Posts

🗓️ Contexte Source : OFCS (Office fédéral de la cybersécurité, Suisse), rétrospective hebdomadaire publiée le 17 mars 2026. L’article relate une tendance observée par les autorités suisses suite à de nombreux signalements d’entreprises. 🎯 Description de la menace De plus en plus d’entreprises contactent l’OFCS après avoir reçu des e-mails contenant de fausses factures. La chaîne d’infection repose sur une structure en deux couches : Une pièce jointe au format ZIP est envoyée par e-mail Le fichier ZIP contient un fichier HTML présentant une facture apparemment légitime 🕵️ Technique de dissimulation Le fichier HTML affiché ne contient aucun lien visible, aucun élément suspect apparent, et ne déclenche pas d’alerte immédiate. Cette apparence anodine est délibérément conçue pour inspirer confiance et contourner la vigilance des destinataires. L’OFCS souligne les efforts importants déployés par les attaquants pour dissimuler la nature malveillante de leurs attaques. ...

🔍 Contexte Le 20 mars 2026, le FBI et la CISA ont publié conjointement une annonce de service public (PSA) via l’Internet Crime Complaint Center (IC3) pour alerter sur une campagne de phishing active attribuée à des acteurs liés aux Services de renseignement russes (RIS). 🎯 Cibles La campagne cible des individus à haute valeur de renseignement, notamment : Fonctionnaires américains actuels et anciens Personnel militaire Personnalités politiques Journalistes ⚙️ Mode opératoire Les acteurs RIS envoient des messages de phishing se faisant passer pour des comptes de support automatisé d’applications de messagerie (CMA). Les victimes sont incitées à : ...

🔍 Contexte Publié le 19 mars 2026 par SecureLayer7 (Sandeep Kamble, outil Bugdazz / modèle Rabit0), cet article présente la découverte et l’analyse technique de CVE-2026-22730, une vulnérabilité d’injection SQL de sévérité haute (CVSS 8.8) affectant le composant MariaDB vector store de Spring AI. La découverte a été faite lors d’un audit de pré-production pour une entreprise de services financiers déployant un assistant IA interne basé sur une architecture RAG. ...

🗓️ Contexte Source : Infosecurity Magazine, article de Phil Muncaster publié le 20 mars 2026, basé sur un blog post de Sysdig. L’article couvre l’exploitation rapide d’une vulnérabilité critique dans le framework open source Langflow. 🔍 Vulnérabilité concernée CVE-2026-33017 : vulnérabilité d’exécution de code à distance (RCE) non authentifiée dans Langflow, un framework visuel open source pour la création d’agents IA et de pipelines RAG Score CVSS : 9.3 Exploitation possible via une seule requête HTTP, sans aucune authentification requise Permet l’exécution de code Python arbitraire sur les instances Langflow exposées ⚡ Timeline d’exploitation 17 mars 2026 : publication de l’advisory CVE ~20 heures après : premières activités malveillantes observées sur les honeypots de Sysdig Aucun proof-of-concept (PoC) public n’existait au moment de l’exploitation 🎯 Activités malveillantes observées Scan automatisé de l’infrastructure depuis 4 adresses IP sources envoyant le même payload (probablement un seul attaquant) Déploiement de scripts Python d’exploitation personnalisés via un dropper de stage 2, indiquant un toolkit d’exploitation préparé Collecte de credentials : clés de bases de données, clés API, credentials cloud, fichiers de configuration Risque de compromission de la chaîne d’approvisionnement logicielle via les accès obtenus 📊 Tendances de compression des délais d’exploitation Selon l’initiative Zero Day Clock citée par Sysdig : le temps médian d’exploitation (TTE) est passé de 771 jours en 2018 à quelques heures en 2024 En 2023, 44% des vulnérabilités exploitées ont été weaponisées dans les 24 heures suivant la divulgation 80% des exploits publics apparaissent avant la publication de l’advisory officiel Selon Rapid7 : le délai médian entre publication d’une vulnérabilité et son inclusion dans le catalogue KEV de la CISA est passé de 8,5 jours à 5 jours en un an Délai médian de déploiement de patches par les organisations : ~20 jours 📰 Nature de l’article Article de presse spécialisée relayant une publication de recherche de Sysdig, visant à documenter la rapidité d’exploitation d’une vulnérabilité critique et illustrer la compression des délais d’exploitation dans le paysage des menaces actuel. ...

🔍 Contexte Publié le 19 mars 2026 par Security Affairs, cet article relaie un rapport de Lookout Threat Labs, en collaboration avec iVerify et Google GTIG, portant sur la découverte d’un nouveau kit d’exploitation iOS baptisé DarkSword, actif depuis fin 2025. 🛠️ Description du toolkit DarkSword est un kit d’exploitation iOS permettant une compromission complète de l’appareil via une chaîne de six vulnérabilités, dont trois zero-days : CVE-2025-31277 – Corruption mémoire JavaScriptCore (CVSS 8.8) CVE-2026-20700 – Contournement PAC via dyld (CVSS 8.6) (zero-day) CVE-2025-43529 – Corruption mémoire JavaScriptCore (CVSS 8.8) (zero-day) CVE-2025-14174 – Corruption mémoire ANGLE (CVSS 8.8) (zero-day) CVE-2025-43510 – Problème mémoire noyau iOS (CVSS 8.6) CVE-2025-43520 – Corruption mémoire noyau iOS (CVSS 8.6) Le kit cible les iPhones sous iOS 18.4 à 18.7 et nécessite une interaction utilisateur minimale (near zero-click). ...

