IOC

🗓️ Contexte Article publié le 23 avril 2026 par The Register (Jessica Lyons), relatant le témoignage exclusif de Boris Vujičić, développeur web basé en Serbie, victime d’une arnaque à l’emploi hautement sophistiquée attribuée à des acteurs liés au gouvernement nord-coréen. 🎭 Déroulement de l’attaque L’attaque a débuté par un message LinkedIn d’un faux recruteur prétendant représenter une entreprise blockchain fictive nommée Genusix Labs. L’infrastructure de la campagne comprenait : Un site web d’apparence légitime avec photos de l’équipe dirigeante Un profil LinkedIn cohérent Des interviews Zoom caméra activée avec des personnages convaincants (dont une RH nommée Zam Villalon) Des ingénieurs fictifs correspondant aux photos du site Lors du second entretien technique, les attaquants ont proposé un test de codage en direct via un dépôt GitHub. Après avoir rassuré la victime (« Feel free to look for backdoors »), ils l’ont amenée à exécuter le code. ...

🔍 Contexte Publié le 24 avril 2026 par DomainTools (SecuritySnacks), cet article présente une analyse technique approfondie de la campagne AiFrame, active depuis au moins début 2025, ciblant les utilisateurs de navigateurs Chrome via des extensions malveillantes. 🎯 Extension principale : faux Google Authenticator Une extension Chrome intitulée “2FA Authenticator” (ID : ebhcbenbgjmaebpgbldimndmfomjmphd), publiée le 2 avril 2026 avec plus de 30 000 téléchargements, usurpe l’identité de Google Authenticator. Elle utilise : ...

🔍 Contexte Publié le 23 avril 2026 par le Citizen Lab (Université de Toronto), ce rapport de recherche documente deux campagnes distinctes de surveillance télécom menées par des acteurs désignés STA1 et STA2, identifiés comme des vendeurs commerciaux de surveillance (CSV) opérant probablement pour le compte d’États. L’investigation a débuté fin 2024 suite à l’analyse de logs de pare-feu de signalisation mobile, en collaboration avec Cellusys, Telenor Linx, Roaming Audit et P1 Security. ...

🔍 Contexte Publié le 22 avril 2026 par JFrog Security Research, cet article documente la compromission du package PyPI xinference (versions 2.6.0, 2.6.1 et 2.6.2) dans le cadre d’une campagne multi-écosystème attribuée au groupe TeamPCP. Les versions malveillantes ont été retirées (yanked) par les mainteneurs après signalement d’utilisateurs. 🎯 Nature de l’attaque Il ne s’agit pas d’un typosquatting mais d’un détournement de la ligne de release légitime de xinference. Le code malveillant est injecté dans xinference/__init__.py, ce qui le rend exécuté dès l’import du package. Un payload base64 est passé à un sous-processus Python détaché (subprocess.Popen) qui s’exécute en arrière-plan, dissimulé du processus principal. ...

🗓️ Contexte Article publié le 23 avril 2026 par Sebastian Wick (mainteneur de Flatpak) sur son blog personnel. L’article constitue un post-mortem technique détaillé d’une vulnérabilité critique découverte dans Flatpak suite à un audit de sécurité réalisé par Codean Labs. 🔍 Problème fondamental L’article expose une classe de vulnérabilités liées à la gestion des chemins de fichiers dans les systèmes avec frontières de sécurité. Le problème central est que les chaînes de chemin (path strings) ne sont pas des références stables à des fichiers : entre le moment où un chemin est vérifié et celui où il est utilisé, le système de fichiers peut être modifié. Cette classe d’attaque est connue sous le nom de TOCTOU (Time-Of-Check to Time-Of-Use). ...

🔍 Contexte Publié le 23 avril 2026 par The Register, cet article couvre une présentation donnée à la conférence Black Hat Asia à Singapour par Ilan Kalendarov et Ben Zamir de la société de sécurité Cymulate. Leur talk, intitulé “Breaking Hybrid Boundaries Across Azure and Windows”, porte sur des vulnérabilités découvertes dans Microsoft Windows Admin Center (WAC). 🛡️ Vulnérabilités identifiées Quatre CVEs ont été découvertes et signalées à Microsoft, qui a depuis publié des correctifs : ...

