Les vendeurs de spyware commerciaux surpassent les États dans l’exploitation de zero-days en 2025 (rapport GTIG)

Selon Computer Weekly, citant le rapport de la Google Threat Intelligence Group (GTIG) « Look what you made us patch: 2025 zero-days in review », les fournisseurs de surveillance commerciale (CSV) ont dĂ©passĂ© les acteurs Ă©tatiques dans l’exploitation initiale des zero-days en 2025. Sur 42 zero-days uniques suivis oĂč la premiĂšre exploitation a Ă©tĂ© attribuĂ©e, 15 l’ont Ă©tĂ© Ă  des CSV, 12 Ă  des acteurs Ă©tatiques (dont 7 liĂ©s Ă  la Chine), et 9 Ă  des cybercriminels motivĂ©s financiĂšrement. GTIG relĂšve en plus 3 zero-days « probablement » exploitĂ©s par la Chine, et 1 Ă  l’intersection crime/État. Les CSVs renforcent leur OPSEC tout en Ă©largissant l’accĂšs aux exploits zero-day Ă  davantage d’acteurs; le cas Intellexa est citĂ© pour l’adaptation continue de ses opĂ©rations et de son outilset. ...

8 mars 2026 Â· 3 min

LineageOS for microG : fuite de clés privées exposant le serveur de téléchargement et la signature des builds

Source: Wiki du projet LineageOS for microG (GitHub), mise Ă  jour par l’équipe de maintenance; annonce initiale autour du 8 dĂ©cembre 2025, clĂŽture indiquĂ©e le 15 fĂ©vrier 2026. — L’incident porte sur une exposition de clĂ©s privĂ©es du projet dans un dĂ©pĂŽt git public depuis janvier 2025. Deux types de clĂ©s ont Ă©tĂ© compromis: une clĂ© rsync utilisĂ©e pour uploader les artefacts de build vers le serveur de tĂ©lĂ©chargement/OTA, et des clĂ©s de signature de builds (LineageOS for microG « L4M » et builds non officiels LOS; ainsi que des builds non officiels IodĂ©OS pour Sony et autres appareils; les builds non officiels pour Google Pixel sur une autre machine n’étaient pas signĂ©s avec ces clĂ©s). ...

8 mars 2026 Â· 3 min

LLM et analyse de malware : gains réels, limites fortes et bonnes pratiques

Security Blog publie un retour d’expĂ©rience dĂ©taillĂ© sur l’usage d’LLMs (GPT‑5.1/mini, Claude Sonnet 4.6/Opus) dans un labo d’analyse de malwares, basĂ© sur des tests concrets (dont CVE‑2017‑11882) et l’intĂ©gration d’outils via MCP. đŸ§Ș Mise en place et premiers essais L’auteur dĂ©ploie deux VMs (Remnux et Windows 10) et connecte des serveurs MCP (remnux, remnux-docs, x64dbg, virustotal, ssh-mcp, ghidra-mcp) pour piloter analyse statique/dynamique. Sur un document Office exploitant CVE‑2017‑11882 (Equation Editor), GPT‑5.1‑mini Ă©choue (faux positifs, mauvaise lecture d’oletools “decalage.info”, Ă©checs avec Unicorn/Speakeasy). GPT‑5.1 et Claude Sonnet 4.6 rĂ©ussissent avec guidage : extraction du shellcode, Ă©mulation Speakeasy et rĂ©cupĂ©ration de l’URL du stage suivant. Sonnet 4.6 identifie seul l’exploit et la zone du shellcode, mais requiert l’émulation pour obtenir l’URL. 🚀 EfficacitĂ© vs fiabilitĂ© ...

8 mars 2026 Â· 3 min

Microsoft dĂ©taille l’industrialisation des cyberattaques par l’IA (Jasper/Coral Sleet, RPDC)

Source et contexte — Microsoft Threat Intelligence publie une analyse sur l’« opĂ©rationnalisation » de l’IA par les acteurs malveillants Ă  toutes les Ă©tapes de la chaĂźne d’attaque. Le billet distingue l’IA comme accĂ©lĂ©rateur vs arme, illustre des cas concrets impliquant des groupes nord‑corĂ©ens (Jasper Sleet, Coral Sleet, Emerald Sleet, Sapphire Sleet) et met en avant l’usage de techniques de jailbreak pour contourner les garde‑fous des modĂšles. Usages le long du cycle d’attaque 🔎 ...

8 mars 2026 Â· 3 min

MSG confirme une fuite de données liée à la campagne Cl0p exploitant des zero-days Oracle EBS

SecurityWeek (Eduard Kovacs, 2 mars 2026) rapporte que Madison Square Garden (MSG), la cĂ©lĂšbre arĂšne de New York, a confirmĂ© avoir Ă©tĂ© touchĂ© par une fuite de donnĂ©es dans le cadre de la campagne de piratage visant Oracle E‑Business Suite (EBS) en 2025. Dans cette campagne, le groupe de ransomware et d’extorsion Cl0p a exploitĂ© des vulnĂ©rabilitĂ©s zero-day pour accĂ©der aux donnĂ©es de plus de 100 organisations clientes d’Oracle EBS. đŸ§© ...

