IOC

Source : Elliptic (20 février 2026). Le billet fait le point douze mois après l’exploit de Bybit, attribué au DPRK et confirmé par le FBI, et décrit l’évolution des vols et du blanchiment crypto associés à la Corée du Nord. Elliptic rappelle que l’attaque contre Bybit (21 février 2025) a abouti au vol d’environ 1,46 Md$ en cryptoactifs – le plus grand vol confirmé à ce jour – et que la majorité des fonds a depuis été blanchie, notamment via des adresses de remboursement, la création de tokens sans valeur et une diversification inédite entre mixers, avec un recours important à des services OTC chinois suspectés (plus de 1 Md$ déjà blanchi à mi‑2025). ...

Source : Palo Alto Networks – Unit 42, Global Incident Response Report 2026 (février 2026). Dans plus de 750 interventions IR menées en 2025, le rapport met en évidence quatre tendances majeures: l’IA comme multiplicateur de force, l’identité comme périmètre effectif, l’extension du risque supply chain via connectivités de confiance (SaaS, outils, dépendances), et l’adaptation des acteurs étatiques à l’infrastructure et à la virtualisation. Plus de 90% des brèches ont été permises par des expositions évitables (visibilité limitée, contrôles inégaux, confiance d’identité excessive), et 87% des intrusions ont touché plusieurs surfaces d’attaque. ...

Source : Tech Xplore (20 février 2026), relayant des travaux du Georgia Institute of Technology présentés à l’ACM CCS 2025. L’article décrit une nouvelle attaque de backdoor contre les SuperNets d’IA utilisées par les véhicules autonomes, baptisée VillainNet. Les chercheurs expliquent que les SuperNets fonctionnent comme un « couteau suisse » d’IA, activant au besoin des sous-réseaux spécialisés. L’attaque empoisonne un seul de ces sous-réseaux, reste dormante tant qu’il n’est pas sollicité, puis se déclenche sous des conditions spécifiques (ex. réponse de l’IA à la pluie) 🚗🌧️. Une fois activée, l’attaque est « presque certaine » de réussir, offrant un contrôle au pirate sur le véhicule. ...

Selon l’équipe Mobile Threat Intelligence (MTI), une nouvelle famille de malware Android baptisée « Massiv » a été observée dans des campagnes ciblées, principalement en Europe, se faisant passer pour des applications IPTV afin de prendre le contrôle des appareils et mener des fraudes bancaires. • Nature de la menace. Massiv est un trojan bancaire Android axé Device Takeover (DTO), sans liens directs avec des menaces connues. Il combine overlays, keylogging, interception SMS/Push et un contrôle à distance complet de l’appareil, avec un C2 en WebSocket et opérations en screen streaming (MediaProjection) ou en mode UI-tree (traversée Accessibility pour contourner les protections anti-capture). ...

ESET Research (WeLiveSecurity) publie l’analyse de PromptSpy, « premier » malware Android observé à intégrer de l’IA générative dans son flux d’exécution. Découvert en février 2026, il s’appuie sur Google Gemini pour guider des interactions d’interface contextuelles et maintenir la persistance, tout en déployant un module VNC pour un accès à distance complet. Les échantillons semblent viser prioritairement l’Argentine et pourraient avoir été développés dans un environnement sinophone. 🧪 Fonctionnalité IA générative (Gemini) 🤖: PromptSpy sérialise en XML l’état courant de l’UI (texte, types, packages, bounds) et l’envoie à Gemini, qui renvoie des instructions JSON (taps, swipes, long press) pour exécuter le geste « verrouiller l’app dans les applications récentes » — un mécanisme de persistance résistant aux variations d’UI selon les modèles et versions Android. Le malware boucle jusqu’à confirmation explicite de réussite par l’IA. ...

