IOC

🔍 Contexte Article publié le 9 avril 2026 par Austin Ginder sur anchor.host. Il s’agit d’un post-mortem technique détaillé d’une attaque de chaîne d’approvisionnement ciblant l’écosystème WordPress, découverte suite à une alerte client sur un plugin nommé Countdown Timer Ultimate. 🎯 Nature de l’attaque Un acheteur identifié uniquement comme « Kris », avec un profil en SEO, crypto et marketing de jeux d’argent en ligne, a acquis début 2025 via la marketplace Flippa le portefeuille de 31 plugins WordPress de la société « Essential Plugin » (anciennement WP Online Support) pour un montant à six chiffres. Dès son premier commit SVN le 8 août 2025, il a introduit un backdoor PHP par désérialisation dans le fichier class-anylc-admin.php du plugin Countdown Timer Ultimate (version 2.6.7), en mentant dans le changelog (« Check compatibility with WordPress version 6.8.2 »). ...

🔍 Contexte Publié le 13 avril 2026 sur le blog Calif (https://blog.calif.io), cet article documente une recherche offensive menée en partenariat avec OpenAI, visant à évaluer la capacité de l’IA Codex à réaliser une escalade de privilèges complète sur un équipement embarqué réel : une Samsung Smart TV fonctionnant sous le firmware KantS2 (Samsung Tizen). 🎯 Objectif et environnement Les chercheurs ont fourni à Codex un point d’ancrage initial (code execution dans le contexte du navigateur de la TV) et un environnement de travail structuré : ...

🔍 Contexte Publié le 15 avril 2026 par Huntress, cet article de recherche détaille une opération malveillante découverte le 22 mars 2025, impliquant des logiciels potentiellement indésirables (PUP) signés par Dragon Boss Solutions LLC, une entité enregistrée à Sharjah, Émirats Arabes Unis, se présentant comme spécialisée en « search monetization research ». 🎯 Mécanisme d’attaque Les exécutables signés (ex : RaceCarTwo.exe, ChromsteraUpdater.exe) utilisent Advanced Installer, un mécanisme de mise à jour légitime, pour récupérer et exécuter silencieusement des payloads MSI et PowerShell depuis des serveurs distants. Les fichiers de configuration .ini révèlent des flags critiques : ...

🔍 Contexte Publié le 15 avril 2026 par l’équipe Acronis TRU, ce rapport présente l’analyse technique d’une campagne de ransomware persistante baptisée JanaWare, active depuis au moins 2020 et toujours en activité en novembre 2025. 🎯 Ciblage et victimologie La campagne cible exclusivement les utilisateurs turcs (particuliers et PME), avec des demandes de rançon modestes de 200 à 400 USD, caractéristiques d’une approche volume/faible valeur. Le ciblage géographique est techniquement enforced via : ...

🗓️ Contexte Publié le 14 avril 2026 par Johannes Ullrich sur l’Internet Storm Center (SANS ISC), cet article analyse le Patch Tuesday Microsoft d’avril 2026, décrit comme potentiellement record en nombre de correctifs. 📊 Vue d’ensemble des correctifs 243 vulnérabilités corrigées au total 78 issues Chromium affectant Microsoft Edge (publiées antérieurement) 165 vulnérabilités hors Edge 8 critiques 154 importantes 1 vulnérabilité déjà exploitée dans la nature 1 vulnérabilité divulguée publiquement avant le patch, sans exploitation observée 🔴 Vulnérabilités notables CVE-2026-33827 – Windows TCP/IP Remote Code Execution : race condition permettant l’exécution de code arbitraire via le réseau CVE-2026-33825 – Microsoft Defender Elevation of Privilege : déjà divulguée publiquement avant le patch CVE-2026-32201 – Microsoft SharePoint Server Spoofing : déjà exploitée activement; deux vulnérabilités de spoofing SharePoint similaires corrigées ce mois-ci CVE-2026-33826 – Windows Active Directory Remote Code Execution : CVSS 8.0, classée critique par Microsoft CVE-2026-32190 – Microsoft Office Remote Code Execution CVE-2026-33114 – Microsoft Word Remote Code Execution (critique) CVE-2026-33115 – Microsoft Word Remote Code Execution (critique) CVE-2026-32157 – Remote Desktop Client Remote Code Execution : exploitation via connexion à un serveur RDP malveillant ou clic sur un lien rdp: CVE-2026-33824 – Windows IKE (Internet Key Exchange) Service Extensions Remote Code Execution : composant IPSEC, non activé par défaut 📌 Type d’article Article de type patch de sécurité / analyse technique mensuelle, visant à informer les équipes de sécurité sur les correctifs prioritaires à déployer. ...

