IOC

🌐 Contexte Source : The Register (exclusivité), publié le 30 avril 2026. Rapport d’investigation de TrendAI partagé en exclusivité. L’activité malveillante a débuté en décembre 2024 et des traces ont été détectées aussi récemment qu’avril 2026. 🎯 Acteurs de la menace Deux nouveaux groupes liés à la Chine ont été identifiés : Shadow-Earth-053 : groupe principal, ciblant gouvernements, contractants de défense, entreprises technologiques et secteur des transports. Shadow-Earth-054 : groupe connexe, partageant les mêmes vulnérabilités exploitées, hashes d’outils identiques et techniques similaires. Présente des chevauchements réseau avec CL-STA-0049 (Unit 42 / Palo Alto Networks), REF7707 (Elastic Security Labs) et Earth Alux. Tom Kellermann (TrendAI) compare ces groupes à Salt Typhoon et Volt Typhoon, les qualifiant de « jeunes frères et sœurs des campagnes Typhoon ». ...

🗓️ Contexte Publié le 30 avril 2026 par Dan Goodin sur Ars Technica, cet article couvre la divulgation publique d’une vulnérabilité critique dans le noyau Linux, réalisée par la société de sécurité Theori, cinq semaines après sa notification privée à l’équipe de sécurité du noyau Linux. 🔍 Vulnérabilité : CopyFail (CVE-2026-31431) CopyFail est une élévation de privilèges locale (LPE) affectant le sous-système crypto du noyau Linux, plus précisément le template AEAD authencesn utilisé pour les numéros de séquence étendus IPsec. La faille est un défaut logique en ligne droite : le processus ne copie pas correctement les données, utilise le buffer de destination de l’appelant comme zone de travail temporaire, et écrit 4 octets au-delà de la région de sortie légitime sans les restaurer. ...

🔍 Contexte Publié le 3 mai 2026 sur GitHub (dépôt wgnet/wg.copyfail.patch), cet article présente un workaround eBPF pour la vulnérabilité CVE-2026-31431, surnommée Copy.Fail, affectant le noyau Linux. 🐛 Description de la vulnérabilité La CVE-2026-31431 permet à un utilisateur autorisé de modifier le cache d’une copie de tout fichier lisible, ce qui entraîne : Local Privilege Escalation (LPE) — élévation de privilèges locale jusqu’à root Échappement de sandbox/conteneur D’autres impacts liés à l’intégrité du système de fichiers L’exploitation repose sur la création d’une socket AF_ALG, fournie par les modules noyau algif*. ...

🗞️ Contexte Article publié le 1er mai 2026 par The Register (Carly Page). Il rapporte l’exploitation active d’une vulnérabilité critique dans cPanel et WHM, l’un des panneaux de gestion d’hébergement web les plus répandus au monde, ainsi que dans WP Squared, une couche de gestion WordPress construite sur la même plateforme. 🔍 Vulnérabilité CVE-2026-41940 — score CVSS 9.8 (critique) Affecte toutes les versions supportées de cPanel/WHM postérieures à la version 11.40, ainsi que WP Squared Un exploit réussi permet la prise de contrôle totale du serveur Le patch a été publié par cPanel un mardi ; l’exploitation était déjà en cours avant cette date CISA a ajouté la faille à son catalogue Known Exploited Vulnerabilities (KEV) le jeudi suivant 📅 Chronologie de l’exploitation 23 février 2026 : premières tentatives d’exploitation observées par l’hébergeur KnownHost (déclaration du CEO Daniel Pearson sur Reddit) Avant le patch : exploitation confirmée en conditions réelles Post-patch : CISA confirme l’exploitation active ; Namecheap a temporairement bloqué l’accès à cPanel/WHM en attendant les correctifs 💥 Impact observé Un propriétaire de petite entreprise a signalé sur Reddit avoir été victime d’une attaque ransomware suite à l’exploitation de cette vulnérabilité sur une configuration cPanel standard Demande de rançon : 7 000 $ pour déverrouiller les systèmes L’hébergeur de la victime semblait débordé par l’incident Rapid7, via Shodan, a identifié environ 1,5 million d’instances cPanel exposées sur Internet cPanel sous-tend l’hébergement de dizaines de millions de sites web 🎯 Profil des cibles Hébergeurs web et leurs clients Petites structures dépendant de fournisseurs d’hébergement mutualisé Sites WordPress gérés via WP Squared 📄 Nature de l’article Article de presse spécialisée relatant une annonce d’incident en cours, combinant des éléments de rapport d’exploitation active, de réponse des hébergeurs et de témoignages de victimes. But principal : informer sur l’étendue de l’exploitation et l’urgence de la situation. ...

