IOC

BlueVoyant rapporte, via son SOC, la découverte d’un nouveau backdoor (A0Backdoor) utilisé dans des opérations d’usurpation Microsoft Teams et d’abus de Quick Assist, actives au moins d’août 2025 à fin février 2026. Le cœur de l’évolution est un canal C2 DNS basé sur des enregistrements MX. Le malware génère des sous-domaines à forte entropie par requête (portant des métadonnées de beacon), envoie des requêtes MX, puis décode la gauche du label “exchange” retourné par l’autorité DNS, où sont encodées les commandes/configurations via un alphabet alphanumérique sûr pour les domaines. L’usage de MX vise à se fondre dans le trafic légitime et à éviter les contrôles focalisés sur le tunnel DNS TXT. Les endpoints ne contactent que des resolveurs publics de confiance (ex. 1.1.1.1, 8.8.8.8), les réponses étant servies par des zones autoritatives contrôlées par l’attaquant (self-hosted ns1/ns2 ou Cloudflare) 🎯. ...

Selon Check Point Research, cette publication analyse « Handala Hack », persona opéré par l’acteur iranien Void Manticore (a.k.a. Red Sandstorm, Banished Kitten) affilié au MOIS, connu pour des opérations de type « hack-and-leak » et des attaques destructrices par wipers, principalement contre Israël, l’Albanie (via Homeland Justice) et plus récemment des entreprises américaines (ex. Stryker). • Contexte et attribution. Handala Hack est l’une des trois façades opérationnelles de Void Manticore (avec Homeland Justice et l’ancien Karma). Les intrusions partagent des TTPs similaires et des recouvrements de code dans les wipers. Des coopérations passées avec Scarred Manticore sont mentionnées. Les opérations 2024–2026 restent centrées sur des actions manuelles « hands-on » avec outils publics, services criminels pour l’accès initial, et indicateurs éphémères (VPN commerciaux, outils open source). ...

Selon Cisco Talos (billet signé par Kri Dontje), l’équipe Vulnerability Discovery & Research a publié des avis sur des vulnérabilités touchant Microsoft DirectX, OpenFOAM et la bibliothèque Libbiosig; la plupart ont été corrigées par les éditeurs, à l’exception de celle de DirectX, et une couverture Snort est disponible. • Microsoft DirectX — Élévation locale de privilèges (LPE) non corrigée: TALOS-2025-2293 (CVE-2025-68623), découverte par KPC (Cisco Talos). La faille réside dans le processus d’installation de DirectX End-User Runtime (provenant de l’ancien SDK DirectX), présent notamment sur Windows XP SP2, Windows Server 2003 SP1, Windows Vista, Windows 7, Windows 8/8.1, Windows 10 et équivalents Server. Un utilisateur à faible privilège peut remplacer un exécutable pendant l’installation, pouvant entraîner une élévation involontaire de privilèges. ❗ Non corrigée à la date de la publication. ...

Selon une publication de recherche d’Orange Innovation Poland, ce travail examine comment la cyber threat intelligence (CTI) doit évoluer pour couvrir les menaces propres aux systèmes d’IA, en structurant les sources (vulnérabilités, incidents, TTP), en définissant des IoC spécifiques à l’IA et en proposant des méthodes de similarité pour détecter modèles/datasets malveillants. Le papier compare la CTI « classique » et la CTI pour l’IA, en listant des actifs et vulnérabilités propres à l’IA (ex. empoisonnement de données, backdoors dans les modèles, adversarial examples, inversion de modèle, prompt injection). Il cartographie les phases d’attaque adaptées au cycle ML (reconnaissance des artefacts ML, accès initial via API/produit, exécution, persistance via backdoor, élévation de privilèges notamment sur LLMs, évasion, exfiltration et impact). ...

Source: tip-o-deincognito (GlassWorm: Part 2). Ce suivi technique couvre 72 h supplémentaires de monitoring de l’infostealer macOS GlassWorm, détaillant la rotation d’infrastructure C2 via mémos Solana, la persistance des panels de gestion, la poursuite des injections GitHub et une mise à jour des IoCs. L’opérateur a publié trois mémos Solana le 13 mars menant à de nouveaux C2, a fait tourner les chemins de payload et maintient plusieurs serveurs C2 Socket.IO actifs en parallèle. Malgré un kill switch HTTP (process.exit(0)), les serveurs continuent l’« inventory-only mode » et les injections GitHub se sont poursuivies jusqu’au 14 mars. Le DHT (ex-« push-like » de config) a été abandonné, au profit de mémos Solana publics. ...