🔍 Contexte Publié le 14 avril 2026 par la Sansec Forensics Team sur sansec.io, ce rapport de recherche documente une mauvaise configuration critique affectant plus de 200 boutiques PrestaShop en production réparties dans 27 pays, dont la France, l’Italie, la Pologne et la République tchèque représentent la majorité des cas. ⚠️ Mécanisme d’attaque PrestaShop est livré avec un répertoire d’installation (/install/ en version release, /install-dev/ en version développement) contenant un assistant d’installation complet. Lorsque ce répertoire reste accessible publiquement, un attaquant peut : ...

🌐 Contexte L’article est publié le 15 avril 2026 par OpenSourceMalware.com. Il documente une campagne d’attaque supply chain active sur le registre NPM, baptisée Stardrop, détectée à partir du 9 avril 2026 avec un rythme de publication de plus de 40 packages malveillants par jour. 🎯 Cibles Les packages usurpent des noms associés à : Entreprises d’IA : HuggingFace, Codeium, Cerebras, Groq, Inflection AI, Midjourney, Windsurf, Cursor, etc. Fonds de capital-risque : a16z, Bessemer VC, Khosla VC, Founders Fund, Coatue, Felicis, etc. Marques de luxe : Givenchy, Louis Vuitton, Valentino, Versace, Lamborghini, etc. 🔧 Mécanisme d’attaque La chaîne d’infection repose sur trois étapes : ...

🗓️ Contexte Source : BleepingComputer, publié le 12 avril 2026. L’article s’appuie sur un rapport de la société Sysdig, spécialisée en sécurité cloud. 🔍 Vulnérabilité CVE-2026-39987 affecte Marimo, une plateforme open-source de notebooks Python réactifs, dans toutes les versions 0.20.4 et antérieures. Le score CVSS GitHub est de 9.3/10 (critique). La faille réside dans l’endpoint WebSocket /terminal/ws qui expose un terminal interactif sans vérification d’authentification, permettant à tout client non authentifié de se connecter et d’obtenir un shell interactif avec les privilèges du processus Marimo. ...

📰 Source : The Cyber Express — Date de publication : 13 avril 2026 🎯 Contexte Rockstar Games, éditeur de GTA 5 et de la franchise Grand Theft Auto, a confirmé avoir subi une violation de données impliquant un accès non autorisé à des informations internes. L’entreprise attribue l’incident à une vulnérabilité d’un prestataire tiers. 🔓 Vecteur d’intrusion Le groupe cybercriminel ShinyHunters revendique l’attaque et affirme avoir compromis l’infrastructure cloud de Rockstar. Selon les informations disponibles : ...

🔍 Contexte Publié le 9 avril 2026 par Evgen Blohm (InfoGuard Labs), cet article est issu d’une investigation de réponse à incident liée à une attaque DragonForce ransomware. Lors de la revue de persistance, un artefact inhabituel a été identifié : une tâche planifiée nommée 523135538 exécutant C:\ProgramData\cp49s\pythonw.exe sans arguments. 🧩 Mécanisme de persistance et chargement La persistance repose sur sitecustomize.py, un module Python auto-importé au démarrage. Ce fichier utilise ctypes pour appeler Py_GetArgcArgv et vérifier le contexte d’exécution. Si argc == 1, il charge et exécute b5yogiiy3c.dll (un script Python déguisé en DLL) via runpy.run_path(). ...