IOC

🔍 Contexte Publié le 7 avril 2026 par Horizon3.ai, cet article présente la divulgation complète de CVE-2026-34197, une vulnérabilité d’exécution de code à distance (RCE) dans Apache ActiveMQ Classic, présente depuis 13 ans et corrigée dans les versions 5.19.4 et 6.2.3. 🐛 Description de la vulnérabilité La vulnérabilité repose sur un enchaînement de mécanismes légitimes d’ActiveMQ : Jolokia (pont HTTP-to-JMX) expose une API REST permettant d’invoquer des opérations sur les MBeans ActiveMQ L’opération addNetworkConnector(String) sur le broker MBean accepte un URI de découverte Le transport vm:// crée un broker à la volée si le nom référencé n’existe pas, en acceptant un paramètre brokerConfig pointant vers une URL distante Le schéma xbean: délègue le chargement à Spring’s ResourceXmlApplicationContext, instanciant tous les beans définis — permettant l’exécution de commandes via MethodInvokingFactoryBean et Runtime.getRuntime().exec() ⚠️ Conditions d’exploitation Authentifiée par défaut (credentials admin:admin très répandus) Non authentifiée sur les versions 6.0.0 à 6.1.1 en raison de CVE-2024-32114, qui supprime les contraintes de sécurité sur le chemin /api/*, rendant Jolokia totalement accessible sans credentials 🔗 Lien avec des vulnérabilités antérieures CVE-2022-41678 : RCE authentifiée via Jolokia et JDK MBeans (FlightRecorder) — le correctif avait introduit un allow global sur tous les MBeans ActiveMQ, créant la surface exploitée ici CVE-2023-46604 : RCE non authentifiée via chargement de Spring XML distant (même type de sink) CVE-2016-3088 : RCE authentifiée via la console web (sur la KEV CISA) 🎯 Secteurs impactés ActiveMQ est largement déployé dans les secteurs : services financiers, santé, gouvernement, e-commerce. ...

🔍 Contexte Publié le 15 avril 2026 par la Howler Cell Research Team de Cyderes, ce rapport présente l’analyse technique complète d’une chaîne d’infection en 5 étapes impliquant deux nouvelles familles de malwares : Direct-Sys Loader et CGrabber Stealer. 📦 Vecteur d’infection La campagne débute par la distribution d’archives ZIP hébergées sur l’infrastructure GitHub user-attachments. L’archive analysée (Eclipsyn.zip, SHA-256 : f464a4155526fa22c45a82d3aa75a13970189aad8cc3fa6050cf803a54d8baed) contient un binaire légitime signé Microsoft, Launcher_x64.exe, abusé pour du DLL sideloading via une DLL malveillante nommée msys-crypto-3.dll. ...

🗓️ Contexte Source : The Cyber Express, publié le 14 avril 2026. L’article couvre la divulgation et l’exploitation active d’une vulnérabilité critique de type Remote Code Execution (RCE) affectant le plugin WordPress Kali Forms (constructeur de formulaires drag-and-drop), installé sur plus de 10 000 sites actifs. 🔍 Nature de la vulnérabilité La faille réside dans le flux form_process et la fonction prepare_post_data(), qui accepte des données contrôlées par l’attaquant sans validation ni liste blanche. Ces données sont injectées dans des placeholders internes ({entryCounter}, {thisPermalink}), puis transmises à la méthode _save_data() où elles sont exécutées via call_user_func(). ...

