IOC

🔍 Contexte Article d’investigation publié par The Guardian le 14 mars 2026, rédigé par Hannah Devlin et Tom Burgis. UK Biobank est une base de données médicales britannique fondée en 2003, détenant les dossiers de santé de 500 000 volontaires britanniques, incluant séquences génomiques, scanners, échantillons sanguins et données de style de vie. 📂 Nature de l’incident Des données de santé confidentielles ont été exposées publiquement en ligne à de nombreuses reprises par des chercheurs ayant accidentellement publié des jeux de données Biobank sur GitHub en même temps que leur code d’analyse. Cette pratique résulte de l’obligation croissante des journaux scientifiques et financeurs de publier le code source des analyses. ...

Trend Micro dissèque une attaque du groupe Warlock combinant mouvement latéral, tunneling multi-outils, BYOVD via NSecKrnl.sys et déploiement de ransomware par GPO. 🔍 Contexte Cet article publié le 21 mars 2026 par Trend Micro Research constitue une analyse technique approfondie d’une campagne d’attaque attribuée au groupe Warlock. Il documente une chaîne d’attaque complète allant de l’accès initial jusqu’au déploiement de ransomware à l’échelle du domaine Active Directory. 🚪 Accès initial et mouvement latéral Suivant l’accès initial, les acteurs de la menace ont réalisé un mouvement latéral extensif via des outils d’administration légitimes et de l’abus de credentials : ...

Selon Socket (socket.dev), une nouvelle attaque de chaîne d’approvisionnement visant l’écosystème Trivy a été détectée à partir d’environ 19:15 UTC, distincte du précédent incident OpenVSX/VS Code. L’attaque cible l’action GitHub officielle aquasecurity/trivy-action et transforme des références de versions largement utilisées en vecteur de distribution d’un infostealer. L’acteur a force-push 75 des 76 tags de version du dépôt aquasecurity/trivy-action afin de les faire pointer vers de nouveaux commits malveillants, tout en conservant une apparence légitime via des métadonnées spoofées. Plus de 10 000 workflows GitHub référencent ces tags, amplifiant le rayon d’impact. Les tags compromis « restent actifs » au moment de la rédaction. Le tag 0.35.0 est le seul non empoisonné, car il pointe déjà vers le commit parent utilisé par l’attaquant (57a97c7e). Des indices de fraude incluent l’absence de signatures GPG d’origine, des dates incohérentes (dates anciennes avec un parent de mars 2026) et des commits ne modifiant que entrypoint.sh. Des « releases immuables » ont été publiées lors du poisonnement, compliquant le rétablissement. Homebrew a déjà amorcé des retours arrière. ...

Selon Ctrl-Alt-Intel, qui s’appuie sur les travaux initiaux de Hunt.io et des avis de CERT-UA et ESET, une erreur d’OPSEC d’APT28/FancyBear a exposé un open-directory sur un VPS NameCheap (203.161.50.145) opérant au moins depuis septembre 2024, révélant le code source C2, des payloads XSS, des modules d’exfiltration et des journaux détaillant des compromissions en Ukraine, Roumanie, Bulgarie, Grèce, Serbie et Macédoine du Nord. Les chercheurs ont trouvé une seconde opendir sur le même serveur que celle décrite par Hunt.io (port 8889, janvier–mars 2026), contenant des preuves substantielles d’opérations en cours : plus de 2 800 emails exfiltrés, plus de 240 jeux d’identifiants (dont mots de passe et secrets TOTP 2FA), 140+ règles Sieve de redirection furtive, et 11 500+ contacts récoltés. L’infrastructure (zhblz[.]com ↔ 203.161.50.145) était déjà reliée par CERT-UA en 2024 à de l’exploitation de Roundcube (CVE-2023-43770) et à des leurres ClickFix. ...

Selon Cyble (CRIL), une campagne de phishing à large échelle, active depuis début 2026 et principalement hébergée sur l’infrastructure edgeone.app, exploite des leurres variés et les permissions navigateur pour capturer des données multimédia et de l’empreinte appareil, avec exfiltration via l’API Telegram. 🎯 Aperçu et infrastructure. Les pages malveillantes imitent des services connus (TikTok, Telegram, Instagram, Chrome/Google Drive, et des thèmes jeux comme Flappy Bird) et se présentent comme des portails de vérification ou de récupération. Les opérateurs hébergent de multiples modèles sur edgeone.app (EdgeOne Pages), ce qui facilite la rotation rapide d’URL et la haute disponibilité. Le C2 et la collecte sont simplifiés via l’API de bot Telegram (api.telegram.org), évitant un backend classique. ...

