂȘtre dĂ©tectĂ©), alors que la dĂ©fense vise la dĂ©tection rapide et prĂ©cise. Les modĂšles d’IA (ML, deep learning, LLMs) sont taillĂ©s pour la reconnaissance de motifs et la classification (dĂ©fense), mais Ă©chouent sur la crĂ©ation originale et la duperie contextuelle (offense). L’indicateur de Mandiant (Google Cloud) montre une baisse du dwell time mĂ©dian de 205 jours (2014) Ă  11 jours (2024), sans renversement malgrĂ© les progrĂšs rĂ©cents de l’IA, ce qui n’accrĂ©dite pas une supĂ©rioritĂ© offensive automatisĂ©e. ...

15 mars 2026 Â· 3 min

IBM X-Force révÚle Slopoly, un C2 généré par IA utilisé par Hive0163 dans une attaque ransomware

Contexte: IBM X-Force publie une analyse dĂ©taillĂ©e d’un nouveau backdoor/C2 baptisĂ© “Slopoly”, vraisemblablement gĂ©nĂ©rĂ© par un LLM et observĂ© lors d’une attaque ransomware opĂ©rĂ©e par le cluster financier Hive0163. – DĂ©couverte et portĂ©e IBM X-Force a identifiĂ© un script PowerShell client d’un framework C2 inĂ©dit, nommĂ© Slopoly, dĂ©ployĂ© en phase tardive d’une intrusion ransomware attribuĂ©e Ă  Hive0163 (acteur financier dĂ©jĂ  liĂ© Ă  InterlockRAT, NodeSnake, JunkFiction, Interlock ransomware). Slopoly a permis une persistance > 1 semaine sur un serveur compromis. L’analyse souligne l’adoption croissante de l’IA par les cybercriminels, ouvrant une phase d’« armes Ă©phĂ©mĂšres » oĂč du malware gĂ©nĂ©rĂ© rapidement abaisse fortement les barriĂšres Ă  l’entrĂ©e. ...

15 mars 2026 Â· 4 min

INC ransomware : exfiltration via Restic (déguisé en winupdate.exe) et neutralisation des défenses observées par Huntress

Source: Huntress — Dans une analyse technique, Huntress SOC dĂ©crit des incidents survenus en fĂ©vrier 2026 mettant en lumiĂšre l’exfiltration de donnĂ©es avec Restic (renommĂ© en winupdate.exe), la dĂ©sactivation d’outils de sĂ©curitĂ©, puis le dĂ©ploiement du ransomware INC. Le 25 fĂ©vrier 2026, aprĂšs un accĂšs initial la veille, le threat actor a mappĂ© un partage rĂ©seau (F:), utilisĂ© PsExec pour s’élever en privilĂšges, puis créé une tĂąche planifiĂ©e « Recovery Diagnostics » exĂ©cutant un script PowerShell. Des commandes PowerShell encodĂ©es en base64 ont dĂ©fini des variables d’environnement (AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY, RESTIC_REPOSITORY vers Wasabi S3, RESTIC_PASSWORD en clair « password ») avant d’appeler c:\windows\system32\winupdate.exe, qui est en rĂ©alitĂ© restic.exe renommĂ©. Une commande suivante a lancĂ© « backup –files-from C:\Users\Public\Documents\new.txt », suggĂ©rant l’utilisation d’une liste de fichiers, nĂ©cessitant vraisemblablement une connaissance prĂ©alable de l’environnement. ...

15 mars 2026 Â· 3 min

INTERPOL dĂ©mantĂšle plus de 45 000 IP et serveurs malveillants lors d’Operation Synergia III (94 arrestations)

Source : INTERPOL — Dans le cadre de l’Operation Synergia III (18 juillet 2025 – 31 janvier 2026), coordonnĂ©e par INTERPOL depuis Lyon et impliquant 72 pays et territoires, les forces de l’ordre ont dĂ©mantelĂ© plus de 45 000 adresses IP et serveurs malveillants, procĂ©dĂ© Ă  94 arrestations (110 personnes toujours sous enquĂȘte) et saisi 212 appareils Ă©lectroniques et serveurs. 🚔🌐 L’opĂ©ration visait des activitĂ©s de phishing, malware et ransomware. INTERPOL a transformĂ© des donnĂ©es en renseignements opĂ©rationnels, facilitĂ© la collaboration transfrontaliĂšre et apportĂ© un appui tactique, conduisant Ă  des perquisitions ciblĂ©es et Ă  la perturbation d’activitĂ©s cybercriminelles. Le directeur de la Cybercrime d’INTERPOL, Neal Jetton, a soulignĂ© l’escalade de la sophistication de la cybercriminalitĂ© en 2026 et l’efficacitĂ© de la coopĂ©ration mondiale. ...