📅 Source et contexte : Article publié le 28 avril 2026 par Brooks Davis (Capabilities Limited) sur le site de la CHERI Alliance. Il s’inscrit dans un contexte de discussions récentes sur l’utilisation des LLMs pour la découverte et l’exploitation de vulnérabilités. 🔍 Vulnérabilité identifiée : La vulnérabilité CVE-2026-4747 affecte le composant RPCSEC_GSS du noyau FreeBSD. Il s’agit d’un stack buffer overflow classique permettant potentiellement une exécution de code à distance (RCE), classée de sévérité Critique. Elle a été découverte à l’aide d’un LLM (modèle de langage de grande taille). ...

🔍 Contexte Source : dépôt GitHub public Neo23x0/auditd, publié le 3 mai 2026. Il s’agit d’un projet open source sous licence Apache-2.0, activement maintenu, avec 1 800 étoiles et 302 forks. 🛠️ Description du projet Le projet fournit une configuration auditd de référence (best-practice) pour les distributions Linux majeures. L’objectif est de collecter une télémétrie de sécurité large et réutilisable, sans intégrer la logique de détection directement dans les règles auditd. ...

🔍 Contexte Publié le 2 mai 2026 sur le blog de Calif (blog.calif.io), cet article technique détaille la découverte et l’exploitation d’une vulnérabilité use-after-free (UAF) dans la fonction unserialize() de PHP, présente depuis PHP 5.1 (2005) et toujours exploitable dans PHP 8.5.5. La découverte s’inscrit dans le cadre du projet MAD Bugs (Month of AI-Discovered Bugs), combinant modèles d’IA (Claude) et expertise humaine. 🐛 La vulnérabilité Le bug réside dans zend_user_unserialize() (fichier Zend/zend_interfaces.c), le point de dispatch pour Serializable::unserialize(). Contrairement à tous les autres points de dispatch utilisateur (__wakeup, __unserialize, __destruct), cette fonction omet d’incrémenter BG(serialize_lock), ce qui permet à un appel récursif à unserialize() de partager le var_hash externe. ...

🗞️ Contexte Source : KrebsOnSecurity — Publié le 30 avril 2026. Un fichier archive exposé dans un répertoire ouvert en ligne a été transmis à KrebsOnSecurity par une source anonyme. Ce fichier contient des éléments compromettants impliquant Huge Networks, une société brésilienne fondée à Miami en 2014, spécialisée dans la protection DDoS pour opérateurs réseau. 🎯 Activité malveillante identifiée L’archive exposée révèle qu’un acteur malveillant basé au Brésil a : Maintenu un accès root à l’infrastructure de Huge Networks Construit un botnet DDoS puissant en scannant massivement Internet à la recherche de routeurs TP-Link Archer AX21 vulnérables à CVE-2023-1389 (injection de commande non authentifiée, patchée en avril 2023) Utilisé des serveurs DNS mal configurés pour des attaques par réflexion/amplification DNS (facteur d’amplification x60-70) Ciblé exclusivement des plages d’adresses IP brésiliennes (FAI régionaux) Coordonné les scans depuis un serveur Digital Ocean signalé des centaines de fois pour activité abusive Utilisé les clés SSH privées du CEO Erick Nascimento dans les scripts d’attaque Python 🛠️ Détails techniques Malware : variante de Mirai (IoT botnet) Vulnérabilité exploitée : CVE-2023-1389 sur routeurs TP-Link Archer AX21 Domaines C2 identifiés : hikylover[.]st, c.loyaltyservices[.]lol Scripts : programmes Python en langue portugaise, incluant historique de commandes et clés SSH Méthode d’attaque : chaque préfixe IP ciblé attaqué 10-60 secondes avec 4 processus parallèles par hôte Technique DDoS : amplification DNS via serveurs récursifs ouverts 👤 Position du CEO Erick Nascimento (CEO de Huge Networks) nie toute implication directe. Il attribue l’activité à une intrusion détectée le 11 janvier 2026 ayant compromis deux serveurs de développement et ses clés SSH personnelles via un serveur bastion/jump server. Il affirme avoir détruit le droplet compromis et rotation des clés le jour même. Une firme tierce de forensics réseau a été mandatée. Il affirme détenir des preuves blockchain impliquant un concurrent. ...

