Linux

Selon un article publié le 14 janvier 2026, un framework malveillant avancé et cloud-native pour Linux nommé VoidLink a été découvert, orienté vers les environnements cloud modernes. Des chercheurs de Check Point ont identifié un nouveau framework malware cloud-native pour Linux, baptisé VoidLink, conçu spécifiquement pour les environnements cloud et conteneurisés modernes. VoidLink se distingue par : une architecture modulaire très avancée, une compatibilité native avec Docker et Kubernetes, l’intégration de loaders, implants, rootkits et plugins, et un fort accent mis sur la furtivité et l’évasion automatisée. Le framework est développé en Zig, Go et C, avec une documentation riche et une structure suggérant un produit commercial ou un framework sur mesure pour un client, plutôt qu’un malware opportuniste. Aucune infection active n’a été observée à ce stade. ...

Contexte: La NSA publie des orientations sur la gestion de Secure Boot pour Linux (information reprise dans l’article de Brittany Day, 31 déc. 2025 sur Linuxsecurity), soulignant le déplacement des attaques vers les phases les plus précoces du démarrage. Des incidents comme BootHole, BlackLotus et PKFail illustrent comment des configurations permissives, des clés réutilisées et des bootloaders vulnérables transforment Secure Boot en surface d’attaque. L’enjeu: imposer la confiance avant que l’OS et ses contrôles n’existent, sous peine de persistance profonde et d’invisibilité des bootkits. ...

Selon Phoronix (article de Michael Larabel), un chercheur en sécurité et son équipe ont relancé la discussion autour de leur LSM « TSEM » proposé il y a trois ans, qui n’a reçu que peu de revue et n’a pas été accepté dans le noyau. Ils demandent des orientations claires sur la manière d’introduire de nouveaux LSM et envisagent de porter le sujet devant le Technical Advisory Board (TAB) de la Linux Foundation si nécessaire. ...

Source et contexte — Trend Research (Trend Micro), billet de blog du 8 déc. 2025 : les chercheurs présentent GhostPenguin, un backdoor Linux inédit découvert via une pipeline de chasse aux menaces automatisée et dopée à l’IA, après analyse de samples à zéro détection sur VirusTotal. Découverte et méthode 🧠🤖 Collecte massive d’échantillons (notamment Linux) et extraction d’artefacts (strings, API, comportements, fonctions, constantes) dans une base structurée. Génération de règles YARA et requêtes VirusTotal pour traquer des échantillons zéro détection, profilage avec IDA Pro/Hex-Rays, CAPA, FLOSS, YARA. Agents IA « Quick Inspect » (scoring/tri) et « Deep Inspector » (rapport détaillé : résumé, capacités, flux d’exécution, analyse technique, mapping MITRE ATT&CK). Le sample nommé « GhostPenguin » a été soumis le 7 juil. 2025 et est resté sans détection plus de quatre mois. Capacités et architecture du malware 🐧 ...

Le site officiel de Xubuntu a, pendant une courte période, servi un malware Windows aux utilisateurs qui tentaient de télécharger la distribution. Fait saillant: des visiteurs du site entre les 18 et 19 octobre ont reçu un malware Windows lorsqu’ils essayaient de télécharger Xubuntu. Portée de l’impact: les images ISO n’ont pas été affectées, indiquant que l’incident concernait la livraison via le site et non les fichiers de distribution eux‑mêmes. ...

Selon SEKOIA (blog.sekoia.io), TransparentTribe (APT36), un acteur lié au Pakistan, a fait évoluer sa campagne d’espionnage ciblant des organismes gouvernementaux et de défense indiens en introduisant DeskRAT, un nouveau RAT Linux en Golang livré via des fichiers .desktop malveillants et opéré via une infrastructure C2 WebSocket. 🎯 Ciblage et leurres Campagne d’espionnage visant des entités gouvernementales et de défense indiennes, avec des leurres exploitant les tensions régionales au Ladakh. Passage d’un hébergement sur Google Drive à des serveurs de staging dédiés pour la distribution des charges. 🛠️ Chaîne d’infection et livraison ...

Source : Elastic Security Labs — Des chercheurs présentent « FlipSwitch », une technique de rootkit Linux capable de contourner le nouveau mécanisme de dispatch des syscalls introduit dans le kernel 6.9. Le noyau Linux 6.9 a remplacé la table sys_call_table par un dispatch via switch pour neutraliser le hooking classique des syscalls. FlipSwitch contourne cette défense en modifiant directement le code machine du dispatcher des syscalls (x64_sys_call), évitant toute dépendance à la sys_call_table désormais non utilisée pour le routage effectif. ...

Source: PolySwarm Hivemind — Analyse détaillée d’une campagne Linux où le backdoor VShell est diffusé par une chaîne d’infection inédite exploitant des noms de fichiers RAR malveillants, avec liens à plusieurs APT chinoises. VShell est un backdoor Linux en Go qui s’appuie sur une injection de commande via nom de fichier dans des archives RAR. Un fichier dont le nom contient une commande Bash encodée Base64 s’exécute lorsque des opérations shell courantes (ex. ls, find, eval) traitent ce nom, déclenchant l’infection sans interaction supplémentaire ni bit exécutable. L’attaque débute par un email de spam déguisé en sondage beauté offrant une petite récompense 💌. ...

Selon Trellix (Advanced Research Center), une campagne cible Linux via un vecteur inédit: un nom de fichier piégé dans une archive RAR qui déclenche l’exécution Bash lors d’opérations de scripts non sécurisées (eval/echo/printf). L’analyse technique détaille une chaîne fileless, multi‑étapes, aboutissant au backdoor VShell exécuté en mémoire et masqué en processus noyau. • Étapes clés de l’infection 🐧 Vecteur initial (spam + .rar): un e‑mail appât renferme une archive contenant un fichier dont le nom embarque du Bash encodé Base64. L’extraction seule ne l’exécute pas; l’exécution survient lorsque des scripts manipulent les noms de fichiers sans sanitisation (ex: for f in *, eval “echo $f”, find/xargs avec eval…). Stage 1 (déclencheur): le nom de fichier évalue un downloader Bash (via curl/wget) vers le C2 47.98.194.60. Stage 2 (downloader): détermine l’architecture (x86, x64, ARM, ARM64), télécharge un ELF adapté, et l’exécute silencieusement avec nohup via plusieurs chemins de repli. Stage 3 (loader ELF): contacte le C2, reçoit une charge XOR 0x99, la décrypte en mémoire puis l’exécute avec fexecve(), tout en se déguisant en thread noyau « [kworker/0:2] » et en évitant la ré‑infection via un marqueur (/tmp/log_de.log). L’étape initiale est alignée sur l’activité du dropper Snowlight (abus de noms de fichiers + exécution Bash). • Charge finale: VShell (backdoor Go) 🕵️‍♂️ ...

Selon BleepingComputer, le groupe d’espionnage pakistanais APT36 mène de nouvelles attaques en abusant de fichiers .desktop sous Linux afin de charger un malware contre des organismes gouvernementaux et de défense en Inde. Points clés: Acteur: APT36 (Pakistan) Technique: abus de fichiers .desktop pour charger un malware Plateforme: Linux 🐧 Cibles: entités de gouvernement et de défense en Inde 🎯 Nature: cyberespionnage TTPs observés: Utilisation de fichiers .desktop Linux comme vecteur pour lancer/charger le malware. Impact et portée: ...