IOC

Selon ESET Research, PromptSpy est le premier malware Android observé qui intègre de l’IA générative (Google Gemini) dans sa chaîne d’exécution pour assurer sa persistance. • Découverte et portée. PromptSpy est présenté comme un cas inédit d’exploitation opérationnelle de l’IA générative sur Android, avec un objectif principal de déploiement d’un module VNC offrant un accès distant complet à l’appareil compromis. Le malware dispose de multiples capacités malveillantes (exfiltration de données de l’écran de verrouillage, blocage de la désinstallation, collecte d’informations système, captures d’écran et enregistrements vidéo). À ce stade, aucune détection n’a été observée dans la télémétrie d’ESET, laissant envisager un statut de preuve de concept (PoC). ...

Selon VMRay Cybersecurity Blog (TLP: Green), une nouvelle étude détaille les opérations post‑exploitation de l’APT Hydra Saiga (a.k.a. Yorotrooper/ShadowSilk/Silent Lynx), active depuis au moins 2021, avec ciblage d’infrastructures critiques et usage systématique de Telegram comme C2. L’étude met en avant une activité soutenue jusqu’à fin 2025, une victimologie étendue (gouvernements, énergie, eau, santé, juridique, industrie, éducation, aviation) et une empreinte géopolitique cohérente avec une attribution au Kazakhstan (rythme UTC+5 et pauses lors des fêtes nationales). Le groupe a compromis au moins 34 organisations dans 8 pays, avec plus de 200 cibles en reconnaissance. Un marqueur distinctif est l’usage du Telegram Bot API pour piloter des implants. ...

Source: Korben — L’article relaie une publication d’IMDEA Networks et d’armasuisse montrant que les capteurs de pression des pneus (TPMS) émettent en clair des identifiants uniques sur 433 MHz, rendant possible le suivi passif de véhicules à grande échelle. Les chercheurs ont déployé 5 récepteurs SDR (~100 $ chacun, un Raspberry Pi 4 + un dongle RTL‑SDR) durant 10 semaines dans une ville et ont capté plus de 6 millions de messages provenant de plus de 20 000 véhicules. En corrélant les identifiants TPMS entre plusieurs points d’écoute, ils ont pu reconstituer des trajets, déduire des horaires de travail, identifier des jours de télétravail et même estimer des variations de charge du véhicule (indicatives de passagers), le tout sans caméras, GPS ni accès au réseau du véhicule. ...

Selon l’Institut national de test pour la cybersécurité (NTC), dans un communiqué du 26 février 2026, une analyse technique d’un an portant sur ~30 périphériques largement utilisés en Suisse (claviers, casques, webcams, systèmes de conférence) a mis au jour plus de 60 vulnérabilités, dont 13 graves et 3 critiques. Les appareils testés incluaient des produits de fabricants établis comme Logitech, Yealink, Jabra, HP, Eizo et Cherry, notamment utilisés dans des infrastructures critiques. ...

Source: : kaspersky.fr — article signé par Stan Kaminsky (27 fév. 2026). L’auteur analyse les menaces posées par OpenClaw (ex‑Clawdbot/Moltbot), un agent d’IA open source local se branchant à WhatsApp, Telegram, Signal, Discord et Slack, doté d’un accès étendu (fichiers, email, calendrier, navigateur, shell) et orchestré via une passerelle. Devenu viral dès janvier 2026, le projet a connu une vague de problèmes de sécurité (failles critiques, « skills » malveillantes, fuites de secrets via Moltbook), un conflit de marque avec Anthropic et même le détournement de son compte X pour des arnaques crypto. Le tout recoupe les risques de l’OWASP Top 10 for Agentic Applications. ...

Selon Security Blog (Karsten Hahn et John Dador), cette première partie d’une série en deux volets analyse l’infection initiale observée depuis novembre 2025 après un signalement Reddit, reliant des téléchargements sur le site pirate PiviGames à l’exécution du loader HijackLoader; la seconde partie couvrira le payload ACRStealer. 🎮 Contexte et vecteur: PiviGames, connu pour proposer des liens de jeux PC piratés, charge des scripts Cloudflare pour paraître légitime puis un JavaScript “pgedshop.js” qui orchestre des redirections conditionnées par cookies. La première visite envoie vers hxxps://adbuho[.]shop/HIx0J, puis vers un domaine aléatoire en .pro et enfin une URL MediaFire. L’utilisateur récupère “Full Version Setup 6419 Open.zip” (mot de passe “6419”), qui contient des ressources et un “Setup.exe”. Le lanceur est légitime mais déclenche une infection via DLL sideloading en chargeant Conduit.Broker.dll (HijackLoader). ...

