IOC

🌐 Contexte Publié le 17 avril 2026 par DomainTools, ce rapport constitue une analyse de menace approfondie portant sur l’évolution des personas cyber Homeland Justice, Karma/KarmaBelow80 et Handala, évalués à haute confiance comme constituant un écosystème cyber-influence coordonné aligné sur le MOIS (Ministry of Intelligence and Security iranien). 🎭 Attribution et structure L’analyse établit que ces trois personas ne sont pas des groupes hacktivistes indépendants mais des couches opérationnelles d’un appareil centralisé unique. Un individu nommé Seyed Yahya Hosseini Panjaki, affilié au MOIS, est identifié comme occupant une fonction de commandement au sein de cette structure. Chaque persona remplit un rôle distinct : ...

🗓️ Contexte Publié le 17 avril 2026 sur IT-Connect par Florian Burnel, cet article traite de deux nouvelles vulnérabilités affectant PHP Composer, l’outil de gestion de dépendances très répandu dans l’écosystème PHP. 🔍 Vulnérabilités identifiées Deux failles de sécurité ont été divulguées, toutes deux localisées dans le pilote VCS (Version Control System) Perforce de Composer : CVE-2026-40176 (CVSS : 7.8/10) : vulnérabilité de mauvaise validation des entrées. Un attaquant contrôlant la configuration d’un dépôt via un fichier composer.json malveillant déclarant un dépôt Perforce VCS peut injecter des commandes arbitraires, exécutées avec les privilèges de l’utilisateur lançant Composer. CVE-2026-40261 (CVSS : 8.8/10) : vulnérabilité d’échappement inadéquat. Elle permet l’injection de commandes via une référence de source manipulée contenant des métacaractères shell. ⚠️ Ces failles sont exploitables même si Perforce VCS n’est pas installé sur la machine cible. ...

🔍 Contexte Source : Breakglass Intelligence (intel.breakglass.tech), publiée le 17 avril 2026. L’analyse fait suite à la détection d’un pull de configuration malveillante en direct le 16 avril 2026, pointant vers un serveur C2 à 137.220.153.175:886. L’investigation a permis de reconstituer l’intégralité de la chaîne d’infection en quelques heures. 🎯 Acteur et ciblage Silver Fox APT (alias Void Arachne / CL-STA-0048 / UTG-Q-1000) est un groupe chinois principalement connu pour le déploiement de ValleyRAT (aussi classifié Winos 4.0), un dérivé de Gh0st RAT. Historiquement centré sur les victimes sinophones, le groupe a étendu ses opérations au Japon, à la Malaisie et à l’Asie du Sud-Est depuis décembre 2025. Cette campagne cible spécifiquement des victimes japonaises via un leurre de facture Rakuten en langue japonaise. ...

🔍 Contexte Publié sur GitHub par BoostSecurity Labs, SmokedMeat est un framework red team post-exploitation ciblant les pipelines CI/CD. Il est présenté comme l’équivalent de Metasploit pour les environnements d’intégration et de déploiement continus. 🛠️ Description technique SmokedMeat est composé de trois composants principaux : Counter : interface TUI opérateur (terminal) Kitchen : serveur C2 (teamserver) gérant les sessions, stagers, callbacks et graphe d’attaque Brisket : implant déployé sur les runners CI compromis, assurant le beaconing, l’exécution de commandes et le pivoting Le framework intègre également un scanner SAST de pipelines (poutine, embarqué) et un scanner de secrets (gitleaks, embarqué). ...

📰 Source : Lawfare / Seriously Risky Business (Tom Uren), publié le 17 avril 2026. 🌍 Surveillance géolocalisation : Webloc / Penlink Le Citizen Lab a publié un rapport approfondi sur Webloc, un système de surveillance adtech développé par Cobweb Technologies et désormais commercialisé par la société américaine Penlink (fusion en 2023). Selon un document technique interne divulgué, Webloc donne accès à des enregistrements provenant de jusqu’à 500 millions d’appareils mobiles dans le monde, incluant identifiants de dispositifs, coordonnées GPS et données de profil issues d’applications mobiles et de la publicité numérique. ...

