Anti-Analyse

Source: Jamf Threat Labs (blog Jamf). Contexte: publication du 14 janvier 2026 présentant des découvertes originales issues de l’ingénierie inverse d’un échantillon de Predator, en complément des travaux de Google Threat Intelligence Group (GTIG) de 2024. Jamf expose une architecture de surveillance anti-analyse centrée sur la classe C++ CSWatcherSpawner::CSWatcherSpawner et sa fonction check_perform(), avec un système de codes d’erreur (301–311) qui envoie au C2 un diagnostic précis avant auto-nettoyage. Plusieurs codes sont mis en évidence (p. ex. 311 pour multi‑instances, 309 pour restriction géographique, 310 pour console active, 304 pour outils de sécurité), tandis que 302, 303, 305, 306 sont absents dans cet échantillon. ...

Trend Micro (Trend Research) publie une analyse technique de la nouvelle version « LockBit 5.0 », apparue après l’opération policière Cronos de 2024, confirmant des variantes Windows, Linux et ESXi et une nette montée en sophistication. Le groupe poursuit une stratégie cross‑platform: variantes dédiées pour Windows, Linux et VMware ESXi. Les échantillons partagent des comportements clés: extensions de 16 caractères aléatoires pour les fichiers chiffrés, éviction des systèmes russophones (langue/géolocalisation), effacement des journaux d’événements post‑chiffrement, et un écosystème RaaS avec note de rançon et site de fuite incluant un chat de négociation. 🚨 ...