15 mars 2026 Â· 2 min

Japon: 226 cas de ransomware en 2025, deuxiÚme total annuel le plus élevé

Selon des donnĂ©es publiĂ©es jeudi par la National Police Agency (NPA) du Japon, le pays a enregistrĂ© en 2025 un volume Ă©levĂ© d’attaques par ransomware, marquant une progression par rapport Ă  2024. 📈 Bilan 2025: 226 cas confirmĂ©s de ransomware, soit le deuxiĂšme total annuel le plus Ă©levĂ© et +4 par rapport Ă  l’annĂ©e prĂ©cĂ©dente. 🏱 Victimes: Environ 60 % des victimes sont des petites et moyennes entreprises (PME). Des grandes entreprises ont Ă©galement subi des dommages graves, notamment Asahi Group Holdings Ltd. (agroalimentaire/boissons) et Askul Corp. (fournitures de bureau et mĂ©nagĂšres). ...

15 mars 2026 Â· 1 min

Le FBI sollicite des joueurs Steam aprùs l’upload de huit jeux malveillants

Selon BleepingComputer, le FBI demande aux joueurs qui ont installĂ© des titres Steam contenant des malwares de fournir des informations dans le cadre d’une enquĂȘte en cours. Points clĂ©s: Huit jeux malveillants ont Ă©tĂ© mis en ligne sur la plateforme Steam. Le FBI cherche des informations auprĂšs des joueurs qui ont installĂ© ces titres. L’appel s’inscrit dans une enquĂȘte en cours visant ces jeux publiĂ©s de maniĂšre malveillante. FBI : enquĂȘte sur des jeux Steam contenant des malwares RĂ©sumĂ© Le FBI (division de Seattle) enquĂȘte sur plusieurs jeux publiĂ©s sur la plateforme Steam qui contenaient des malwares destinĂ©s Ă  voler des cryptomonnaies et des identifiants. ...

15 mars 2026 Â· 4 min

Loblaw annonce un accÚs non autorisé exposant des données clients basiques

Selon une communication de Loblaw, un tiers malveillant a accĂ©dĂ© Ă  une partie contenue et non critique de son rĂ©seau informatique, rĂ©vĂ©lant certaines informations clients basiques. 🔎 L’entreprise a dĂ©terminĂ© qu’un acteur criminel a accĂ©dĂ© Ă  des donnĂ©es telles que noms, numĂ©ros de tĂ©lĂ©phone et adresses e‑mail. 🔐 Dans le cadre de sa rĂ©ponse de sĂ©curitĂ©, Loblaw a sĂ©curisĂ© son rĂ©seau et les informations clients. Tous les clients seront automatiquement dĂ©connectĂ©s de leurs comptes et devront se reconnecter pour accĂ©der aux services numĂ©riques. ...

15 mars 2026 Â· 1 min

Michelin confirme une violation de donnĂ©es liĂ©e Ă  l’exploitation d’une zero‑day Oracle E-Business Suite

SecurityWeek rapporte que Michelin a confirmĂ© avoir Ă©tĂ© touchĂ© par la vaste campagne de compromission visant Oracle E‑Business Suite (EBS), oĂč des vulnĂ©rabilitĂ©s zero‑day ont Ă©tĂ© exploitĂ©es pour accĂ©der aux donnĂ©es d’organisations utilisatrices. Selon l’article, la marque d’extorsion Cl0p revendique publiquement cette campagne, tandis que des chercheurs estiment qu’un cluster d’acteurs sophistiquĂ©s, notamment FIN11, est Ă  la manƓuvre. Plus de 100 organisations figurent sur le site de Cl0p. Michelin indique qu’une zero‑day d’Oracle EBS a Ă©tĂ© exploitĂ©e. L’entreprise affirme avoir appliquĂ© rapidement des mesures correctives efficaces, que des fichiers ont Ă©tĂ© consultĂ©s mais en faible volume et sans informations sensibles ni techniques, et qu’aucun ransomware n’a Ă©tĂ© dĂ©ployĂ©, sans impact sur ses systĂšmes globaux. 🔐 ...

15 mars 2026 Â· 2 min
Derniùre mise à jour le: 2 juillet 2026 📝