Source: GreyNoise — GreyNoise documente une campagne de reconnaissance à grande échelle entre le 22 et le 25 février 2026 ciblant les pare-feux SonicWall SonicOS/SSL VPN. En quatre jours, 84 142 sessions issues de 4 305 IPs (20 AS) ont principalement sondé un unique endpoint API afin d’identifier les équipements avec SSL VPN activé, étape préalable aux attaques par identifiants. L’exploitation de CVE est restée marginale, confirmant une phase de cartographie d’attaque. Le risque est élevé car l’accès initial via SonicWall SSL VPN est un vecteur courant de rançongiciel (notamment Akira et Fog), avec des cas d’encryption < 4 h. ...

Selon un billet technique publié par Olivier Laflamme (26 février 2026), deux vulnérabilités critiques de type RCE affectent les robots Unitree Go2, co‑découvertes avec Ruikai (Pwn0), avec un calendrier de divulgation coordonné avec le Security Response Center de Unitree. — CVE-2026-27509. Nature: RCE non authentifiée via DDS. Sur le firmware V1.1.7, l’abus du DataWriter DDS exposé sur les topics rt/api/programming_actuator/* permet l’exécution arbitraire de Python en root. Le système Eclipse CycloneDDS (v0.10.2) est utilisé sans DDS-Sec; tout hôte du réseau peut rejoindre le domaine 0 et publier des messages structurés (Request_…) vers les topics concernés. La surface inclut des topics API (ex. programming_actuator request/response) découverts via multicast DDS, puis échangés en unicast. ...

Source: watchTowr Labs — Dans une publication technique, les chercheurs détaillent une nouvelle chaîne d’attaque menant à une exécution de code à distance (RCE) pré-authentifiée sur SolarWinds Web Help Desk (WHD), via désérialisation Java et contournements du modèle de sécurité WebObjects et des mécanismes de sanitation. 🚨 Contexte et historique: Le produit SolarWinds Web Help Desk, reposant sur le framework Java WebObjects, a déjà connu plusieurs failles de désérialisation pré-auth exploitées in-the-wild (ex. CVE-2024-28986) et des correctifs ultérieurs (CVE-2024-28988, CVE-2025-26399). Les auteurs revisitent ces chemins d’exploitation et montrent comment les correctifs précédents peuvent être contournés. ...

Selon Socket (Threat Research Team), un module Go malveillant imitant le dépôt de confiance golang.org/x/crypto — publié comme github[.]com/xinfeisoft/crypto — a été découvert avec une porte dérobée insérée dans ssh/terminal/terminal.go. Cette usurpation cible un composant fondamental de l’écosystème Go afin de collecter des secrets saisis via ReadPassword et de livrer une chaîne d’infection Linux. — Détail du leurre et de l’implant — Technique d’usurpation (« namespace confusion »): clone du code x/crypto avec faible modification apparente, ajoutant notamment la dépendance github.com/bitfield/script pour faciliter les requêtes HTTP et l’exécution de commandes. Backdoor dans ReadPassword: capture du secret, écriture locale dans /usr/share/nano/.lock, récupération d’un pointeur d’“update” hébergé sur GitHub Raw, exfiltration du mot de passe via HTTP POST, puis exécution d’un script reçu côté attaquant via /bin/sh. Écosystème et persistance: l’acteur utilise un fichier update.html sur GitHub comme canal de configuration (rotation d’URL sans republier le module). Le module a été servi par le miroir public Go jusqu’au 16 décembre 2025; la Go security team le bloque désormais via le proxy (403 SECURITY ERROR), tandis que le compte GitHub de l’éditeur reste public au moment de la rédaction. — Chaîne d’exécution Linux et charges — ...