IOC

Security Blog publie un retour d’expérience détaillé sur l’usage d’LLMs (GPT‑5.1/mini, Claude Sonnet 4.6/Opus) dans un labo d’analyse de malwares, basé sur des tests concrets (dont CVE‑2017‑11882) et l’intégration d’outils via MCP. 🧪 Mise en place et premiers essais L’auteur déploie deux VMs (Remnux et Windows 10) et connecte des serveurs MCP (remnux, remnux-docs, x64dbg, virustotal, ssh-mcp, ghidra-mcp) pour piloter analyse statique/dynamique. Sur un document Office exploitant CVE‑2017‑11882 (Equation Editor), GPT‑5.1‑mini échoue (faux positifs, mauvaise lecture d’oletools “decalage.info”, échecs avec Unicorn/Speakeasy). GPT‑5.1 et Claude Sonnet 4.6 réussissent avec guidage : extraction du shellcode, émulation Speakeasy et récupération de l’URL du stage suivant. Sonnet 4.6 identifie seul l’exploit et la zone du shellcode, mais requiert l’émulation pour obtenir l’URL. 🚀 Efficacité vs fiabilité ...

Source et contexte — Microsoft Threat Intelligence publie une analyse sur l’« opérationnalisation » de l’IA par les acteurs malveillants à toutes les étapes de la chaîne d’attaque. Le billet distingue l’IA comme accélérateur vs arme, illustre des cas concrets impliquant des groupes nord‑coréens (Jasper Sleet, Coral Sleet, Emerald Sleet, Sapphire Sleet) et met en avant l’usage de techniques de jailbreak pour contourner les garde‑fous des modèles. Usages le long du cycle d’attaque 🔎 ...

Source: Ctrl-Alt-Intel — Des chercheurs ont compromis et analysé un serveur d’infrastructure d’un APT iranien attribué à MuddyWater (MOIS), exposant outils C2, scripts, journaux et données victimes. Le billet recoupe des éléments publiés par Group-IB et ESET, et s’appuie sur des pivots Hunt.io, avec des chevauchements d’indicateurs observés également par Huntress. • Contexte et attribution. L’équipe attribue avec haute confiance l’infrastructure à MuddyWater (a.k.a. Static Kitten, Mango Sandstorm, Earth Vetala, Seedworm, TA450). Des artefacts linguistiques en persan, des recoupements d’infrastructures C2 et une victimologie cohérente (Israël, Jordanie, Égypte, EAU, Portugal, États‑Unis) étayent l’évaluation. Un VPS aux Pays-Bas contenait des binaires C2, scripts et journaux d’opérations, avec réutilisation d’IP déjà signalées par Group‑IB et ESET. ...

Selon Socket (équipe de recherche sur les menaces), un acteur nommé “nhattuanbl” a publié sur Packagist des packages Laravel malveillants qui installent un RAT PHP chiffré via les dépendances Composer, permettant un accès à distance et un canal C2. Packages concernés: nhattuanbl/lara-helper et nhattuanbl/simple-queue embarquent la charge utile dans src/helper.php (identiques byte‑à‑byte). nhattuanbl/lara-swagger est propre mais dépend de lara-helper, entraînant l’installation silencieuse du RAT. Activation: dans lara-helper, inclusion via un service provider Laravel (auto-discovery) à chaque boot; dans simple-queue, inclusion au chargement de la classe (autoload), déclenchée même par class_exists(). Obfuscation: contrôle par goto en spaghetti, chaînes en hex/octal, identifiants aléatoires. Auto‑persistance: au premier include, le script se relance en arrière-plan (CLI arg helper) et utilise un lock file temp (wvIjjnDMRaomchPprDBzzVSpzh61RCar.lock, expiration 15 min). 🕸️ C2 et capacités ...

Source et contexte — Radware. Dans un rapport couvrant la période du 28 février au 2 mars 2026, Radware relie une vague coordonnée d’attaques DDoS hacktivistes à l’offensive militaire « Operation Epic Fury » (États‑Unis/Israël, dite « Roaring Lion » en Israël). Les collectifs pro‑iraniens et alliés se sont mobilisés en moins de neuf heures, déclenchant une campagne de perturbation numérique à grande échelle. Points clés et volumétrie. Entre le 28 février et le 2 mars, neuf groupes ont revendiqué 107 attaques contre 81 organisations dans huit pays du Moyen‑Orient. Le paysage est très concentré : Keymous+ (35,5%) et DieNet (32,7%) totalisent près de 70% des revendications, suivis par Conquerors Electronic Army (11,2%), 313 Team (6,5%), NoName057(16) (6,5%) et Nation of Saviors (3,7%). À l’échelle mondiale sur la même fenêtre (149 revendications, 110 organisations, 16 pays, 12 groupes), Keymous+ (26,8%), DieNet (25,5%) et NoName057(16) (22,2%) cumulent 74,6% des revendications. ...

