DNS-C2

🔍 Contexte L’équipe de recherche de Socket a publié le 19 mai 2026 une analyse technique détaillée d’une attaque de chaîne d’approvisionnement ciblant l’écosystème Go. Le module malveillant github.com/shopsprint/decimal imite la bibliothèque légitime github.com/shopspring/decimal (38 634 importateurs connus), en ne différant que d’un seul caractère dans le nom du vendeur (shopsprint vs shopspring). 🗓️ Chronologie de l’attaque Le module typosquat a été publié pour la première fois le 2017-11-08, avec sept versions non malveillantes servant de miroir fidèle de la bibliothèque légitime. Le 2023-08-19, deux versions ont été publiées à sept minutes d’intervalle : ...

Selon Unit 42, un acteur de menace, identifié comme Storm-2603, exploite des vulnérabilités SharePoint à travers un ensemble d’activités nommé CL-CRI-1040. Ce groupe utilise un outil de malware sophistiqué appelé Project AK47, démontrant une motivation financière. Le malware Project AK47 comprend plusieurs composants, notamment le cheval de Troie AK47C2 qui utilise les protocoles DNS et HTTP pour communiquer, ainsi que le rançongiciel AK47/X2ANYLOCK qui emploie le chiffrement AES/RSA et ajoute l’extension .x2anylock aux fichiers compromis. Le malware intègre des mécanismes de chargement de DLL et utilise une clé XOR codée en dur ‘VHBD@H’. ...