🔍 Contexte Source : Zscaler ThreatLabz, publiée le 16 avril 2026. Cette analyse technique détaille le fonctionnement du ransomware Payouts King, attribué à d’anciens initial access brokers (IAB) de BlackBasta, actif discrètement depuis environ un an. 🎯 Vecteur d’accès initial Les attaquants combinent plusieurs techniques : Spam bombing massif ciblant les victimes Phishing et vishing via Microsoft Teams, en usurpant l’identité d’un membre du support IT Instruction à la victime d’initier Quick Assist pour déployer le malware et établir un point d’ancrage réseau 🛠️ Techniques d’obfuscation et d’évasion Construction et déchiffrement de chaînes sur la pile (stack-based strings) Résolution des fonctions Windows API par hash (FNV1 avec seed unique par valeur + algorithme CRC personnalisé) Arguments de ligne de commande obfusqués via CRC checksum custom Paramètre -i obligatoire pour déclencher le chiffrement (anti-sandbox) Utilisation de syscalls directs (Zw*) pour contourner les hooks AV/EDR Renommage des fichiers via SetFileInformationByHandle (FileRenameInfo) pour éviter la détection sur MoveFile/MoveFileEx 🔐 Chiffrement des fichiers Combinaison RSA 4096 bits + AES-256 en mode CTR (bibliothèque OpenSSL liée statiquement) Support code pour ChaCha20 présent mais non utilisé dans les échantillons analysés Extension ajoutée aux fichiers chiffrés : .ZWIAAW Fichier de sauvegarde temporaire : extension .esVnyj Note de rançon : readme_locker.txt (déposée uniquement si -note est spécifié) Chiffrement partiel (13 blocs, 50%) pour les fichiers > 10 Mo (optimisation performance) ⚙️ Persistance et élévation de privilèges Tâches planifiées créées via schtasks.exe sous \Mozilla\UpdateTask et \Mozilla\ElevateTask Exécution en tant que SYSTEM Suppression de la tâche d’élévation après exécution pour effacer les traces forensiques 🧹 Anti-forensique Suppression des shadow copies : vssadmin.exe delete shadows /all /quiet Vidage de la corbeille via SHEmptyRecycleBinW Effacement des journaux d’événements Windows via EvtClearLog Terminaison de 131 processus AV/EDR identifiés par checksum 📡 Infrastructure Contact via TOX Site de fuite de données accessible via Tor Vol massif de données avant déploiement du ransomware (double extorsion) 📄 Type d’article Analyse technique approfondie publiée par ThreatLabz (Zscaler), visant à documenter les capacités techniques de Payouts King et à fournir des éléments d’attribution et de détection. ...

🔍 Contexte Publié le 16 avril 2026 par Sophos, cet article documente l’abus actif de QEMU (émulateur open-source) par des acteurs malveillants pour dissimuler leurs activités au sein d’environnements virtualisés, contournant ainsi les contrôles de sécurité des endpoints. 🎯 Campagne STAC4713 (depuis novembre 2025) Associée au groupe GOLD ENCOUNTER et au ransomware PayoutsKing, cette campagne utilise QEMU comme backdoor SSH inversé covert : Persistance : tâche planifiée nommée TPMProfiler lançant qemu-system-x86_64.exe sous le compte SYSTEM Déguisement : image disque masquée en vault.db puis en bisrv.dll (janvier 2026) Port forwarding vers les ports 32567, 22022 → port 22 (SSH) VM Alpine 3.22.0 contenant : AdaptixC2 (tinker2), wg-obfuscator, BusyBox, Chisel, Rclone Vol de credentials : copie de NTDS.dit, ruches SAM et SYSTEM via VSS et commande print sur SMB Accès initial : VPN SonicWall exposés sans MFA, puis exploitation de CVE-2025-26399 (SolarWinds Web Help Desk) Évolution en février 2026 : abandon de QEMU, accès via VPN Cisco SSL, ingénierie sociale via Microsoft Teams/QuickAssist, sideloading d’un payload Havoc C2 (vcruntime140_1.dll) via ADNotificationManager.exe, exfiltration via Rclone vers SFTP. ...

