IOC

🔍 Contexte Rapid7 Labs publie le 26 mars 2026 un rapport d’investigation approfondi sur une campagne d’espionnage avancée ciblant les réseaux de télécommunications mondiaux. L’acteur identifié est Red Menshen, un groupe à nexus chinois (China-nexus), opérant sur le long terme avec des objectifs d’espionnage stratégique à haute valeur. 🎯 Cibles et objectifs Les cibles principales sont les opérateurs de télécommunications et les réseaux gouvernementaux. L’objectif est de positionner des accès persistants et dormants (« sleeper cells ») au cœur des infrastructures télécoms, permettant : ...

🛡️ Contexte Publié le 26 mars 2026 par The Hacker News, cet article rapporte la publication par Citrix de mises à jour de sécurité pour ses produits NetScaler ADC et NetScaler Gateway. 🔍 Vulnérabilités identifiées Deux vulnérabilités ont été corrigées : CVE-2026-3055 (CVSS : 9.3 — Critique) : Validation insuffisante des entrées entraînant un memory overread, pouvant conduire à une fuite de données sensibles depuis l’application. CVE-2026-4368 (CVSS : 7.7 — Haute) : Condition de course (race condition) — la description complète de l’impact est tronquée dans l’extrait disponible. 🎯 Produits affectés Citrix NetScaler ADC Citrix NetScaler Gateway 📋 Type d’article Il s’agit d’une annonce de patch de sécurité visant à informer les administrateurs et équipes de sécurité de la disponibilité de correctifs pour des vulnérabilités critiques affectant des équipements réseau largement déployés en entreprise. ...

🔍 Contexte En mars 2026, l’équipe Threat Response Unit (TRU) d’eSentire a détecté EtherRAT dans l’environnement d’un client du secteur Retail. Ce backdoor Node.js est lié par Sysdig à un groupe APT nord-coréen via des recoupements avec les TTPs de la campagne “Contagious Interview”. 🎯 Vecteur d’accès initial L’accès initial a été réalisé via ClickFix, exploitant une technique d’exécution indirecte de commandes : pcalua.exe (LOLBin) est utilisé pour exécuter mshta.exe Récupération d’un script HTA malveillant “shep.hta” depuis le site compromis www-flow-submission-management.shepherdsestates.uk Obfuscation de la ligne de commande via le caractère ^ Dans d’autres incidents, TRU observe principalement des arnaques IT Support via Microsoft Teams suivies de l’utilisation de QuickAssist. ...

🔍 Contexte Publié le 17 mars 2026 par Sansec (sansec.io), cet article présente une analyse technique détaillée d’une vulnérabilité critique baptisée PolyShell, affectant Magento Open Source et Adobe Commerce dans toutes leurs versions de production actuelles. 🚨 Vulnérabilité La faille réside dans l’API REST de Magento, au niveau du traitement des options de panier (cart item custom options). Trois contrôles critiques sont absents : Aucune validation de l’ID d’option soumis Aucune vérification du type d’option (file) Aucune restriction sur les extensions de fichier (.php, .phtml, .phar autorisées) La seule validation présente (getimagesizefromstring) est trivialement contournable via des fichiers polyglots (images GIF/PNG contenant du code PHP exécutable). ...