🔍 Contexte Publié sur GitHub (xaitax/TotalRecall), cet article présente TotalRecall Reloaded, un outil offensif ciblant la fonctionnalité Windows Recall de Microsoft. Il s’agit d’une analyse technique détaillée accompagnée d’un outil fonctionnel démontrant plusieurs failles architecturales dans la conception de sécurité de Recall. 🏗️ Architecture et vulnérabilité fondamentale Microsoft a sécurisé Windows Recall avec VBS enclaves, chiffrement AES-256-GCM, authentification Windows Hello et un hôte Protected Process Light (PPL). Cependant, le processus de rendu AIXHost.exe ne bénéficie d’aucune de ces protections (pas de PPL, pas d’AppContainer, pas d’enforcement d’intégrité de code). Tout processus s’exécutant en tant qu’utilisateur connecté peut y injecter du code et appeler les mêmes API COM que l’interface légitime. ...

🗓️ Contexte Source : Help Net Security, article de Zeljka Zorz publié le 17 avril 2026. L’article couvre la publication successive de trois exploits zero-day ciblant Microsoft Defender, ainsi que leur exploitation active observée dans la nature. 🔍 Les trois exploits Un chercheur anonyme opérant sous les pseudonymes Chaotic Eclipse et Nightmare Eclipse a publié trois PoC sur GitHub : BlueHammer (publié le 3 avril 2026) : vulnérabilité d’élévation de privilèges dans Microsoft Defender. Associée au CVE-2026-33825, corrigée par Microsoft le 14 avril 2026. Les chercheurs officiellement crédités pour ce CVE sont Zen Dodd et Yuanpei Xu, distincts du chercheur anonyme. RedSun (publié le 16 avril 2026) : second flaw d’élévation de privilèges dans Microsoft Defender. Son efficacité a été confirmée par le vulnerability analyst Will Dormann. UnDefend (publié le 16 avril 2026) : permet à un utilisateur standard de bloquer les mises à jour de signatures de Microsoft Defender ou de le désactiver entièrement lors d’une mise à jour majeure. Le dépôt GitHub reste accessible malgré un avertissement de la plateforme (propriété de Microsoft). ...

📰 Source : BleepingComputer — Date : 13 avril 2026 Adobe a publié une mise à jour de sécurité d’urgence pour Acrobat Reader afin de corriger la vulnérabilité CVE-2026-34621, activement exploitée en conditions réelles depuis au moins décembre 2025. 🔍 Nature de la vulnérabilité La faille permet à des fichiers PDF malveillants de contourner les restrictions du sandbox d’Acrobat Reader et d’invoquer des API JavaScript privilégiées, pouvant mener à une exécution de code arbitraire. Aucune interaction utilisateur n’est requise au-delà de l’ouverture du PDF. ...

🔍 Contexte Article publié le 16 avril 2026 par Puja Srivastava sur le blog Sucuri. Il s’agit d’une analyse technique issue d’une investigation de nettoyage de malware sur un site Joomla compromis, dont le propriétaire signalait l’apparition de liens produits suspects sans rapport avec son activité. 🧩 Mécanisme d’infection Les attaquants ont injecté un bloc de code PHP fortement obfusqué en tête du fichier index.php du site Joomla. Le code est structuré en quatre fonctions PHP : ...

🔍 Contexte Rapid7 a publié le 16 avril 2026 une analyse technique d’une campagne de phishing de type ClickFix détectée le 9 avril 2026 auprès de clients situés dans l’Union Européenne et aux États-Unis. La campagne présentait peu de visibilité sur VirusTotal au moment de sa découverte. 🎯 Vecteur d’attaque La campagne se distingue par l’usurpation de l’identité de Claude, l’assistant IA d’Anthropic. Un faux installateur MSIX (claude.msixbundle) était servi depuis le domaine download-version[.]1-5-8[.]com. L’exécution initiale passait par mshta lancé via l’utilitaire Windows Run, enregistré dans la clé de registre RunMRU. ...