🔍 Contexte Publié le 30 avril 2026 par l’Acronis Threat Research Unit (TRU), ce rapport documente des campagnes actives d’abus des plateformes de distribution IA Hugging Face et ClawHub (écosystème OpenClaw) pour la livraison de malwares déguisés en modèles, datasets et extensions légitimes. 🎯 Vecteurs d’attaque principaux ClawHub / OpenClaw 575 skills malveillants identifiés, distribués par 13 comptes développeurs Deux acteurs principaux : hightower6eu (334 skills, 58%) et sakaen736jih (199 skills, 35%) Ciblage cross-platform : Windows et macOS Technique clé : indirect prompt injection — des instructions malveillantes cachées dans des fichiers SKILL.md ou README poussent les agents IA à exécuter des actions malveillantes Les skills instruisent les utilisateurs à télécharger des archives protégées par mot de passe et des binaires non vérifiés depuis GitHub Hugging Face Utilisé comme infrastructure de staging dans des chaînes d’infection multi-étapes Campagne ITHKRPAW : ciblage du secteur financier et d’entités au Vietnam, usage de Cloudflare Workers pour déployer un script PowerShell dropper, payload omni-agent-v4.exe déguisé en microsoft-update-assist.exe Campagne FAKESECURITY : script batch CDC1.bat avec blob PowerShell encodé, dropper multi-étapes avec injection de processus dans explorer.exe, payload final déguisé en Windows Defender 🛠️ Techniques observées Social engineering via des noms de dépôts attractifs et README bien rédigés Obfuscation : encodage base64, XOR (clé 30 octets, clé 0xF1), chaînes déchiffrées à l’exécution In-memory execution et process injection dans explorer.exe Persistence : tâches planifiées (WindowsSystemService, RuntimeBrokerService), clés Run registry Évasion : exclusions Windows Defender, suppression Zone.Identifier (Mark-of-the-Web), mutex C2 chiffré : canal AES-CBC sur HTTPS vers velvet-parrot.com:443 Dead-drop resolver via bot Telegram (t.me/dusty_vintage) Payload macOS : script shell téléchargé depuis IP 91.92.242.30, suppression des attributs étendus (xattr -c) 🦠 Payloads identifiés AMOS Stealer : infostealer macOS vendu en MaaS via Telegram Trojan (binaire Windows packé avec VMProtect) Cryptominer : déposé comme svchost.exe / RuntimeBroker.exe Loader : ClawHub-DependencyInstaller.exe avec déchiffrement AES-CBC en mémoire RATs, infostealers, loaders divers sur Hugging Face (Windows, Linux, Android) 📌 Type d’article Il s’agit d’une publication de recherche technique produite par Acronis TRU, visant à documenter et quantifier l’abus des écosystèmes IA comme nouveaux vecteurs de distribution de malwares, avec fourniture d’IOCs exploitables. ...

🔍 Contexte Publié le 27 avril 2026 par Osservatorio Nessuno, cet article présente l’analyse technique complète d’un spyware Android inconnu jusqu’alors, baptisé Morpheus (version 2025.3.0), vraisemblablement développé en Italie. L’infection initiale a été déclenchée via un SMS de phishing pointant vers le domaine assistenza-sim.it, avec une application se faisant passer pour l’opérateur Fastweb. 🎯 Mécanisme d’infection L’infection repose sur un modèle en deux étapes : Premier stage (dropper) : package com.android.cored (v0.9.23), fork de SimpleInstaller open-source, embarquant le second stage dans /assets/mobile-config.apk Second stage (agent) : package com.android.core (v2025.3.0), le spyware principal Le dropper contourne la restriction Android 13 Restricted Settings qui bloque normalement l’accès aux services d’accessibilité pour les apps sideloadées. ...