Chrysalis : le backdoor de Lotus Blossom distribuĂ© via l’abus de Notepad++ et un loader Warbird

Source: Rapid7 — Rapid7 Labs et l’équipe MDR publient une analyse technique d’une campagne attribuĂ©e Ă  l’APT chinois Lotus Blossom, active depuis 2009 et ciblant surtout l’Asie du Sud-Est (et rĂ©cemment l’AmĂ©rique centrale). L’enquĂȘte met au jour le backdoor sur mesure “Chrysalis”, livrĂ© via un abus de l’infrastructure de distribution de Notepad++, et un loader exploitant le framework Microsoft Warbird. ‱ ChaĂźne d’infection et loaders. L’accĂšs initial est en ligne avec l’abus public de Notepad++ (exĂ©cution de notepad++.exe puis GUP.exe avant un “update.exe” tĂ©lĂ©chargĂ© depuis 95.179.213.0). “update.exe” est un installateur NSIS plaçant dans %AppData%\Bluetooth un exĂ©cutable lĂ©gitime renommĂ© (BluetoothService.exe, Bitdefender Submission Wizard) pour du DLL sideloading avec un log.dll malveillant. LogInit/LogWrite chargent, dĂ©chiffrent et exĂ©cutent du shellcode via une dĂ©rivation de clĂ© (LCG + finaliseur MurmurHash-like) et rĂ©solution d’API par hash (FNV-1a + avalanche). Le shellcode dĂ©chiffre le module principal (clĂ© XOR gQ2JR&9;), charge dynamiquement des DLLs, reconstruit des chaĂźnes obfusquĂ©es et rĂ©sout les APIs en marchant le PEB. ...

4 fĂ©vrier 2026 Â· 4 min

CISA met à jour discrÚtement le flag ransomware dans la base KEV; recensement des « silent flips » en 2025

Contexte: source non prĂ©cisĂ©e; publication datĂ©e du 4 fĂ©vrier 2026. En octobre 2023, CISA a ajoutĂ© Ă  la base KEV (Known Exploited Vulnerabilities) le champ knownRansomwareCampaignUse pour aider Ă  la priorisation des vulnĂ©rabilitĂ©s. L’auteur rappelle que s’appuyer sur KEV est dĂ©jĂ  un indicateur retardĂ©, et attendre en plus le flag ransomware l’est encore davantage, mĂȘme si les Ă©quipes ont parfois besoin de preuves solides pour agir. CISA ne se contente pas d’annoter les nouvelles entrĂ©es : l’agence met Ă  jour silencieusement des fiches existantes. Lorsque le champ passe de « Unknown » Ă  « Known », CISA indique disposer de preuves d’usage par des opĂ©rateurs de ransomware — un changement matĂ©riel de posture de risque qui devrait modifier la priorisation. ...

4 fĂ©vrier 2026 Â· 1 min

CISA ordonne de corriger une faille GitLab vieille de 5 ans activement exploitée

Selon BleepingComputer, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ordonnĂ© aux agences gouvernementales de corriger leurs systĂšmes face Ă  une vulnĂ©rabilitĂ© GitLab vieille de cinq ans, activement exploitĂ©e dans des attaques. ⚠ La CISA cible spĂ©cifiquement des dĂ©ploiements GitLab au sein des systĂšmes gouvernementaux et exige l’application de correctifs pour contrer l’exploitation en cours. L’article souligne le caractĂšre ancien de la faille (cinq ans) et le fait qu’elle fait l’objet d’exploits actifs, ce qui motive l’ordre de remĂ©diation auprĂšs des agences. ...

4 fĂ©vrier 2026 Â· 1 min

CISA: des groupes de ransomware exploitent une faille d’évasion de sandbox dans VMware ESXi

Source : BleepingComputer — 29 janvier 2026 VulnĂ©rabilitĂ© concernĂ©e : CVE-2025-22225 (VMware ESXi) — Arbitrary Kernel Write / Sandbox Escape GravitĂ© : ÉlevĂ©e (activement exploitĂ©e) Selon BleepingComputer, la CISA a confirmĂ© mercredi que des groupes de rançongiciel exploitent une vulnĂ©rabilitĂ© de gravitĂ© Ă©levĂ©e permettant une Ă©vasion de sandbox dans VMware ESXi, une faille qui avait auparavant servi dans des attaques zero-day. 🚹 Exploitation confirmĂ©e par la CISA: des groupes de ransomware « ont commencĂ© » Ă  tirer parti de la faille. đŸ§© Nature de la faille: Ă©vasion de sandbox sur VMware ESXi. ⏳ Historique: vulnĂ©rabilitĂ© dĂ©jĂ  observĂ©e en zero-day avant cette confirmation d’exploitation par des rançongiciels. 📌 Ce qu’il faut retenir La CISA (Cybersecurity and Infrastructure Security Agency) americiane confirme que des groupes de ransomware exploitent dĂ©sormais CVE-2025-22225, une faille VMware ESXi qui avait dĂ©jĂ  Ă©tĂ© utilisĂ©e comme zero-day. ...