🎯 Contexte Source : Wiz Research, publié le 20 mars 2026. Le 19 mars 2026, des acteurs malveillants se désignant sous le nom TeamPCP ont mené une attaque de supply chain ciblant Aqua Security’s Trivy, un scanner de vulnérabilités open source largement utilisé dans les environnements DevSecOps et CI/CD. 🔍 Déroulement de l’attaque L’attaque s’est déroulée en plusieurs étapes : Commits impersonateurs : TeamPCP a poussé des commits malveillants en usurpant l’identité des utilisateurs rauchg (sur actions/checkout) et DmitriyLewen (sur aquasecurity/trivy). Tag v0.69.4 malveillant : À 17:43:37 UTC, le tag v0.69.4 a été poussé, déclenchant la publication de binaires backdoorés sur GitHub Releases, Docker Hub, GHCR et ECR. Domaine typosquatté : Le code malveillant contactait scan.aquasecurtiy[.]org (résolvant vers 45.148.10.212) pour l’exfiltration. Compromission du compte aqua-bot : L’attaquant a abusé de ce compte pour pousser des workflows malveillants vers tfsec, traceeshark et trivy-action, volant des clés GPG, credentials Docker Hub, Twitter et Slack. Force-push de tags : 75 sur 76 tags de trivy-action et 7 tags de setup-trivy ont été écrasés par des versions malveillantes. Expansion vers npm : Le 22 mars, TeamPCP a étendu ses opérations à l’écosystème npm via un worm nommé CanisterWorm exploitant des tokens de publication volés. Images Docker malveillantes : Les versions 0.69.5 et 0.69.6 de Trivy ont été publiées sur Docker Hub le 22 mars vers 16:00 UTC. 🦠 Comportement du malware Dans les GitHub Actions (trivy-action / setup-trivy) Payload en 3 étapes : ...

🎯 Contexte Publié le 20 mars 2026 par Aikido Security (Charlie Eriksen), cet article documente la détection le 20 mars 2026 à 20h45 UTC d’une campagne de compromission massive de packages NPM, baptisée CanisterWorm, attribuée au groupe TeamPCP. Cette attaque fait suite à une compromission de l’outil Trivy moins de 24 heures auparavant, documentée par Wiz. 📦 Packages compromis 28 packages dans le scope @EmilGroup 16 packages dans le scope @opengov @teale.io/eslint-config @airtm/uuid-base32 @pypestream/floating-ui-dom 🏗️ Architecture en trois étapes Stage 1 – Loader Node.js (postinstall) : Un hook postinstall dans index.js décode un payload base64 (script Python), crée un service systemd utilisateur pgmon.service avec Restart=always, et le démarre immédiatement. Aucun accès root requis. Stage 2 – Backdoor Python persistante : Le script service.py attend 5 minutes (évasion sandbox), puis interroge toutes les ~50 minutes un canister ICP (tdtqy-oyaaa-aaaae-af2dq-cai.raw.icp0.io) pour obtenir une URL de payload. Il télécharge le binaire vers /tmp/pglog, l’exécute en processus détaché, et sauvegarde l’URL dans /tmp/.pg_state. Un kill switch est intégré : si l’URL contient youtube.com, le payload est ignoré. Stage 3 – Ver de propagation (deploy.js) : Outil initialement manuel utilisant des tokens NPM volés pour énumérer tous les packages publiables d’un compte, incrémenter la version patch, préserver le README original, et republier avec --tag latest. 🐛 Évolution vers l’auto-propagation Environ une heure après la vague initiale, une mise à jour de @teale.io/eslint-config (versions 1.8.11 et 1.8.12) a introduit la fonction findNpmTokens() qui : ...