🔍 Contexte Publié le 21 avril 2026 par Hunt.io, cet article présente une analyse technique approfondie de DinDoor, un backdoor basé sur le runtime Deno, variante du Tsundere Botnet, précédemment documenté par Broadcom en mars 2026 et attribué au groupe APT iranien Seedworm (MuddyWater). 🎯 Vecteur d’infection et chaîne d’exécution Deux échantillons MSI ont été analysés : migcredit.pdf.msi (SHA256: 7b793c54a927da36649eb62b9481d5bcf1e9220035d95bbfb85f44a6cc9541ae) : utilise une double extension pour se faire passer pour un PDF, cible apparente d’une entreprise russe de microcrédit (MigCredit). Dépose Juliet_widget15.ps1 dans AppData\Local\documents\, écrit le payload JS sur disque (Uniform_system17.js). Installer_v1.21.66.msi (SHA256: 2a09bbb3d1ddb729ea7591f197b5955453aa3769c6fb98a5ef60c6e4b7df23a5) : construit avec WiX Toolset, signé avec le certificat ‘Amy Cherne’ lié à MuddyWater et CastleRAT. Exécute error.vbs pour afficher une fausse erreur, puis lance silencieusement Viper_controller36.vbs → tango_utility84.ps1. Le payload JS est exécuté entièrement en mémoire via URI data:application/javascript;base64. ⚙️ Comportement du payload Deno Mutex via TCP : bind sur 127.0.0.1:10091 (migcredit) ou 127.0.0.1:10044 (Installer) ; si le port est occupé, Deno.exit(1) est appelé. Fingerprinting : hash dual rolling initialisé à 0x9E3779B9, combinant USERNAME, hostname, mémoire totale et OS release → identifiant hexadécimal 16 caractères envoyé à chaque requête C2. Health check : GET /health avec timeout 3 secondes, attend HTTP 200 avec corps ok. C2 URL (Installer) : http://serialmenot[.]com/mv2/<JWT>/<victim_hash> avec JWT hardcodé exposant des métadonnées de campagne. Détection sandbox : énumération GPU via Get-WmiObject Win32_VideoController. Beacon : toutes les secondes (Installer) ou toutes les 30 secondes (migcredit), rotation d’index C2 en cas d’échec. 🌐 Infrastructure C2 et pivoting La réponse HTTP des serveurs DinDoor présente une empreinte distinctive : ...

🔍 Contexte Publié le 23 avril 2026 par SentinelLabs (Vitaly Kamluk & Juan Andrés Guerrero-Saade), cet article présente l’analyse technique approfondie d’un implant APT inédit nommé fast16, découvert dans les archives de la fuite ShadowBrokers. L’artefact daterait d’environ 2005, soit cinq ans avant la découverte publique de Stuxnet. 🧩 Composants de l’implant L’implant fast16 est constitué de deux éléments principaux : svcmgmt.exe : binaire porteur (carrier) écrit en C++, embarquant un payload Lua bytecode (magic bytes 1B 4C 75 61). Il gère la propagation via des « wormlets », vérifie la présence de firewalls personnels, et communique via un named pipe \.pipep577. fast16.sys : driver de système de fichiers Windows (type Start=0 Type=2), enregistré via IoRegisterFsRegistrationChange, interceptant les IRP (IRP_MJ_CREATE, IRP_MJ_READ, IRP_MJ_CLOSE, etc.) pour patcher à la volée des données en virgule flottante dans des fichiers ciblés. ⚙️ Mécanismes techniques Le carrier vérifie la présence de 18 solutions de sécurité (Symantec, Kaspersky, ZoneLabs, McAfee, F-Secure, etc.) via des clés de registre avant propagation. Le driver implémente un moteur de patching basé sur des règles : il recherche des patterns binaires spécifiques dans des fichiers .EXE et corrompt des calculs flottants de manière chirurgicale. Les artefacts compilateur (Intel Compiler, sections .xdata/.pdata) et les chaînes de version @(#)par.h $Revision: 1.3 $ permettent d’établir une filiation avec des projets internes. Le chemin PDB C:\buildy\driver\fd\i386\fast16.pdb confirme un environnement de build dédié. 🎯 Cibles identifiées L’analyse des patterns de patching identifie trois candidats logiciels cibles : ...

🔍 Contexte Publié le 23 avril 2026 par Andy Greenberg sur Wired, cet article rapporte la présentation des chercheurs Vitaly Kamluk et Juan Andrés Guerrero-Saade de SentinelOne à la conférence Black Hat Asia à Singapour. Ils y dévoilent leur analyse complète du malware Fast16, dont l’existence était connue depuis 2017 mais dont le fonctionnement réel était resté inexpliqué pendant 21 ans. 🧬 Découverte et historique 2005 : compilation du driver kernel Fast16.sys, date probable de création du malware 2017 : révélation de l’existence de Fast16 via la fuite des outils NSA par les Shadow Brokers, dans l’outil Territorial Dispute — avec la mention interne “NOTHING TO SEE HERE—CARRY ON” 2019 : Juan Andrés Guerrero-Saade retrouve un échantillon sur VirusTotal sous le nom svcmgmt.exe, contenant le driver Fast16.sys 2026 : Vitaly Kamluk procède au reverse engineering complet, révélant la véritable nature du malware ⚙️ Fonctionnement technique Fast16 n’est pas un rootkit comme supposé initialement (cinq outils IA de premier plan l’ont incorrectement classifié comme tel). Il s’agit d’un malware de sabotage à propagation automatique : ...

🔍 Contexte Publié le 23 avril 2026 par ESET Research (WeLiveSecurity), cet article présente la découverte d’un groupe APT jusqu’alors inconnu, baptisé GopherWhisper, identifié pour la première fois en janvier 2025 lors de l’analyse d’un système appartenant à une entité gouvernementale en Mongolie. 🎯 Attribution et ciblage Le groupe est considéré comme aligné avec la Chine sur la base de plusieurs éléments : Les messages Slack et Discord ont été envoyés majoritairement entre 8h et 17h UTC+8 (heure standard de Chine) Les métadonnées Slack indiquent un fuseau horaire configuré en UTC+8 Le comportement d’une machine opérateur (VM VMware) correspond également à ce fuseau horaire Aucun chevauchement de code ou de TTPs avec un groupe connu n’a été identifié, justifiant la création d’une nouvelle attribution. ...