macOS.Gaslight : backdoor Rust DPRK avec injection de prompt anti-LLM et C2 Telegram
🔍 Contexte Publié le 23 juin 2026 par SentinelLABS (Phil Stokes), cet article présente l’analyse technique d’un implant macOS baptisé macOS.Gaslight, découvert après une mise à jour XProtect d’Apple début juin 2026. L’échantillon avait été soumis sur VirusTotal le 22 mai 2026 et restait non détecté par les moteurs statiques au moment de la publication. 🎯 Attribution et cluster SentinelLABS attribue avec haute confiance cet implant à un cluster d’activité macOS aligné DPRK (Corée du Nord). Apple détecte l’échantillon sous la règle XProtect MACOS_BONZAI_COBUCH, famille associée par SentinelLABS à l’activité nord-coréenne. Un échantillon BONZAI frère est également détecté par la règle AIRPIPE, également liée à la Corée du Nord. ...