Posts

Source: Lab52 — Dans une analyse technique, Lab52 décrit une campagne DreamJobs attribuée au groupe Lazarus visant le secteur UAV, mettant en lumière des chargeurs modulaires (« DreamLoaders ») déployés via DLL sideloading, applications trojanisées et communications C2 appuyées sur des services Microsoft. • Le rapport identifie trois variantes de loaders et une forte réutilisation de code entre artefacts (≈85% de similarité). Les attaquants cherchent notamment à obtenir des identifiants d’administrateurs par des moyens trompeurs, en combinant évasion avancée, charges chiffrées et services cloud Microsoft ☁️. ...

Selon Sophos News (section Emerging Technology Security), des chercheurs décrivent « LLM salting », une technique de fine-tuning conçue pour durcir les grands modèles de langage face aux attaques de jailbreak, avec une évaluation sur LLaMA‑2‑7B et Vicuna‑7B. 🔒🧂 Présentation: La méthode « LLM salting », inspirée du salage de mots de passe, protège contre les jailbreaks en faisant tourner les représentations internes de refus. Elle vise à contrer le risque créé par la réutilisation d’architectures de LLM identiques, en empêchant la réutilisation de jailbreaks pré‑calculés. ...

Source: Check Point Blog (Check Point Research), 23 octobre 2025. Contexte: après la disruption d’«Operation Cronos» début 2024, le groupe de ransomware LockBit réapparaît, relance son modèle RaaS et extorque déjà de nouvelles victimes. • Retour confirmé et nouvelles victimes 🚨: CPR indique que LockBit est de nouveau opérationnel et a ciblé une douzaine d’organisations en septembre 2025. Environ la moitié des cas impliquent la nouvelle variante LockBit 5.0 (« ChuongDong »), le reste étant attribué à LockBit Black. ...

Selon BleepingComputer, à partir du mois prochain, Mozilla exigera des développeurs d’extensions Firefox de divulguer si leurs modules collectent ou partagent des données utilisateur avec des tiers. Points clés: Produit concerné: extensions Firefox Changement: obligation de divulgation par les développeurs Portée de la divulgation: collecte et/ou partage de données utilisateur avec des tiers Calendrier: entrée en vigueur dès le mois prochain Cet article est une annonce d’actualité produit dont l’objectif principal est d’informer sur une nouvelle exigence de divulgation pour les extensions Firefox. ...

Selon Horizon3.ai, des frameworks de pentest IA open source (notamment Cyber-AutoAgent et Villager) créent des risques de conformité majeurs en transmettant des données sensibles de tests d’intrusion vers des fournisseurs LLM externes (ex. OpenAI, Anthropic). Le problème principal n’est pas l’entraînement des modèles, mais l’exfiltration immédiate et non autorisée de données vers des tiers non approuvés, contournant DLP et SIEM, et violant des exigences PCI, HIPAA, CJIS et FedRAMP. Côté technique, ces outils enchaînent reconnaissance et exploitation en envoyant la sortie des commandes aux endpoints LLM via des appels API, générant une fuite silencieuse au travers d’un trafic HTTPS légitime. Ils utilisent souvent des clés API publiques, ne disposent pas de contrôles de configuration pour restreindre les flux, embarquent des bibliothèques de télémétrie tierces et n’offrent pas de pistes d’audit. ...

Source: Proofpoint (blog Threat Insight). Proofpoint annonce PDF Object Hashing, un outil open source de détection et de chasse aux menaces centré sur la structure des documents PDF. 🧰 Fonctionnement. L’outil parse les PDFs pour extraire les types d’objets (Pages, Catalog, XObject/Image, Annots/Link, etc.) dans leur ordre d’apparition, en ignorant les paramètres spécifiques. Ces types sont concaténés puis hachés pour produire une empreinte unique (analogue à un imphash pour les PE). Cette approche contourne la complexité du format PDF (espaces multiples, variantes de tables xref, chiffrement) en s’appuyant sur la hiérarchie documentaire plutôt que sur le contenu déchiffré. ...

Red Canary publie son rapport de threat intelligence de septembre 2025, détaillant les menaces les plus observées dans les environnements clients et comparant plusieurs trojans similaires. 🔎 En tête, Tampered Chef apparaît comme un malware Electron/Node.JS qui traite du contenu stéganographié exécutant du code JavaScript arbitraire. Il se fait passer pour des applications de recettes ou de calendrier, avec une distribution via encarts/‍bannières publicitaires promouvant des outils de comptage de calories. Ses différenciateurs techniques clés incluent une architecture Electron Node.JS, des communications C2 basées sur la stéganographie, et une transition trompeuse de PUP vers malware. ...

Selon Seqrite, en août 2025, le groupe Scattered LAPSUS$ Shiny Hunters (SLSH) a émergé en combinant des tactiques de LAPSUS$, ShinyHunters et Scattered Spider, et en opérant un modèle d’Extortion-as-a-Service. Les cibles incluent les secteurs BFSI, technologie et gouvernement. Le groupe est lié à des intrusions touchant Discord, l’écosystème Salesforce et Red Hat, via vishing et vol d’identifiants. SLSH a exploité deux vulnérabilités critiques (CVSS 9.9) : CVE-2025-61882 permettant une exécution de code à distance non authentifiée sur Oracle E‑Business Suite, et CVE-2025-10725 permettant une élévation de privilèges dans Red Hat OpenShift AI. ...

Source: SpecterOps — Dans une publication de recherche, les chercheurs détaillent des techniques permettant d’extraire des identifiants depuis des systèmes Windows entièrement patchés, même avec Credential Guard activé, en abusant de Remote Credential Guard (RCG). Ils montrent que, depuis des contextes non privilégiés comme SYSTEM, il est possible d’obtenir des réponses NTLMv1 qui peuvent être craquées pour récupérer des NT hashes. De manière surprenante, l’approche fonctionne aussi lorsque Credential Guard est désactivé. Microsoft a été notifié mais a décliné la prise en charge du problème. Un outil de preuve de concept, DumpGuard, a été publié. 🧪🔧 ...

Selon GBHackers Security, le Socket Threat Research Team a mis au jour une nouvelle vague de « spamware » visant les utilisateurs de WhatsApp Web, avec 131 extensions Chrome malveillantes actives sur le Chrome Web Store. ⚠️ 131 extensions Chrome malveillantes ciblent les utilisateurs de WhatsApp Web Des chercheurs de l’équipe Socket Threat Research ont découvert 131 extensions Chrome malveillantes sur le Chrome Web Store, utilisées pour automatiser des campagnes de spam à grande échelle visant principalement les utilisateurs de WhatsApp Web au Brésil. Ces extensions, bien qu’elles ne diffusent pas de malware classique, agissent comme des outils d’automatisation à haut risque, violant les politiques de Google et de WhatsApp. ...