4 fĂ©vrier 2026 Â· 3 min

Exploitation active de CVE-2025-11953 (« Metro4Shell ») sur Metro (React Native) observée par VulnCheck

Selon VulnCheck, des exploitations de la vulnĂ©rabilitĂ© CVE-2025-11953 (« Metro4Shell ») ont Ă©tĂ© observĂ©es dĂšs le 21 dĂ©cembre 2025 sur des serveurs Metro (outil de bundling et dev pour React Native), avec des charges utiles cohĂ©rentes relevĂ©es Ă  plusieurs dates en janvier 2026. ‱ Contexte et vulnĂ©rabilitĂ©. Metro peut exposer par dĂ©faut un endpoint /open-url; sur Windows, celui-ci permet Ă  un attaquant non authentifiĂ© d’exĂ©cuter des commandes OS via un POST. La faille a Ă©tĂ© analysĂ©e par JFrog, suivie de POC publics sur GitHub. VulnCheck note un dĂ©calage entre l’exploitation rĂ©elle et sa reconnaissance publique (EPSS 0,00405), malgrĂ© une surface exposĂ©e sur Internet. ...

4 fĂ©vrier 2026 Â· 3 min

Fuite de données du SIA : un pirate exfiltre des infos sur ~62 000 armes et leurs propriétaires

📰 Contexte Source : next.ink, publiĂ© le 02/04/2026 (Ă©vĂ©nement datĂ© du 30 mars 2026). Le SystĂšme d’Information sur les Armes (SIA) est un service du ministĂšre de l’IntĂ©rieur français, obligatoire pour les dĂ©tenteurs d’armes particuliers majeurs. 🔓 Nature de l’incident Un acteur malveillant a obtenu un accĂšs non autorisĂ© au compte d’une entreprise utilisatrice du SIA, entraĂźnant l’exfiltration de donnĂ©es commerciales contenues dans ce compte. Le ministĂšre de l’IntĂ©rieur a officiellement confirmĂ© l’incident aprĂšs des revendications la semaine prĂ©cĂ©dente. ...

4 fĂ©vrier 2026 Â· 2 min

Fuite du code source de Claude Code : analyse des mécanismes de sécurité internes d'Anthropic

🔍 Contexte PubliĂ© le 31 mars 2026 sur le blog lr0.org, cet article analyse le code source TypeScript de Claude Code (outil CLI d’Anthropic), accidentellement exposĂ© via un fichier source map non obfusquĂ© (cli.js.map). Le dĂ©pĂŽt miroir a Ă©tĂ© publiĂ© sur GitHub Ă  l’adresse https://github.com/chatgptprojects/claude-code. Le code comprend 1 897 fichiers pour environ 132 000 lignes de code. 🚹 Nature de la fuite Anthropic a accidentellement inclus un fichier source map (cli.js.map) dans une version publique de Claude Code, exposant l’intĂ©gralitĂ© du code TypeScript non obfusquĂ©. Ce type de fuite rĂ©vĂšle la logique interne, les commandes cachĂ©es, les flags expĂ©rimentaux et les mĂ©canismes de sĂ©curitĂ©. ...

4 fĂ©vrier 2026 Â· 2 min

ImageMagick : chaßne de zero-days permettant RCE sur toutes les politiques de sécurité

🔍 Contexte PubliĂ© le 02/04/2026 par Octagon Networks sur pwn.ai, cet article dĂ©taille une recherche offensive autonome menĂ©e par l’agent IA pwn.ai pendant prĂšs de 5 jours, initiĂ©e lors d’un engagement client sur une application web minimaliste dont la seule surface d’attaque Ă©tait une boĂźte d’upload traitant les fichiers via ImageMagick. 🎯 DĂ©couvertes principales La recherche a abouti Ă  la dĂ©couverte de multiples zero-days dans ImageMagick affectant toutes les distributions Linux majeures (Ubuntu 22.04, Debian, Fedora, RHEL, Arch, Alpine, Amazon Linux, macOS Homebrew, Docker) ainsi que les installations WordPress. ...

4 fĂ©vrier 2026 Â· 3 min

Incident de sécurité à la TU Wien : comptes compromis et services IT limités

Contexte et source : Extrait en allemand mentionnant la TU Wien, concernant un incident survenu le 23 janvier 2026. 🔐 La TU Wien indique qu’un incident de sĂ©curitĂ© a touchĂ© le rĂ©seau de l’universitĂ© le 23 janvier 2026. Dans ce cadre, des comptes ont Ă©tĂ© compromis. ⚠ L’établissement prĂ©cise qu’il n’est pas possible d’exclure que des donnĂ©es sensibles aient pu ĂȘtre accĂ©dĂ©es durant l’incident. đŸ› ïž Par mesure de sĂ©curitĂ©, les systĂšmes IT de la TU Wien sont actuellement disponibles de maniĂšre limitĂ©e, tandis que la majoritĂ© des activitĂ©s universitaires peut nĂ©anmoins se poursuivre. ...

4 fĂ©vrier 2026 Â· 2 min

Incident Notepad++ : IOCs publiés par l'ancien hébergeur suite à une mise à jour malveillante

🔍 Contexte Document publiĂ© le 02/04/2026 sur le site officiel de Notepad++ (notepad-plus-plus.org), Ă©manant de l’ancien fournisseur d’hĂ©bergement. Ce document partage des indicateurs de compromission (IOCs) observĂ©s dans l’environnement d’hĂ©bergement lors de l’incident impliquant une mise Ă  jour malveillante de Notepad++. L’hĂ©bergeur prĂ©cise ne pas avoir hĂ©bergĂ© la mise Ă  jour malveillante elle-mĂȘme et ne pas avoir de visibilitĂ© sur la chaĂźne d’attaque complĂšte ni sur l’impact pour les utilisateurs finaux. ...

4 fĂ©vrier 2026 Â· 2 min
Derniùre mise à jour le: 5 juillet 2026 📝