IOC

🔍 Contexte Publié le 22 avril 2026 par la Threat Hunter Team de Symantec et Carbon Black (Broadcom), cet article présente l’analyse technique d’un nouveau backdoor Linux attribué au groupe APT Harvester, actif depuis au moins 2021 et considéré comme soutenu par un État. 🎯 Campagne et ciblage Bien qu’aucune victime directe n’ait été observée, les soumissions initiales sur VirusTotal proviennent d’Inde et d’Afghanistan, régions historiquement ciblées par Harvester pour des opérations d’espionnage en Asie du Sud. Les documents leurres utilisés sont adaptés au contexte régional (références à Zomato, au pèlerinage Umrah, au ministère des Affaires étrangères indien). ...

🔍 Contexte Publié le 21 avril 2026 par Anna Širokova sur le blog Rapid7, cet article présente une analyse technique approfondie du ransomware Kyber, découvert lors d’un engagement de réponse à incident en mars 2026. Deux variantes ont été récupérées dans le même environnement victime, offrant une opportunité rare d’analyse comparative. 🧩 Description des variantes Variante Linux/ESXi (ELF) Binaire 64-bit ELF, écrit en C++ (GCC 4.4.7), non packé, non obfusqué Cible explicitement les datastores VMware ESXi (/vmfs/volumes) Utilise les outils natifs ESXi : esxcli pour lister et terminer les VMs Chiffrement réel : ChaCha8 + RSA-4096 (wrapping de clé), malgré une note de rançon affirmant AES-256-CTR + X25519 + Kyber1024 Extension des fichiers chiffrés : .xhsyw Note de rançon : readme.txt Déface les interfaces SSH (/etc/motd) et web VMware (/usr/lib/vmware/hostd/docroot/index.html) Exécution en arrière-plan via fork() + setsid() pour survivre à la fermeture de session SSH Chiffrement partiel basé sur la taille des fichiers (10% par défaut pour les fichiers >4 MB) Variante Windows (PE) Binaire 64-bit PE, écrit en Rust (MSVC/VS2022), non packé, non obfusqué Chemin de build exposé : C:\Users\user\.cargo\registry\src\index.crates.io-6f17d22bba15001f Chiffrement réel : AES-256-CTR + Kyber1024 + X25519 (conforme aux affirmations de la note) Extension des fichiers chiffrés : .#~~~ Note de rançon : READ_ME_NOW.txt Pipeline d’entropie personnalisé (temps système, CSPRNG Windows, RDRAND, données de processus) Fonctionnalité Hyper-V expérimentale via PowerShell (Get-VM, Stop-VM -Force -TurnOff) 11 commandes anti-récupération si exécuté avec élévation de privilèges : Suppression des shadow copies (WMI, WMIC, vssadmin) Désactivation du Windows Recovery Environment (bcdedit) Suppression des sauvegardes système (wbadmin) Arrêt d’IIS, effacement des journaux d’événements (wevtutil), vidage de la corbeille Terminaison de services : msexchange, vss, backup, veeam, sql Enregistrement d’une icône personnalisée pour les fichiers .#~~~ via le registre Windows Mutex : boomplay[.]com/songs/182988982 🔗 Infrastructure partagée Les deux variantes partagent un identifiant de campagne commun (5176[REDACTED]) et une infrastructure Tor : ...

🗓️ Contexte Source : IT-Connect, publié le 20 avril 2026. Le 15 avril 2026, la présidente de la Commission européenne Ursula von der Leyen a officiellement présenté Age Verification, une application mobile open source destinée à permettre aux citoyens européens de prouver leur âge en ligne (notamment pour accéder aux réseaux sociaux) sans transmettre de données personnelles sensibles aux plateformes. Son déploiement obligatoire est prévu pour septembre 2026. 🔍 Vulnérabilités identifiées Le consultant en sécurité Paul Moore a publié le 16 avril 2026 sur X une démonstration vidéo montrant le contournement complet de l’application en moins de 2 minutes. Trois failles majeures ont été identifiées : ...

📅 Source et contexte : Rapport publié le 21 avril 2026 par l’Acronis Threat Research Unit (TRU), documentant une nouvelle campagne d’espionnage attribuée avec une confiance modérée au groupe Mustang Panda. 🎯 Ciblage : La campagne cible le secteur bancaire indien, marquant un pivot géographique et sectoriel par rapport aux précédentes opérations visant des entités gouvernementales américaines. Une déviation secondaire vers la géopolitique coréenne est également mentionnée. 🔗 Chaîne d’attaque : ...

🔍 Contexte Publié le 21 avril 2026 par ESET Research (Lukas Stefanko), cet article présente la découverte d’une nouvelle variante du malware NGate ciblant des utilisateurs Android au Brésil, active depuis novembre 2025. 🦠 Description du malware Les attaquants ont trojanisé l’application légitime HandyPay (disponible sur Google Play depuis 2021), qui permet nativement de relayer des données NFC entre appareils. Le code malveillant injecté présente des signes d’avoir été généré par GenAI/LLM (présence d’emojis dans les logs, typiques des textes générés par IA). ...

🔍 Contexte Publié le 17 avril 2026 par CYFIRMA, ce rapport présente l’analyse technique approfondie d’un framework post-exploitation avancé baptisé Operation PhantomCLR, ciblant des organisations du Moyen-Orient et du secteur financier EMEA. 🎯 Vecteur d’infection L’attaque débute par un spear-phishing livrant une archive ZIP contenant six composants : IAStorHelp.exe — binaire Intel légitime et signé IAStorHelp.exe.config — fichier de configuration CLR weaponisé IAStorHelpMosquitoproof.dll — DLL .NET malveillante setting.yml — payload chiffré AES Work From Home Policy Update.pdf.lnk — déclencheur LNK masqué en PDF Un PDF leurre en arabe imitant un document officiel du gouvernement saoudien Le fichier LNK utilise une double extension (.pdf.lnk) et résout l’icône PDF de Microsoft Edge pour tromper la victime. Le PDF leurre imite un document du Ministère saoudien avec formatage officiel, calendrier hégirien et typographie arabe authentique. ...