8 mars 2026 Â· 2 min

MuddyWater exposé: infrastructures C2 multiples, exploits Fortinet/Ivanti et exfiltration multi-canaux

Source: Ctrl-Alt-Intel — Des chercheurs ont compromis et analysĂ© un serveur d’infrastructure d’un APT iranien attribuĂ© Ă  MuddyWater (MOIS), exposant outils C2, scripts, journaux et donnĂ©es victimes. Le billet recoupe des Ă©lĂ©ments publiĂ©s par Group-IB et ESET, et s’appuie sur des pivots Hunt.io, avec des chevauchements d’indicateurs observĂ©s Ă©galement par Huntress. ‱ Contexte et attribution. L’équipe attribue avec haute confiance l’infrastructure Ă  MuddyWater (a.k.a. Static Kitten, Mango Sandstorm, Earth Vetala, Seedworm, TA450). Des artefacts linguistiques en persan, des recoupements d’infrastructures C2 et une victimologie cohĂ©rente (IsraĂ«l, Jordanie, Égypte, EAU, Portugal, États‑Unis) Ă©tayent l’évaluation. Un VPS aux Pays-Bas contenait des binaires C2, scripts et journaux d’opĂ©rations, avec rĂ©utilisation d’IP dĂ©jĂ  signalĂ©es par Group‑IB et ESET. ...

8 mars 2026 Â· 3 min

Neko : navigateur virtuel auto‑hĂ©bergĂ© (Docker + WebRTC) pour navigation isolĂ©e et collaborative

Cette publication prĂ©sente Neko, un navigateur virtuel auto‑hĂ©bergĂ© diffusant un environnement Linux via WebRTC, axĂ© sur la sĂ©curitĂ©, la confidentialitĂ© et la collaboration. ‱ Neko fournit un navigateur/desktop virtuel tournant dans Docker (ou sur l’hĂŽte), accessible depuis n’importe oĂč, avec multi‑accĂšs simultanĂ©, contrĂŽle partagĂ©, audio/vidĂ©o synchronisĂ©s et un flux WebRTC fluide. Il peut exĂ©cuter un navigateur, des applications Linux (ex. VLC) ou un desktop complet (XFCE, KDE). đŸ± ‱ Cas d’usage principaux: watch parties 🎬, prĂ©sentations interactives (contrĂŽle par d’autres), collaboration (co‑browsing, debug), support/enseignement, et intĂ©gration dans des apps web (alternative open source Ă  Hyperbeam API). Des rooms peuvent ĂȘtre gĂ©rĂ©es via « neko-rooms ». ...

8 mars 2026 Â· 2 min

NeuroGrid: des Ă©quipes augmentĂ©es par IA surpassent largement les humaines sur des dĂ©fis d’offensive

Selon Help Net Security, la compĂ©tition NeuroGrid (72h sur la plateforme Hack The Box) a comparĂ© des Ă©quipes IA-augmentĂ©es (via Model Context Protocol avec supervision humaine) Ă  des Ă©quipes 100% humaines sur 36 dĂ©fis couvrant 9 domaines et 4 niveaux de difficultĂ©. L’analyse porte sur 958 Ă©quipes humaines et 120 Ă©quipes IA ayant tentĂ© au moins un dĂ©fi, sur un total de 1 337 Ă©quipes humaines et 156 Ă©quipes IA inscrites. đŸ€–đŸ§‘â€đŸ’» ...

8 mars 2026 Â· 3 min

OpenAI lance Codex Security, un agent IA d’AppSec en prĂ©version de recherche

OpenAI annonce, dans une publication officielle, la mise Ă  disposition en « research preview » de Codex Security, un agent de sĂ©curitĂ© applicative conçu pour rĂ©duire le bruit, amĂ©liorer la prĂ©cision des dĂ©tections et proposer des correctifs alignĂ©s sur le contexte des projets. ‱ Codex Security s’appuie sur les modĂšles de pointe et l’agent Codex pour bĂątir un contexte profond du systĂšme, prioriser les vulnĂ©rabilitĂ©s selon leur impact rĂ©el, et valider les trouvailles dans des environnements sandbox ou directement dans le systĂšme en cours d’exĂ©cution. L’objectif est de diminuer les faux positifs et d’accĂ©lĂ©rer la remĂ©diation avec des correctifs plus sĂ»rs et mieux intĂ©grĂ©s. ...

8 mars 2026 Â· 2 min

Packages Packagist déguisés en utilitaires Laravel déploient un RAT PHP via dépendances Composer

Selon Socket (Ă©quipe de recherche sur les menaces), un acteur nommĂ© “nhattuanbl” a publiĂ© sur Packagist des packages Laravel malveillants qui installent un RAT PHP chiffrĂ© via les dĂ©pendances Composer, permettant un accĂšs Ă  distance et un canal C2. Packages concernĂ©s: nhattuanbl/lara-helper et nhattuanbl/simple-queue embarquent la charge utile dans src/helper.php (identiques byte‑à‑byte). nhattuanbl/lara-swagger est propre mais dĂ©pend de lara-helper, entraĂźnant l’installation silencieuse du RAT. Activation: dans lara-helper, inclusion via un service provider Laravel (auto-discovery) Ă  chaque boot; dans simple-queue, inclusion au chargement de la classe (autoload), dĂ©clenchĂ©e mĂȘme par class_exists(). Obfuscation: contrĂŽle par goto en spaghetti, chaĂźnes en hex/octal, identifiants alĂ©atoires. Auto‑persistance: au premier include, le script se relance en arriĂšre-plan (CLI arg helper) et utilise un lock file temp (wvIjjnDMRaomchPprDBzzVSpzh61RCar.lock, expiration 15 min). đŸ•žïž C2 et capacitĂ©s ...

8 mars 2026 Â· 3 min
Derniùre mise à jour le: 3 juillet 2026 📝