SECURITY.COM, dans un contexte d’escalade militaire entre les États‑Unis/Israël et l’Iran fin février 2026, détaille une campagne en cours depuis début février attribuée à l’APT iranien Seedworm (MuddyWater/Temp Zagros/Static Kitten). Des activités ont été observées sur les réseaux d’une banque américaine, d’un aéroport américain, d’ONG aux US et au Canada, et de la filiale israélienne d’un éditeur logiciel US. 🚨 Détails techniques et artifacts clés Backdoor inconnue baptisée Dindoor, basée sur le runtime Deno (JavaScript/TypeScript), repérée chez l’éditeur (cible en Israël), une banque US et une ONG canadienne; signée avec un certificat au nom « Amy Cherne ». Tentative d’exfiltration chez l’éditeur via Rclone vers un bucket Wasabi (commande observée: rclone copy CSIDL_DRIVE_FIXED\backups wasabi:[REMOVED]:/192.168.0.x). Autre backdoor Python nommée Fakeset sur les réseaux de l’aéroport US et d’une ONG US; signée avec « Amy Cherne » et « Donald Gay » (ce dernier déjà lié à Seedworm). Téléchargements depuis Backblaze B2: gitempire.s3.us-east-005.backblazeb2.com et elvenforest.s3.us-east-005.backblazeb2.com. Le certificat « Donald Gay » a aussi servi à signer Stagecomp (loader) qui déploie Darkcomp; ces familles sont associées à Seedworm (Google, Microsoft, Kaspersky). 🌍 Paysage de menace élargi et contexte ...

Selon le Halcyon Ransomware Research Center, l’administrateur de Sicarii a appelé les opérateurs pro-palestiniens et pro-régime iranien à migrer vers Baqiyat 313 Locker (BQTLock), faute de capacité à traiter l’afflux d’affiliés. BQTLock ouvre un accès RaaS gratuit via Telegram pour des actions idéologiques pro-palestiniennes, tandis que Sicarii annonce se recentrer sur l’influence hacktiviste. Analyse des acteurs et cibles: BQTLock, divulgué publiquement en juillet 2025, serait développé par les hacktivistes pro-palestiniens Liwaa Mohammad et Karim Fayad (ZeroDayX/ZeroDayX1), sous l’ombrelle Cyber Islamic Resistance. BQTLock et Sicarii sont des RaaS distincts; Sicarii redirige désormais ses affiliés vers BQTLock pour des attaques motivées idéologiquement. BQTLock pratique la double extorsion et a publié des données d’entités des secteurs hôtellerie et éducation aux Émirats arabes unis, États-Unis et Israël. Des messages récents sur les canaux Cyber Islamic Resistance montrent un intérêt pour des cibles d’infrastructures critiques et militaires, incluant des assertions de fuites d’une base de données militaire israélienne et d’une liste d’agents du Mossad. ...

Sur un billet de blog technique daté du 6 mars 2026, l’auteur décrit le processus ayant mené à l’obtention d’un shell sur la caméra TP-Link Tapo C260, en documentant trois vulnérabilités liées (CVE-2026-0651, CVE-2026-0652, CVE-2026-0653). Un avis de TP-Link couvre les bases, tandis que l’article expose le cheminement de découverte et l’enchaînement d’exploits. Découverte LFD (CVE-2026-0651) 🔓 L’analyse statique de /bin/main (serveur HTTP intégré avec gestion SOAP/ONVIF) révèle un gestionnaire GET qui concatène le chemin demandé à « /www » après un simple décodage d’URL, sans aucune sanitisation. Le décodage de « ../ » permet une traversée de répertoires conduisant à une divulgation de fichiers locaux (LFD). L’accès nécessite une session authentifiée, mais un compte invité suffit. ...

Selon BleepingComputer, des acteurs de la menace liés au rançongiciel, suivis sous le nom Velvet Tempest, emploient la technique ClickFix et des utilitaires Windows légitimes pour déployer le malware DonutLoader et la porte dérobée CastleRAT. Velvet Tempest utilise ClickFix pour déployer DonutLoader et CastleRAT Contexte Le groupe cybercriminel Velvet Tempest (également suivi sous DEV-0504) a été observé utilisant la technique ClickFix et des outils Windows légitimes pour déployer les malwares DonutLoader et CastleRAT. ...

Source : Google Cloud Blog (Google Threat Intelligence Group), 3 mars 2026. GTIG documente “Coruna”, un kit d’exploits iOS d’un haut niveau technique, comprenant 5 chaînes complètes et 23 exploits couvrant iOS 13.0 à 17.2.1. Observé en 2025, il a d’abord été employé par un client d’un vendeur de surveillance, puis par UNC6353 (groupe d’espionnage présumé russe) dans des attaques par watering hole visant des utilisateurs ukrainiens, avant d’être récupéré et déployé massivement par UNC6691 (acteur financier basé en Chine) via de faux sites crypto. Le kit n’est pas efficace contre la dernière version d’iOS, et GTIG a ajouté les domaines malveillants à Safe Browsing. ...