Havoc

🎯 Contexte Publié le 18 avril 2026 par la Microsoft Defender Security Research Team, cet article documente une chaîne d’intrusion complète exploitant les fonctionnalités de collaboration inter-tenant de Microsoft Teams pour mener des attaques d’ingénierie sociale, d’accès distant non autorisé et d’exfiltration de données. 🔗 Chaîne d’attaque L’intrusion se déroule en plusieurs étapes distinctes : Stage 1 – Contact initial (T1566.003) : L’attaquant initie une communication Teams depuis un tenant externe en se faisant passer pour du personnel IT/helpdesk. Des leurres tels que « Microsoft Security Update », « Spam Filter Update » ou « Account Verification » sont utilisés. Le vishing peut compléter ou remplacer la messagerie. ...

🗓️ Contexte Source : The Record Media, publié le 3 avril 2026. La CISA (Cybersecurity and Infrastructure Security Agency) a ordonné aux agences fédérales américaines de corriger CVE-2026-3502 avant le 16 avril 2026, confirmant l’exploitation active de cette vulnérabilité dans le logiciel de visioconférence TrueConf. 🎯 Campagne TrueChaos Les chercheurs de Check Point Research ont documenté une campagne baptisée TrueChaos, attribuée à des acteurs chinois, active depuis début 2026 et ciblant des entités gouvernementales en Asie du Sud-Est. L’objectif présumé est l’espionnage. ...

🔍 Contexte Publié le 31 mars 2026 par Check Point Research, ce rapport documente l’opération TrueChaos, une campagne d’espionnage ciblée contre des entités gouvernementales en Asie du Sud-Est, exploitant une vulnérabilité zero-day dans le client TrueConf, une plateforme de vidéoconférence on-premises. 🐛 Vulnérabilité : CVE-2026-3502 CVSS score : 7.8 La faille réside dans l’absence de vérification d’intégrité et d’authenticité dans le mécanisme de mise à jour du client TrueConf Un attaquant contrôlant le serveur TrueConf on-premises peut remplacer le paquet de mise à jour légitime par un exécutable arbitraire Le client fait confiance au serveur sans validation, permettant la distribution et l’exécution de fichiers malveillants sur tous les endpoints connectés Correctif disponible dans TrueConf Windows client version 8.5.3 (mars 2026) ⚔️ Déroulement de l’attaque L’attaquant compromet le serveur TrueConf on-premises d’un département IT gouvernemental Il remplace le paquet de mise à jour (trueconf_client.exe) par une version weaponisée Un lien est envoyé aux cibles pour déclencher le client TrueConf et afficher une invite de mise à jour Le paquet malveillant (construit avec Inno Setup) installe légitimement la version 8.5.2 tout en déposant : poweriso.exe (binaire bénin) 7z-x64.dll (implant malveillant) dans c:\programdata\poweriso\ DLL side-loading via poweriso.exe pour charger 7z-x64.dll 🛠️ Post-exploitation Reconnaissance : tasklist, tracert 8.8.8.8 Téléchargement via FTP depuis 47.237.15[.]197 d’un loader iscsiexe.dll dans update.7z Bypass UAC via iscsicpl.exe (SysWOW64) et DLL search-order hijacking Modification du PATH utilisateur : HKCU\environment Persistance via HKCU\Software\Microsoft\Windows\CurrentVersion\Run\UpdateCheck pointant vers PowerISO.exe Déploiement final d’un implant Havoc communiquant avec l’infrastructure C2 de l’acteur 🎯 Attribution Check Point Research attribue avec confiance modérée cette opération à un acteur à nexus chinois, sur la base de : ...