🗓️ Contexte Source : Help Net Security, publié le 20 mars 2026. Un jury fédéral américain a condamné Cameron Curry, 27 ans, résident de Charlotte (Caroline du Nord), pour un schéma d’extorsion cybernétique ciblant une entreprise technologique internationale basée à Washington D.C. 👤 Profil de l’acteur Curry avait travaillé environ six mois comme analyste de données pour la société victime, lui donnant accès à des fichiers de données internes, des informations sur le personnel et des données d’entreprise. La menace a débuté après qu’il a appris que son contrat ne serait pas renouvelé. ...

🕵️ Contexte Publié le 22 mars 2026 sur le blog de Marc-Frédéric Gomez, ce document est une fiche de renseignement CTI (TLP:CLEAR) mise à jour sur le groupe APT iranien MERCURY/MuddyWater (alias Mango Sandstorm, Seedworm, Static Kitten, TA450, Boggy Serpens, Earth Vetala, TEMP.Zagros, G0069). Il constitue une synthèse analytique structurée à destination des équipes CTI. 🏴 Attribution & Sponsor Le groupe est subordonné au MOIS (Ministry of Intelligence and Security iranien), attribution formalisée dans un avis conjoint FBI/CISA/CNMF/NCSC-UK du 24 février 2022. Un lien opérationnel avec Storm-1084 (DarkBit) est documenté par Microsoft. Le groupe partage la même tutelle institutionnelle qu’APT39 mais constitue un cluster distinct. ...

🏥 Contexte Publié le 12 mars 2026 sur le site de l’Agence du Numérique en Santé (ANS), ce communiqué de presse présente les résultats de la première enquête nationale sur la cybersécurité des établissements de santé, réalisée en 2025 par le cabinet Occurrence (groupe IFOP) auprès de 719 directeurs d’établissements de santé. L’étude a été présentée lors des premières Rencontres de l’ANS à PariSanté Campus. 📊 Principaux enseignements de l’enquête 86% des directions générales s’impliquent dans les exercices de crise cyber (2023/2024) 72% des directeurs déclarent intervenir personnellement dans l’élaboration du plan de prévention des risques cyber En cas de cyberattaque, les impacts prioritaires identifiés sont : continuité des soins (4,1/5), coût financier (3,9/5), qualité de vie au travail (3,8/5) 9 directeurs sur 10 plébiscitent la mutualisation des expertises entre établissements d’un même territoire 42% des directeurs estiment que leur budget ne permet pas d’élaborer un plan de prévention cyber au bon niveau ⚠️ Données sur la menace 764 incidents cyber déclarés en 2025 dans les établissements de santé français, confirmant un niveau de menace élevé et persistant sur ce secteur. ...

🛠️ Contexte Publié le 22 mars 2026 sur GitHub (compte 0xROOTPLS), Fritter est présenté comme un outil offensif open-source, fork lourdement modifié du projet Donut de TheWover et Odzhan. 🔍 Description technique Fritter est un générateur de shellcode position-independent (PIC) conçu pour l’exécution en mémoire de plusieurs types de charges utiles : VBScript, JScript Exécutables (EXE), DLL Assemblages .NET L’outil se distingue de Donut par une refonte complète des couches internes : ...

🔍 Contexte Publié le 20 mars 2026 par Jamf Threat Labs (Thijs Xhaflaire), cet article détaille l’extension de la campagne GhostClaw/GhostLoader, initialement documentée par JFrog Security Research début mars 2026. Jamf a identifié au moins huit nouveaux échantillons et des vecteurs d’infection inédits via des dépôts GitHub malveillants. 🎯 Vecteurs d’infection Deux méthodes de distribution parallèles ont été observées : Dépôts GitHub malveillants : impersonnent des outils légitimes (trading bots, SDKs, utilitaires développeurs). Certains dépôts affichent plusieurs centaines d’étoiles (ex. TradingView-Claw : 386 étoiles). Les dépôts sont d’abord peuplés de code bénin avant introduction de composants malveillants. Workflows IA (OpenClaw) : des fichiers SKILL.md ciblent les agents de développement IA qui installent automatiquement des “skills” depuis GitHub. Le comportement malveillant est déclenché lors de la phase d’installation (install.sh). ⚙️ Chaîne d’exécution multi-étapes Bootstrap (install.sh) : récupère et exécute le script initial, installe Node.js dans un répertoire utilisateur (sans privilèges élevés), utilise curl -k (TLS désactivé). Vol de credentials (setup.js) : script JavaScript fortement obfusqué. Affiche de faux indicateurs de progression, présente une fausse invite de mot de passe en terminal, valide les credentials via dscl . -authonly. Utilise AppleScript pour des dialogues natifs imitant des prompts macOS. Demande l’accès Full Disk Access (FDA). Récupération du payload secondaire : contacte le C2 trackpipe[.]dev avec un UUID unique par dépôt, reçoit un payload chiffré, le déchiffre et l’écrit dans /tmp/sys-opt-{random}.js, puis l’exécute en processus détaché. Persistance : le payload secondaire (GhostLoader) se relocalise dans ~/.cache/.npm_telemetry/monitor.js. Anti-forensics (postinstall.js) : efface le terminal, installe le package npm antigravity (package légitime ancien, utilisé comme leurre), affiche des messages de succès factices. 🌐 Infrastructure C2 Domaine unique partagé : trackpipe.dev Identifiants UUID distincts par dépôt pour segmenter l’activité Variable d’environnement NODE_CHANNEL transmise au payload secondaire 🔗 Campagnes connexes L’article mentionne des campagnes similaires récentes : Glassworm et PolinRider, utilisant des techniques analogues de supply chain logicielle. ...