IOC

🎯 Contexte Publié le 20 mars 2026 par Aikido Security (Charlie Eriksen), cet article documente la détection le 20 mars 2026 à 20h45 UTC d’une campagne de compromission massive de packages NPM, baptisée CanisterWorm, attribuée au groupe TeamPCP. Cette attaque fait suite à une compromission de l’outil Trivy moins de 24 heures auparavant, documentée par Wiz. 📦 Packages compromis 28 packages dans le scope @EmilGroup 16 packages dans le scope @opengov @teale.io/eslint-config @airtm/uuid-base32 @pypestream/floating-ui-dom 🏗️ Architecture en trois étapes Stage 1 – Loader Node.js (postinstall) : Un hook postinstall dans index.js décode un payload base64 (script Python), crée un service systemd utilisateur pgmon.service avec Restart=always, et le démarre immédiatement. Aucun accès root requis. Stage 2 – Backdoor Python persistante : Le script service.py attend 5 minutes (évasion sandbox), puis interroge toutes les ~50 minutes un canister ICP (tdtqy-oyaaa-aaaae-af2dq-cai.raw.icp0.io) pour obtenir une URL de payload. Il télécharge le binaire vers /tmp/pglog, l’exécute en processus détaché, et sauvegarde l’URL dans /tmp/.pg_state. Un kill switch est intégré : si l’URL contient youtube.com, le payload est ignoré. Stage 3 – Ver de propagation (deploy.js) : Outil initialement manuel utilisant des tokens NPM volés pour énumérer tous les packages publiables d’un compte, incrémenter la version patch, préserver le README original, et republier avec --tag latest. 🐛 Évolution vers l’auto-propagation Environ une heure après la vague initiale, une mise à jour de @teale.io/eslint-config (versions 1.8.11 et 1.8.12) a introduit la fonction findNpmTokens() qui : ...

🔍 Contexte Publié le 16 mars 2026 par le Google Threat Intelligence Group (GTIG), ce rapport analyse les tactiques, techniques et procédures (TTPs) observées lors des incidents ransomware traités par Mandiant Consulting en 2025. Il couvre des victimes situées en Asie-Pacifique, Europe, Amérique du Nord et du Sud, dans presque tous les secteurs d’activité. 📊 Paysage ransomware 2025 Record historique de posts sur les Data Leak Sites (DLS) en 2025, dépassant 2024 de près de 50% La rentabilité globale est en déclin : taux de paiement de rançon au plus bas historique en Q4 2025 (Coveware), demande moyenne réduite d’un tiers à 1,34 M$ en 2025 contre 2 M$ en 2024 (Sophos) Près de la moitié des victimes ont pu restaurer depuis des sauvegardes en 2024 (contre 28% en 2023 et 11% en 2022) LockBit, ALPHV, Basta et RansomHub ont été perturbés ou ont disparu ; Qilin et Akira ont comblé le vide REDBIKE (Akira) est la famille ransomware la plus déployée : ~30% des incidents Montée en puissance des opérations de data theft extortion seule (sans chiffrement) Ciblage croissant des petites organisations (moins de 200 employés) Adoption de technologies Web3 (ICP blockchain, Polygon smart contracts) pour la résilience des infrastructures Intégration de l’IA dans les opérations (négociations, analyse des victimes) Doublement des familles ransomware cross-platform (Windows + Linux) 🎯 Vecteurs d’accès initial Exploitation de vulnérabilités : 1/3 des incidents (VPNs et firewalls principalement) Fortinet : CVE-2024-21762, CVE-2024-55591, CVE-2019-6693 SonicWall : CVE-2024-40766 Palo Alto : CVE-2024-3400 Citrix : CVE-2023-4966 Microsoft SharePoint : CVE-2025-53770, CVE-2025-53771 (zero-day par UNC6357) SAP NetWeaver : CVE-2025-31324 CrushFTP : CVE-2025-31161 CVE-2025-8088 exploité en zero-day par UNC2165 CVE-2025-61882 exploité contre Oracle EBS (CL0P) Credentials volés : 21% des incidents identifiés (VPN, RDP) Malvertising / SEO poisoning : UNC6016 (→ NITROGEN, RHYSIDA), UNC2465 (→ SMOKEDHAM) Bruteforce : attaques prolongées sur VPNs (ex. Daixin sur près d’un an) Accès via subsidiaires ou tiers (réseaux intermédiaires) Ingénierie sociale : UNC5833 via Microsoft Teams + Quick Assist 🔧 TTPs post-compromission Établissement de foothold : ...

🔍 Contexte Article publié le 24 mars 2026 sur le blog personnel de l’analyste 7amthereaper. Il s’agit d’une analyse technique complète et d’un reverse engineering du malware Brbbot, présenté comme un trojan/bot pouvant également fonctionner comme backdoor. 🧬 Identification du sample Le sample analysé est identifié par le hash SHA256 : f9227a44ea25a7ee8148e2d0532b14bb640f6dc52cb5b22a9f4fa7fa037417fa. ⚙️ Comportements observés L’analyse statique et dynamique révèle les comportements suivants : Persistance : modification de la clé de registre \Microsoft\Windows\CurrentVersion\Run avec la valeur brbbot Fichier de configuration chiffré : dépôt d’un fichier brbbotconfig.tmp sur le disque, chiffré avec la clé YnJiYm90 Chiffrement : utilisation de l’API Windows CryptDecrypt pour déchiffrer la configuration Énumération des processus : via ZwQuerySystemInformation résolu dynamiquement (Dynamic API Resolution) depuis ntdll.dll Communication C2 : requêtes HTTP vers brb.3dtuts.by ciblant le fichier ads.php, avec exfiltration de données chiffrées par XOR avec la clé 0x5b 📋 Commandes bot identifiées La configuration déchiffrée révèle les commandes suivantes : ...

