IOC

🔍 Contexte Article publié le 26 mars 2026 par Patrick Wardle (Objective-See Foundation) sur son blog technique. L’article documente une analyse par rétro-ingénierie des nouveaux événements Endpoint Security (ES) introduits dans macOS 26.4, laissés sans documentation publique par Apple sous la forme ES_EVENT_TYPE_RESERVED_*. 🧩 Découverte des événements réservés Avec la sortie du MacOSX26.4.sdk, Apple a ajouté 7 nouveaux types d’événements ES (RESERVED_0 à RESERVED_6) sans les documenter ni les nommer. Wardle tente de s’y abonner via es_subscribe : ...

🎵 Contexte Article publié le 26 mars 2026 sur Ars Technica, relatant les développements judiciaires aux États-Unis (SDNY) opposant Spotify et les majors musicales (Sony, Universal Music Group, Warner) à la bibliothèque fantôme Anna’s Archive. ⚖️ Procédure judiciaire Les plaignants ont déposé une demande de jugement par défaut après qu’Anna’s Archive n’a jamais répondu aux procédures judiciaires. Le montant réclamé s’élève à 322 millions de dollars : 300 M$ à Spotify (violations DMCA, $2 500 par acte de contournement) 7,5 M$ à Sony 7,5 M$ à Universal Music Group 7,2 M$ à Warner 22,2 M$ en dommages pour violation du copyright (150 000 $/œuvre) 🔓 Nature de l’incident Anna’s Archive a scrapé 86 millions de fichiers musicaux depuis Spotify en contournant ses mesures de protection technologiques. Le 9 février 2026, 2,8 millions de fichiers ont été publiés sous forme de torrents, constituant selon les plaignants une violation flagrante d’une injonction préliminaire déjà en vigueur. ...

🔍 Contexte Publié le 26 mars 2026 sur GitHub par l’utilisateur Meowmycks, le projet trustme est un Beacon Object File (BOF) conçu pour s’intégrer à Cobalt Strike et permettre une élévation de privilèges avancée sur les systèmes Windows. 🎯 Objectif L’outil élève un beacon Cobalt Strike depuis un contexte administrateur vers NT AUTHORITY\SYSTEM avec le SID NT SERVICE\TrustedInstaller dans les groupes du token. Cela permet de modifier des fichiers, clés de registre et objets protégés par TrustedInstaller, inaccessibles même avec les droits SYSTEM classiques. ...

🔍 Contexte Le 26 mars 2026, la Cyber Security Agency of Singapore (CSA) a publié une alerte de sécurité (AL-2026-028) relayant les correctifs publiés par TP-Link pour plusieurs vulnérabilités critiques affectant ses routeurs de la gamme Archer NX200, NX210, NX500 et NX600. 🚨 Vulnérabilités identifiées Quatre CVE sont concernées : CVE-2025-15517 : Contournement d’authentification via des endpoints HTTP exposés, permettant à un attaquant non authentifié d’effectuer des actions administratives privilégiées (upload de firmware, modification de configuration). CVE-2025-15518 & CVE-2025-15519 : Exécution de commandes arbitraires sur le système d’exploitation par un attaquant authentifié avec des privilèges administratifs, impactant la confidentialité, l’intégrité et la disponibilité. CVE-2025-15605 : Faille permettant à un attaquant non authentifié de déchiffrer, modifier et rechiffrer les fichiers de configuration, compromettant leur confidentialité et intégrité. 📦 Produits et versions affectés Archer NX600 : v3.0 < 1.3.0 Build 260309 / v2.0 < 1.3.0 Build 260311 / v1.0 < 1.4.0 Build 260311 Archer NX500 : v2.0 < 1.5.0 Build 260309 / v1.0 < 1.3.0 Build 260311 Archer NX210 : v3.0 < 1.3.0 Build 260309 / v2.0 & v2.20 < 1.3.0 Build 260311 Archer NX200 : v3.0 < 1.3.0 Build 260309 / v2.20 < 1.3.0 Build 260311 / v2.0 < 1.3.0 Build 260311 / v1.0 < 1.8.0 Build 260311 📋 Type d’article Il s’agit d’une alerte de sécurité officielle émise par la CSA Singapour, dont le but principal est d’informer les utilisateurs et administrateurs de l’existence de correctifs critiques et de les inciter à mettre à jour leurs équipements immédiatement. ...