🔍 Contexte Publié le 16 mars 2026 par le Google Threat Intelligence Group (GTIG), ce rapport analyse les tactiques, techniques et procédures (TTPs) observées lors des incidents ransomware traités par Mandiant Consulting en 2025. Il couvre des victimes situées en Asie-Pacifique, Europe, Amérique du Nord et du Sud, dans presque tous les secteurs d’activité. 📊 Paysage ransomware 2025 Record historique de posts sur les Data Leak Sites (DLS) en 2025, dépassant 2024 de près de 50% La rentabilité globale est en déclin : taux de paiement de rançon au plus bas historique en Q4 2025 (Coveware), demande moyenne réduite d’un tiers à 1,34 M$ en 2025 contre 2 M$ en 2024 (Sophos) Près de la moitié des victimes ont pu restaurer depuis des sauvegardes en 2024 (contre 28% en 2023 et 11% en 2022) LockBit, ALPHV, Basta et RansomHub ont été perturbés ou ont disparu ; Qilin et Akira ont comblé le vide REDBIKE (Akira) est la famille ransomware la plus déployée : ~30% des incidents Montée en puissance des opérations de data theft extortion seule (sans chiffrement) Ciblage croissant des petites organisations (moins de 200 employés) Adoption de technologies Web3 (ICP blockchain, Polygon smart contracts) pour la résilience des infrastructures Intégration de l’IA dans les opérations (négociations, analyse des victimes) Doublement des familles ransomware cross-platform (Windows + Linux) 🎯 Vecteurs d’accès initial Exploitation de vulnérabilités : 1/3 des incidents (VPNs et firewalls principalement) Fortinet : CVE-2024-21762, CVE-2024-55591, CVE-2019-6693 SonicWall : CVE-2024-40766 Palo Alto : CVE-2024-3400 Citrix : CVE-2023-4966 Microsoft SharePoint : CVE-2025-53770, CVE-2025-53771 (zero-day par UNC6357) SAP NetWeaver : CVE-2025-31324 CrushFTP : CVE-2025-31161 CVE-2025-8088 exploité en zero-day par UNC2165 CVE-2025-61882 exploité contre Oracle EBS (CL0P) Credentials volés : 21% des incidents identifiés (VPN, RDP) Malvertising / SEO poisoning : UNC6016 (→ NITROGEN, RHYSIDA), UNC2465 (→ SMOKEDHAM) Bruteforce : attaques prolongées sur VPNs (ex. Daixin sur près d’un an) Accès via subsidiaires ou tiers (réseaux intermédiaires) Ingénierie sociale : UNC5833 via Microsoft Teams + Quick Assist 🔧 TTPs post-compromission Établissement de foothold : ...

🔍 Contexte Article publié le 24 mars 2026 sur le blog personnel de l’analyste 7amthereaper. Il s’agit d’une analyse technique complète et d’un reverse engineering du malware Brbbot, présenté comme un trojan/bot pouvant également fonctionner comme backdoor. 🧬 Identification du sample Le sample analysé est identifié par le hash SHA256 : f9227a44ea25a7ee8148e2d0532b14bb640f6dc52cb5b22a9f4fa7fa037417fa. ⚙️ Comportements observés L’analyse statique et dynamique révèle les comportements suivants : Persistance : modification de la clé de registre \Microsoft\Windows\CurrentVersion\Run avec la valeur brbbot Fichier de configuration chiffré : dépôt d’un fichier brbbotconfig.tmp sur le disque, chiffré avec la clé YnJiYm90 Chiffrement : utilisation de l’API Windows CryptDecrypt pour déchiffrer la configuration Énumération des processus : via ZwQuerySystemInformation résolu dynamiquement (Dynamic API Resolution) depuis ntdll.dll Communication C2 : requêtes HTTP vers brb.3dtuts.by ciblant le fichier ads.php, avec exfiltration de données chiffrées par XOR avec la clé 0x5b 📋 Commandes bot identifiées La configuration déchiffrée révèle les commandes suivantes : ...

🔍 Contexte Analyse publiée le 20 mars 2026 par Xavier Mertens (ISC SANS Handler) suite à la découverte d’un script Bash malveillant installant un backdoor basé sur GSocket/gs-netcat. Le vecteur de livraison initial est inconnu. Le sample a été identifié sur VirusTotal avec seulement 17 détections antivirus. 🛠️ Fonctionnement du malware GSocket est un outil réseau légitime permettant des communications pair-à-pair via un réseau de relais global, en utilisant un secret partagé plutôt que des adresses IP. L’outil gs-netcat est détourné ici pour fournir un shell distant et un canal C2. ...

🔍 Contexte Le 18 mars 2026, le Google Threat Intelligence Group (GTIG) a publié une analyse détaillée d’une nouvelle chaîne d’exploit iOS baptisée DarkSword, identifiée depuis au moins novembre 2025. Cette recherche est publiée en coordination avec Lookout et iVerify. 🎯 Description de la menace DarkSword est une chaîne d’exploit iOS full-chain exploitant 6 vulnérabilités zero-day pour compromettre complètement des appareils sous iOS 18.4 à 18.7. Elle utilise exclusivement du JavaScript pour toutes les étapes de l’exploitation, éliminant le besoin de contourner PPL ou SPTM. ...