🔍 Contexte Analyse publiée le 20 mars 2026 par Xavier Mertens (ISC SANS Handler) suite à la découverte d’un script Bash malveillant installant un backdoor basé sur GSocket/gs-netcat. Le vecteur de livraison initial est inconnu. Le sample a été identifié sur VirusTotal avec seulement 17 détections antivirus. 🛠️ Fonctionnement du malware GSocket est un outil réseau légitime permettant des communications pair-à-pair via un réseau de relais global, en utilisant un secret partagé plutôt que des adresses IP. L’outil gs-netcat est détourné ici pour fournir un shell distant et un canal C2. ...

🔍 Contexte Le 18 mars 2026, le Google Threat Intelligence Group (GTIG) a publié une analyse détaillée d’une nouvelle chaîne d’exploit iOS baptisée DarkSword, identifiée depuis au moins novembre 2025. Cette recherche est publiée en coordination avec Lookout et iVerify. 🎯 Description de la menace DarkSword est une chaîne d’exploit iOS full-chain exploitant 6 vulnérabilités zero-day pour compromettre complètement des appareils sous iOS 18.4 à 18.7. Elle utilise exclusivement du JavaScript pour toutes les étapes de l’exploitation, éliminant le besoin de contourner PPL ou SPTM. ...

🔍 Contexte Publié le 24 mars 2026 par les chercheurs Mark Tsipershtein et Evgeny Ananin (LevelBlue/SpiderLabs), cet article présente une analyse technique approfondie de MioLab (alias Nova), une plateforme Malware-as-a-Service (MaaS) ciblant exclusivement macOS, activement promue sur des forums russophones. 🎯 Présentation de la menace MioLab est un infostealer macOS commercialisé avec un panel web, une API complète et un builder visuel. Il supporte les architectures Intel x86-64 et Apple Silicon ARM64, de macOS Sierra à Tahoe. Le payload est écrit en C, pèse environ 100 KB et emploie une obfuscation XOR dynamique à l’exécution. ...

🔔 Contexte Oracle a publié le 19 mars 2026 (révisé le 20 mars 2026) une alerte de sécurité officielle sur son portail Security Alerts, adressant la vulnérabilité CVE-2026-21992 affectant des composants de la suite Oracle Fusion Middleware. 🎯 Vulnérabilité concernée CVE : CVE-2026-21992 Score CVSS v3.1 : 9.8 (Critique) Vecteur d’attaque : Réseau, sans authentification requise Complexité : Faible Impact : Confidentialité, Intégrité et Disponibilité — tous High Protocole : HTTP (et HTTPS par extension) Scope : Unchanged 🛠️ Produits affectés Oracle Identity Manager — Composant : REST Web Services Oracle Web Services Manager — Composant : Web Services Security Les deux produits sont couverts par la même CVE et présentent le même score de risque. ...

🌐 Contexte Cet article est publié le 24 mars 2026 par CrowdStrike sur son blog officiel. Il analyse l’impact de l’opération de démantèlement de Tycoon2FA, une plateforme Phishing-as-a-Service (PhaaS) par abonnement, annoncée par Europol le 4 mars 2026. 🎯 Description de la menace Tycoon2FA est opérationnelle depuis 2023. Elle fournit un kit de phishing basé sur des techniques adversary-in-the-middle (AITM) permettant de contourner l’authentification multifacteur (MFA). En mi-2025, elle était responsable de 62% de toutes les tentatives de phishing bloquées par Microsoft et aurait généré plus de 30 millions d’emails malveillants en un seul mois. ...

🔍 Contexte Publié le 24 mars 2026 par Acronis Threat Research Unit (TRU), cet article présente une analyse technique approfondie de campagnes de distribution du malware Vidar Stealer 2.0 via de faux outils de triche pour jeux vidéo, hébergés principalement sur GitHub et promus sur Reddit. 🎯 Vecteur d’infection et ciblage Les attaquants exploitent les communautés de joueurs cherchant des cheats gratuits (aimbots, wallhacks, etc.) sur Discord, Reddit et GitHub. Les victimes sont incitées à : ...

🔍 Contexte Publié le 24 mars 2026 par Gen Threat Labs (GenDigital), cet article présente une analyse technique approfondie de VoidStealer, un infostealer de type MaaS (Malware-as-a-Service) commercialisé depuis mi-décembre 2025 sur des forums darkweb, notamment HackForums. 🦠 Présentation de VoidStealer VoidStealer est un infostealer MaaS dont le développement actif a produit 12 versions entre le 12 décembre 2025 et le 18 mars 2026. La version v2.0 (13 mars 2026) a introduit la technique novatrice de bypass ABE analysée dans cet article. Il cible Chrome et Edge (navigateurs basés sur Chromium). ...