Source: tip-o-deincognito (write-up technique). Contexte: analyse statique et surveillance live (57 h) d’une variante GlassWorm macOS distribuée via des extensions Open VSX compromises, avec mise en évidence d’un C2 résilient (BitTorrent DHT + Solana), d’un stealer multi-cibles et d’un RAT persistant. • Infection supply chain via extensions VS Code (compte “oorzc” — ssh-tools, i18n-tools-plus, mind-map, scss-to-css-compile, 22k+ téléchargements). Le package npm injecte un preinstall.js contenant une stéganographie Unicode (sélecteurs de variation) pour dissimuler le blob AES-256-CBC menant au loader Stage 1. Exclusion CIS via détection de locale russe + fuseau/offset. Un kill switch base64 de 20 caractères est géré côté Stage 1 (eval), mais échoue côté RAT persistant. ...

Contexte: IBM X-Force publie une analyse détaillée d’un nouveau backdoor/C2 baptisé “Slopoly”, vraisemblablement généré par un LLM et observé lors d’une attaque ransomware opérée par le cluster financier Hive0163. – Découverte et portée IBM X-Force a identifié un script PowerShell client d’un framework C2 inédit, nommé Slopoly, déployé en phase tardive d’une intrusion ransomware attribuée à Hive0163 (acteur financier déjà lié à InterlockRAT, NodeSnake, JunkFiction, Interlock ransomware). Slopoly a permis une persistance > 1 semaine sur un serveur compromis. L’analyse souligne l’adoption croissante de l’IA par les cybercriminels, ouvrant une phase d’« armes éphémères » où du malware généré rapidement abaisse fortement les barrières à l’entrée. ...

Source: Huntress — Dans une analyse technique, Huntress SOC décrit des incidents survenus en février 2026 mettant en lumière l’exfiltration de données avec Restic (renommé en winupdate.exe), la désactivation d’outils de sécurité, puis le déploiement du ransomware INC. Le 25 février 2026, après un accès initial la veille, le threat actor a mappé un partage réseau (F:), utilisé PsExec pour s’élever en privilèges, puis créé une tâche planifiée « Recovery Diagnostics » exécutant un script PowerShell. Des commandes PowerShell encodées en base64 ont défini des variables d’environnement (AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY, RESTIC_REPOSITORY vers Wasabi S3, RESTIC_PASSWORD en clair « password ») avant d’appeler c:\windows\system32\winupdate.exe, qui est en réalité restic.exe renommé. Une commande suivante a lancé « backup –files-from C:\Users\Public\Documents\new.txt », suggérant l’utilisation d’une liste de fichiers, nécessitant vraisemblablement une connaissance préalable de l’environnement. ...

Endor Labs publie une analyse détaillée du retour de la campagne PhantomRaven, révélant trois nouvelles vagues (2, 3 et 4) réparties entre novembre 2025 et février 2026, totalisant 88 paquets npm malveillants, dont 81 encore disponibles au moment de l’écriture, et 2 C2 sur 3 toujours actifs. Une mise à jour précise que l’opérateur a modifié l’infrastructure et les charges utiles servies à distance (ex. un script minimal « Hello, world! » désormais renvoyé par le domaine de la vague 2), illustrant le risque des dépendances URL qui permettent de changer silencieusement le code sans nouvelle version publiée. ...

Source et contexte: Prépublication (UK AI Security Institute / University of Oxford), datée du 4 mars 2026. L’article introduit SANDBOXESCAPEBENCH, un benchmark et une méthodologie d’évaluation « sandbox-in-sandbox » pour mesurer si des agents LLM peuvent sortir d’un conteneur et lire un fichier /flag.txt sur l’hôte. • Le benchmark couvre 18 scénarios d’orchestration (K8s), de runtime (Docker/OCI) et de noyau Linux, avec une architecture d’évaluation par CTF et un double isolement (VM + conteneur) afin d’éviter tout risque pour l’infrastructure. Les auteurs publient les 18 niveaux et un provider de sandbox VM pour Inspect (Vagrant/EC2), avec un jeu de test privé. ...