🗓️ Contexte Publié le 28 mars 2026 par BleepingComputer, cet article rapporte une attaque de la chaîne d’approvisionnement ciblant le package PyPI officiel Telnyx SDK, détecté par les firmes Aikido, Socket et Endor Labs, et attribué au groupe TeamPCP. 🎯 Déroulement de l’attaque Les attaquants ont compromis le compte de publication PyPI de Telnyx via des credentials volés Version 4.87.1 publiée à 03:51 UTC avec un payload malveillant non fonctionnel Version 4.87.2 publiée à 04:07 UTC avec le payload corrigé et opérationnel Le code malveillant est injecté dans telnyx/_client.py, s’exécutant automatiquement à l’import du module 🦠 Comportement du malware Sur Linux/macOS : ...

🌐 Contexte Source : socket.dev, publié le 28 mars 2026. Une campagne de phishing coordonnée et à grande échelle cible les développeurs directement sur la plateforme GitHub, en exploitant la fonctionnalité GitHub Discussions pour diffuser de fausses alertes de sécurité liées à Visual Studio Code. 🎯 Mode opératoire Les attaquants créent des milliers de GitHub Discussions quasi-identiques imitant des avis de sécurité légitimes, avec des titres tels que : “Visual Studio Code – Severe Vulnerability – Immediate Update Required” “Critical Exploit – Urgent Action Needed” Chaque post référence des CVE fabriqués et des plages de versions fictives, et incite les développeurs à télécharger une version “corrigée” via un lien externe. Les publications sont effectuées par des comptes récemment créés ou peu actifs, et taguent massivement des développeurs pour amplifier la portée via le système de notifications email de GitHub. ...

🔍 Contexte Article publié le 27 mars 2026 par Praetorian (blog technique). Il s’agit d’une analyse technique détaillée de la vulnérabilité CVE-2025-33073, portant sur l’exploitation de la délégation Kerberos non contrainte dans les environnements Windows Active Directory. ⚠️ Vulnérabilité analysée CVE-2025-33073 affecte les hôtes Windows membres de domaine ne disposant pas du signature SMB activée. Elle permet à tout utilisateur de domaine disposant d’un accès réseau d’obtenir des privilèges SYSTEM sur un serveur membre non patché, sans nécessiter d’accès administrateur local préalable. ...

🔍 Contexte Publié le 28 mars 2026 par Stefan Dasic sur le blog Malwarebytes, cet article présente la découverte d’un nouvel infostealer macOS initialement nommé NukeChain, puis renommé Infiniti Stealer après la divulgation publique de son panneau de contrôle. Il s’agit, selon les auteurs, de la première campagne macOS documentée combinant la technique ClickFix et un stealer Python compilé avec Nuitka. 🎯 Vecteur d’infection : ClickFix via fausse page CAPTCHA L’infection débute sur le domaine update-check[.]com, qui affiche une réplique de page de vérification humaine Cloudflare. L’utilisateur est invité à : ...

🗓️ Contexte Article publié le 28 mars 2026 par The Record (Recorded Future News). Il rapporte la confirmation par le FBI et le Département de Justice américain d’une intrusion dans le compte email personnel du directeur du FBI Kash Patel, revendiquée par le groupe Handala. 🎯 Incident principal Le groupe Handala, lié au Ministère du Renseignement et de la Sécurité iranien (MOIS), a divulgué des photographies et des emails personnels du directeur du FBI Kash Patel, datant de 2010 et 2019. Le FBI et le Département de Justice ont confirmé l’authenticité des documents. Le FBI précise que les informations sont « historiques » et ne concernent « aucune information gouvernementale ». ...

🔍 Contexte Publié le 28 mars 2026 par Beazley Security Labs en collaboration avec Halcyon, cet article présente une analyse technique approfondie d’une intrusion récente attribuée au groupe Pay2Key, un acteur de menace d’origine iranienne actif depuis 2020. L’analyse couvre à la fois les évolutions techniques du groupe et une chaîne d’attaque complète observée lors d’un incident en Q1 2026 dans une organisation de santé américaine. 🎭 Attribution et contexte géopolitique Pay2Key est suivi sous plusieurs noms : Fox Kitten, Pioneer Kitten, UNC757, Parasite, RUBIDIUM, Lemon Sandstorm. En août 2024, le FBI, la CISA et le DoD Cyber Crime Center ont officiellement attribué le groupe à l’Iran, qualifiant ses opérations d’« information operation » visant les infrastructures américaines et israéliennes. Les paiements de rançon ont historiquement transité par Excoino, une plateforme d’échange de cryptomonnaies iranienne. L’activité du groupe s’intensifie systématiquement lors de tensions géopolitiques impliquant l’Iran. ...