🔍 Contexte Publié le 16 avril 2026 sur GitHub par l’utilisateur Nightmare-Eclipse, le dépôt RedSun expose une vulnérabilité affectant Windows Defender (antivirus Microsoft). Le code source est disponible en C++ sous licence MIT. 🐛 Description de la vulnérabilité La vulnérabilité repose sur un comportement inattendu de Windows Defender lors de la détection d’un fichier malveillant portant un cloud tag : Lorsque Windows Defender identifie un fichier malveillant avec un cloud tag, au lieu de le supprimer, il réécrit le fichier à son emplacement d’origine. Le PoC abuse de ce comportement pour écraser des fichiers système arbitraires. L’exploitation permet d’obtenir des privilèges administrateurs (élévation de privilèges). 💻 Détails techniques Langage : C++ (100%) Fichier principal : RedSun.cpp Le dépôt contient une release initiale publiée la veille de l’article. 664 étoiles et 128 forks au moment de la publication, indiquant une forte visibilité communautaire. 📌 Type d’article Il s’agit d’une publication de PoC (Proof of Concept) accompagnée d’une description technique de la vulnérabilité. Le but principal est de divulguer publiquement un comportement anormal de Windows Defender exploitable pour une élévation de privilèges locale. ...

🔍 Contexte Publié le 16 avril 2026 par BitSight, cet article constitue le second volet d’une série d’analyses sur le botnet RondoDox, actif depuis mai 2025 jusqu’à au moins janvier 2026. Il couvre en détail l’implant initial, le binaire principal, le protocole C2 et l’évolution des capacités du malware. 🦠 Chaîne d’infection L’infection débute par l’exploitation de vulnérabilités sur des systèmes exposés (ex: React2Shell, Netgear, Linksys, Edimax). Un script shell est exécuté en mémoire sans écriture disque, réalisant : ...

🔍 Contexte Le 16 avril 2026, la Microsoft Defender Security Research Team publie une analyse technique détaillée d’une campagne macOS attribuée à Sapphire Sleet, un acteur étatique nord-coréen actif depuis au moins mars 2020, ciblant principalement le secteur financier, les cryptomonnaies, le capital-risque et les plateformes blockchain. 🎯 Vecteur d’accès initial L’attaque repose sur de l’ingénierie sociale et non sur des vulnérabilités logicielles. L’acteur crée de faux profils de recruteurs sur les réseaux sociaux et professionnels, engage les cibles dans des conversations sur des opportunités d’emploi, puis les dirige vers le téléchargement d’un fichier malveillant nommé Zoom SDK Update.scpt — un AppleScript compilé s’ouvrant dans Script Editor, application Apple de confiance. ...

🔍 Contexte Darktrace a publié le 16 avril 2026 une analyse technique détaillée d’un échantillon de malware se désignant lui-même comme ZionSiphon. L’analyse a été conduite par Calum Hall (Cyber Analyst). Le hash VirusTotal de l’échantillon est disponible publiquement. 🎯 Ciblage et motivations Le malware présente un ciblage géographique explicitement orienté vers Israël, avec des plages IPv4 hardcodées correspondant à des blocs d’adresses israéliens : 2.52.0.0 - 2.55.255.255 79.176.0.0 - 79.191.255.255 212.150.0.0 - 212.150.255.255 Deux chaînes encodées en Base64 révèlent des motivations idéologiques pro-Iran/Palestine/Yémen et une intention déclarée d’empoisonner les populations de Tel Aviv et Haïfa. L’auteur se désigne sous le pseudonyme “0xICS”. ...

🔍 Contexte Publié le 13 avril 2026 par l’équipe de recherche de Socket (socket.dev), cet article présente les résultats d’une investigation technique approfondie sur une campagne coordonnée de 108 extensions Chrome malveillantes, toujours actives au moment de la publication. Des demandes de suppression ont été soumises au Chrome Web Store et à Google Safe Browsing. 🎯 Description de la campagne Les 108 extensions sont publiées sous cinq identités d’éditeurs distincts (Yana Project, GameGen, SideGames, Rodeo Games, InterAlt) et totalisent environ 20 000 installations sur le Chrome Web Store. Toutes partagent la même infrastructure C2 hébergée sur cloudapi[.]stream (IP : 144.126.135.238, Contabo GmbH VPS), enregistrée le 30 avril 2022 via Hosting Ukraine LLC. Le serveur exécute un CMS Strapi sur le port 1337 avec une base de données PostgreSQL. ...