🔍 Contexte Publié le 21 avril 2026 par l’équipe de recherche Infrawatch (https://infrawatch.com), cet article présente les résultats d’une investigation menée en février 2026 sur l’écosystème des SIM Farm as a Service, en particulier la plateforme ProxySmart. 🏗️ Infrastructure identifiée 87 instances exposées du panneau de contrôle ProxySmart sur l’internet public, dans 17 pays 94 sites physiques de fermes de téléphones/modems recensés (Amérique du Nord, Europe, Amérique du Sud) 19 États américains couverts, principalement dans des zones métropolitaines à forte couverture 4G/5G Pays identifiés : États-Unis, Canada, Royaume-Uni, Allemagne, Espagne, Portugal, Ukraine, Lettonie, France, Roumanie, Brésil, Irlande, Pays-Bas, Australie, Italie, Pologne, Géorgie Lié à 24 fournisseurs proxy commerciaux et 35 opérateurs mobiles ⚙️ Fonctionnement de ProxySmart ProxySmart est un logiciel OEM à destination des opérateurs de fermes SIM, associé à une empreinte vendeur basée en Biélorussie. Il offre une stack complète : ...

🗓️ Contexte Publié le 21 avril 2026 sur le blog Substack de calif.io, cet article s’inscrit dans la série MAD Bugs (avril 2026) et fait suite à deux divulgations précédentes : un 0-day dans radare2 et un auth bypass dans le serveur Ghidra de la NSA. Les chercheurs présentent ici quatre nouvelles vulnérabilités d’exécution de code arbitraire (RCE), toutes découvertes à l’aide des modèles d’IA Claude ou Codex. 🔍 Vulnérabilités divulguées radare2 — Incomplete Fix / PDB Section Name Injection (issue #25752) Le correctif précédent (issue #25731) avait encodé en base64 le champ fN, mais avait omis le champ f dans print_gvars(). Le nom de section PE brut (8 octets) est interpolé sans sanitisation via %.*s dans la commande f. Un \n dans le nom de section termine le commentaire # et injecte une nouvelle commande r2. Un stager de type HITCON CTF 2017 “BabyFirst Revenge” permet de transformer des écritures de 7 octets en exécution sh arbitraire. Fix livré immédiatement par l’équipe radare2 après signalement. PoC : https://github.com/califio/publications/tree/main/MADBugs/radare2-pdb-section-rce Ghidra (NSA) — RMI Client Deserialization RCE (toutes versions ≥ 9.1) Le serveur Ghidra dispose d’un ObjectInputFilter allow-list, mais le client Ghidra n’en installe aucun. Un fichier .gpr malveillant contenant une URL ghidra:// dans son XML projectState force le client à se connecter silencieusement à un serveur attaquant. Le premier appel RMI (reg.list()) est effectué avant toute authentification et sans filtre de désérialisation. Chaîne d’exploitation originale via org.python.core.PyMethod (dans jython-standalone-2.7.4.jar), contournant le correctif readResolve() de PyFunction introduit par Jython 2.7.4. La chaîne aboutit à un interpréteur CPython 2.7 bytecode (21 octets) appelant Runtime.getRuntime().exec(). Flux d’exploitation : PriorityQueue.readObject → Proxy(Comparator).compare → PyMethod.__call__ → __builtin__.eval → PyBytecode → Runtime.exec() La victime voit une erreur PySingleton cannot be cast to Integer après l’exécution du payload. PoC : https://github.com/califio/publications/tree/main/MADBugs/ghidra-rmi-rce IDA Pro (Hex-Rays) & Binary Ninja Sidekick (Vector 35) Deux vulnérabilités RCE arbitraires sous embargo de divulgation coordonnée. Toutes deux se déclenchent sur le workflow standard « ouvrir un fichier reçu ». Détails, PoCs et logs de prompts à publier à la levée des embargos. 🤖 Rôle de l’IA L’ensemble des vulnérabilités a été identifié par Claude ou Codex. L’IA a notamment analysé le patch de radare2 et identifié le second champ non corrigé de manière autonome, produisant un PoC fonctionnel avant la fin du débat humain sur la pertinence de la recherche assistée par IA. ...

🔍 Contexte Publié le 20 avril 2026 par LayerX Security, cet article présente les résultats d’une recherche interne sur une campagne baptisée StealTok, impliquant au moins 12 extensions navigateur malveillantes distribuées sur les marketplaces Google Chrome et Microsoft Edge. 🎯 Nature de la campagne Les extensions se présentent comme des téléchargeurs de vidéos TikTok (sans filigrane) tout en implémentant des mécanismes couverts de collecte de données et de configuration distante. Elles partagent toutes une base de code commune (Manifest V3), indiquant une opération coordonnée par un acteur unique ou un groupe étroitement coordonné. ...

🔍 Contexte Publié le 22 avril 2026 sur le forum officiel Ubuntu Community Hub, ce billet de l’équipe Ubuntu Foundations (ravi-sharma) constitue un compte-rendu de transparence sur l’adoption de rust-coreutils (uutils) comme remplacement des GNU coreutils dans Ubuntu. 📋 Processus d’audit Suite à la décision d’adopter rust-coreutils, Canonical a constitué une équipe interne (Ubuntu Foundations et Ubuntu Security) et a commandité un audit de sécurité externe indépendant auprès de la société Zellic. L’audit s’est déroulé en deux phases : ...