Selon Black Lotus Labs (Lumen), dans une publication du 10 mars 2026, un nouveau malware nommé KadNap cible principalement des routeurs Asus pour bâtir un botnet d’environ 14 000 appareils, utilisé comme proxy criminel via le service « Doppelganger ». Lumen indique avoir bloqué proactivement le trafic vers/depuis l’infrastructure de contrôle et publiera des IoCs. • Découverte et ampleur 🕵️‍♂️ Depuis août 2025, KadNap a été observé à grande échelle, avec une moyenne quotidienne de 14 000 victimes et 3–4 C2 actifs. Plus de 60 % des victimes sont aux États‑Unis; d’autres se trouvent à Taïwan, Hong Kong et Russie. Bien que visant surtout les routeurs Asus, le botnet affecte aussi d’autres équipements réseau en périphérie. L’opérateur segmente ses C2 par type/modèle d’appareil. ...

BlueVoyant rapporte, via son SOC, la découverte d’un nouveau backdoor (A0Backdoor) utilisé dans des opérations d’usurpation Microsoft Teams et d’abus de Quick Assist, actives au moins d’août 2025 à fin février 2026. Le cœur de l’évolution est un canal C2 DNS basé sur des enregistrements MX. Le malware génère des sous-domaines à forte entropie par requête (portant des métadonnées de beacon), envoie des requêtes MX, puis décode la gauche du label “exchange” retourné par l’autorité DNS, où sont encodées les commandes/configurations via un alphabet alphanumérique sûr pour les domaines. L’usage de MX vise à se fondre dans le trafic légitime et à éviter les contrôles focalisés sur le tunnel DNS TXT. Les endpoints ne contactent que des resolveurs publics de confiance (ex. 1.1.1.1, 8.8.8.8), les réponses étant servies par des zones autoritatives contrôlées par l’attaquant (self-hosted ns1/ns2 ou Cloudflare) 🎯. ...

Selon Check Point Research, cette publication analyse « Handala Hack », persona opéré par l’acteur iranien Void Manticore (a.k.a. Red Sandstorm, Banished Kitten) affilié au MOIS, connu pour des opérations de type « hack-and-leak » et des attaques destructrices par wipers, principalement contre Israël, l’Albanie (via Homeland Justice) et plus récemment des entreprises américaines (ex. Stryker). • Contexte et attribution. Handala Hack est l’une des trois façades opérationnelles de Void Manticore (avec Homeland Justice et l’ancien Karma). Les intrusions partagent des TTPs similaires et des recouvrements de code dans les wipers. Des coopérations passées avec Scarred Manticore sont mentionnées. Les opérations 2024–2026 restent centrées sur des actions manuelles « hands-on » avec outils publics, services criminels pour l’accès initial, et indicateurs éphémères (VPN commerciaux, outils open source). ...

Selon Cisco Talos (billet signé par Kri Dontje), l’équipe Vulnerability Discovery & Research a publié des avis sur des vulnérabilités touchant Microsoft DirectX, OpenFOAM et la bibliothèque Libbiosig; la plupart ont été corrigées par les éditeurs, à l’exception de celle de DirectX, et une couverture Snort est disponible. • Microsoft DirectX — Élévation locale de privilèges (LPE) non corrigée: TALOS-2025-2293 (CVE-2025-68623), découverte par KPC (Cisco Talos). La faille réside dans le processus d’installation de DirectX End-User Runtime (provenant de l’ancien SDK DirectX), présent notamment sur Windows XP SP2, Windows Server 2003 SP1, Windows Vista, Windows 7, Windows 8/8.1, Windows 10 et équivalents Server. Un utilisateur à faible privilège peut remplacer un exécutable pendant l’installation, pouvant entraîner une élévation involontaire de privilèges. ❗ Non corrigée à la date de la publication. ...

Selon une publication de recherche d’Orange Innovation Poland, ce travail examine comment la cyber threat intelligence (CTI) doit évoluer pour couvrir les menaces propres aux systèmes d’IA, en structurant les sources (vulnérabilités, incidents, TTP), en définissant des IoC spécifiques à l’IA et en proposant des méthodes de similarité pour détecter modèles/datasets malveillants. Le papier compare la CTI « classique » et la CTI pour l’IA, en listant des actifs et vulnérabilités propres à l’IA (ex. empoisonnement de données, backdoors dans les modèles, adversarial examples, inversion de modèle, prompt injection). Il cartographie les phases d’attaque adaptées au cycle ML (reconnaissance des artefacts ML, accès initial via API/produit, exécution, persistance via backdoor, élévation de privilèges notamment sur LLMs, évasion, exfiltration et impact). ...