Selon Check Point Research (blog.checkpoint.com), une recherche publiée le 19/02/2026 décrit une technique potentielle où des assistants IA avec capacité de navigation web pourraient être exploités comme relais de commande‑et‑contrôle (C2) furtifs ; cette approche a été démontrée en environnement contrôlé contre Grok et Microsoft Copilot, sans preuve d’exploitation active à ce stade. • Technique démontrée (C2 via assistants IA) 🤖: en incitant un assistant IA à « fetch » et résumer une URL contrôlée par l’attaquant, un malware peut exfiltrer des données et récupérer des commandes sans contacter directement un serveur C2 traditionnel. L’interaction peut se faire sans clés API ni comptes authentifiés, rendant moins efficaces les mécanismes de takedown classiques. Du point de vue réseau, le trafic ressemble à un usage IA légitime, l’AI servant de proxy/relai furtif au sein des communications autorisées en entreprise. ...

Source et contexte : Cato Networks (Cato CTRL Threat Research) publie une analyse technique d’un nouveau loader baptisé « Foxveil », actif depuis août 2025, qui s’appuie sur des plateformes cloud de confiance pour le staging et déploie du shellcode en mémoire avec des techniques d’injection et d’évasion avancées. Foxveil s’appuie sur des infrastructures « de confiance » (Cloudflare Pages, Netlify, Discord) pour héberger ses charges de second étage, ce qui brouille les signaux réseau et rend inefficaces les simples listes de blocage. Deux variantes sont observées : v1 (staging surtout via Cloudflare/Netlify) et v2 (staging souvent via pièces jointes Discord). La campagne est en cours depuis août 2025. ...

Selon Trail of Bits (blog), dans une analyse publiée en février 2026, deux bibliothèques populaires, aes-js (JavaScript) et pyaes (Python), exposent leurs utilisateurs à des failles cryptographiques en fournissant un IV par défaut en mode AES-CTR, ce qui a entraîné des vulnérabilités dans de nombreux projets en aval, dont strongMan (outil de gestion pour strongSwan), qui a été corrigé. Problème central: IV par défaut (0x00000000_00000000_00000000_00000001) en AES-CTR dans aes-js et pyaes, avec des exemples de documentation omettant l’IV. Cela favorise la réutilisation clé/IV, permettant la récupération de l’XOR des textes en clair et rendant le chiffrement très fragile (récupération de masques et secrets en chaîne). ...

Source : Kaspersky (Securelist) — Dans une publication de recherche, les analystes détaillent « Keenadu », un nouveau backdoor Android intégré à la chaîne d’approvisionnement du firmware, capable de s’injecter dans tous les processus via Zygote et d’offrir un contrôle quasi illimité des appareils infectés. L’étude couvre l’architecture, les charges utiles, les vecteurs de distribution (firmware, apps système et stores), et des liens avec d’autres botnets Android majeurs. • Vecteur et mécanisme d’infection. Keenadu est intégré durant la phase de build du firmware via une bibliothèque statique malveillante liée à libandroid_runtime.so, parfois livrée via mises à jour OTA signées. À l’exécution, il s’injecte dans Zygote et opère dans chaque application, rendant le sandboxing caduc. Il implémente une architecture client-serveur binder (AKClient/AKServer) au sein de system_server, avec des interfaces permettant de donner/révoquer des permissions, de collecter la géolocalisation et d’exfiltrer des données de l’appareil. Un kill switch est présent (fichiers spécifiques, détection langue/zone chinoises, absence de Google Play/Services). Les communications et charges sont chiffrées (RC4/AES‑CFB, signature DSA, MD5) et chargées via DexClassLoader. ...

Selon Cyderes – Howler Cell Threat Research Team (publié le 16 février 2026), 0APT est un ransomware écrit en Rust apparu avec une campagne de bluff revendiquant plus de 200 victimes, mais sans preuves vérifiables; l’équipe a néanmoins confirmé l’existence d’une plateforme RaaS fonctionnelle et de charges malveillantes opérationnelles. Cyderes souligne des doutes sur la crédibilité des fuites: un site onion listait de nombreuses victimes avant de disparaître, la section « leaks » du panneau RaaS propose des archives prétendument volumineuses qui ne se téléchargent pas, et aucune capture de données compromises n’est fournie. Les annonces massives et rapides (≈200 victimes) sans artefacts contredisent les pratiques des groupes de rançongiciels matures, renforçant l’hypothèse d’une campagne de bluff destinée à impressionner. ...