🔍 Contexte Publié le 30 mars 2026 par Check Point Research, ce rapport détaille l’Opération TrueChaos, une campagne d’espionnage ciblée découverte début 2026. L’attaque exploite une vulnérabilité zero-day (CVE-2026-3502, CVSS 7.8) dans le client Windows de TrueConf, une plateforme de vidéoconférence déployée dans des environnements gouvernementaux, de défense et d’infrastructure critique. 🎯 Vecteur d’attaque Les attaquants ont compromis un serveur TrueConf on-premises opéré par une organisation IT gouvernementale, puis ont remplacé une mise à jour légitime du client par une mise à jour malveillante. Le client TrueConf ne vérifiait pas suffisamment l’intégrité ou l’authenticité du paquet de mise à jour avant exécution, permettant ainsi : ...

🔍 Contexte Publié le 16 mars 2026 par le Google Threat Intelligence Group (GTIG), ce rapport analyse les tactiques, techniques et procédures (TTPs) observées lors des incidents ransomware traités par Mandiant Consulting en 2025. Il couvre des victimes situées en Asie-Pacifique, Europe, Amérique du Nord et du Sud, dans presque tous les secteurs d’activité. 📊 Paysage ransomware 2025 Record historique de posts sur les Data Leak Sites (DLS) en 2025, dépassant 2024 de près de 50% La rentabilité globale est en déclin : taux de paiement de rançon au plus bas historique en Q4 2025 (Coveware), demande moyenne réduite d’un tiers à 1,34 M$ en 2025 contre 2 M$ en 2024 (Sophos) Près de la moitié des victimes ont pu restaurer depuis des sauvegardes en 2024 (contre 28% en 2023 et 11% en 2022) LockBit, ALPHV, Basta et RansomHub ont été perturbés ou ont disparu ; Qilin et Akira ont comblé le vide REDBIKE (Akira) est la famille ransomware la plus déployée : ~30% des incidents Montée en puissance des opérations de data theft extortion seule (sans chiffrement) Ciblage croissant des petites organisations (moins de 200 employés) Adoption de technologies Web3 (ICP blockchain, Polygon smart contracts) pour la résilience des infrastructures Intégration de l’IA dans les opérations (négociations, analyse des victimes) Doublement des familles ransomware cross-platform (Windows + Linux) 🎯 Vecteurs d’accès initial Exploitation de vulnérabilités : 1/3 des incidents (VPNs et firewalls principalement) Fortinet : CVE-2024-21762, CVE-2024-55591, CVE-2019-6693 SonicWall : CVE-2024-40766 Palo Alto : CVE-2024-3400 Citrix : CVE-2023-4966 Microsoft SharePoint : CVE-2025-53770, CVE-2025-53771 (zero-day par UNC6357) SAP NetWeaver : CVE-2025-31324 CrushFTP : CVE-2025-31161 CVE-2025-8088 exploité en zero-day par UNC2165 CVE-2025-61882 exploité contre Oracle EBS (CL0P) Credentials volés : 21% des incidents identifiés (VPN, RDP) Malvertising / SEO poisoning : UNC6016 (→ NITROGEN, RHYSIDA), UNC2465 (→ SMOKEDHAM) Bruteforce : attaques prolongées sur VPNs (ex. Daixin sur près d’un an) Accès via subsidiaires ou tiers (réseaux intermédiaires) Ingénierie sociale : UNC5833 via Microsoft Teams + Quick Assist 🔧 TTPs post-compromission Établissement de foothold : ...

🔍 Contexte Publié le 22 mars 2026 sur GitHub par InfinityCurveLabs, ce dépôt présente vm-filesystem, un module de bytecode Firebeam conçu pour interagir avec le système de fichiers distant dans le cadre du framework offensif Havoc. ⚙️ Fonctionnement technique Le module repose sur deux mécanismes principaux : Monkey-patching Python : remplacement dynamique des méthodes utilisées par le File Browser de Havoc pour émettre des tâches vers l’agent, substituées par l’interprétation et l’exécution de bytecode Firebeam équivalent. Machine virtuelle Firebeam : exécution de bytecode permettant des opérations sur le système de fichiers sans nécessiter l’intégration du filesystem dans l’agent lui-même. 🛠️ Capacités exposées Les opérations supportées incluent : ...