Malware

ESET Research (WeLiveSecurity) publie l’analyse de PromptSpy, « premier » malware Android observé à intégrer de l’IA générative dans son flux d’exécution. Découvert en février 2026, il s’appuie sur Google Gemini pour guider des interactions d’interface contextuelles et maintenir la persistance, tout en déployant un module VNC pour un accès à distance complet. Les échantillons semblent viser prioritairement l’Argentine et pourraient avoir été développés dans un environnement sinophone. 🧪 Fonctionnalité IA générative (Gemini) 🤖: PromptSpy sérialise en XML l’état courant de l’UI (texte, types, packages, bounds) et l’envoie à Gemini, qui renvoie des instructions JSON (taps, swipes, long press) pour exécuter le geste « verrouiller l’app dans les applications récentes » — un mécanisme de persistance résistant aux variations d’UI selon les modèles et versions Android. Le malware boucle jusqu’à confirmation explicite de réussite par l’IA. ...

Source et contexte : Cato Networks (Cato CTRL Threat Research) publie une analyse technique d’un nouveau loader baptisé « Foxveil », actif depuis août 2025, qui s’appuie sur des plateformes cloud de confiance pour le staging et déploie du shellcode en mémoire avec des techniques d’injection et d’évasion avancées. Foxveil s’appuie sur des infrastructures « de confiance » (Cloudflare Pages, Netlify, Discord) pour héberger ses charges de second étage, ce qui brouille les signaux réseau et rend inefficaces les simples listes de blocage. Deux variantes sont observées : v1 (staging surtout via Cloudflare/Netlify) et v2 (staging souvent via pièces jointes Discord). La campagne est en cours depuis août 2025. ...

Selon une publication spécialisée diffusée le 16 février 2026, des acteurs malveillants ont introduit une nouvelle technique au sein des campagnes ClickFix d’ingénierie sociale. Les attaquants abusent des requêtes DNS comme canal au cœur de ces campagnes, marquant la première utilisation connue du DNS dans ce contexte. Cette évolution de la tactique sert à livrer des malwares via le mécanisme DNS, intégrée à l’ingénierie sociale propre à ClickFix. ClickFix : abus de nslookup et du DNS pour livrer une charge PowerShell (ModeloRAT) Source : BleepingComputer — “New ClickFix attack abuses nslookup to retrieve PowerShell payload via DNS” https://www.bleepingcomputer.com/news/security/new-clickfix-attack-abuses-nslookup-to-retrieve-powershell-payload-via-dns/ ...

Source et contexte: Google Threat Intelligence Group (GTIG) publie une mise à jour (T4 2025) sur la mauvaise utilisation des IA par des acteurs malveillants. Le rapport observe une hausse des attaques d’extraction de modèles (distillation/model stealing) visant la logique propriétaire, une intégration accrue des LLMs dans la reconnaissance et le phishing, et des expérimentations de malwares intégrant l’IA. Google indique avoir détecté, perturbé et atténué ces activités, sans constater de percée « rupture » par des APT sur des modèles de pointe. ...

Selon le blog d’Ontinue, cette recherche dissèque « VoidLink », un framework C2 Linux capable de générer des implants pour environnements cloud et entreprise. L’analyse se concentre sur l’agent (implant) et met en évidence des artefacts suggestifs d’un développement via agent LLM (libellés « Phase X: », logs verbeux, documentation résiduelle), malgré des capacités techniques avancées. VoidLink adopte une architecture modulaire avec registre de plugins et initialisation de composants clés (routeur de tâches, gestionnaire de furtivité, gestionnaire d’injection, détecteur de débogueur). Il réalise un profilage intelligent de l’environnement (clouds AWS/GCP/Azure/Alibaba/Tencent, conteneurs Docker/Podman/Kubernetes, posture sécu/EDR, version de noyau) afin d’activer des mécanismes adaptatifs de furtivité et de persistance. 🧠 ...

Selon OpenSourceMalware.com, une vaste campagne d’empoisonnement de registre touche l’écosystème des « skills » ClawdBot/Moltbot, avec des paquets publiés sur ClawHub et GitHub entre fin janvier et début février 2026. – Des dizaines puis des centaines de « skills » thématisés crypto (ByBit, Polymarket, Axiom, Reddit, LinkedIn) utilisent une ingénierie sociale sophistiquée (fausses alertes et « AuthTool » obligatoire) pour conduire l’utilisateur à télécharger et exécuter des binaires malveillants. Le tout vise des utilisateurs macOS et Windows de ClawdBot/Claude Code/Moltbot, avec un C2 unique 91.92.242.30. Les auteurs citent un total de 386 skills impliqués, avec une première salve fin janvier et une seconde, plus massive, entre le 31 janvier et le 2 février. ...

Selon CrowdStrike Intelligence, LABYRINTH CHOLLIMA s’est scindé en trois unités distinctes — GOLDEN CHOLLIMA, PRESSURE CHOLLIMA et LABYRINTH CHOLLIMA — aux malwares, objectifs et modes opératoires spécialisés, tout en partageant une base tactique et une infrastructure commune. 🎯 GOLDEN CHOLLIMA: cible des régions économiquement développées à forte activité cryptomonnaie/fintech (U.S., Canada, Corée du Sud, Inde, Europe occidentale). Opère à un tempo régulier avec des vols de moindre valeur, suggérant une mission de génération de revenus. Outillage issu de Jeus/AppleJeus (depuis 2018) et d’un « toolkit » fintech (recouvrements avec PipeDown, DevobRAT, HTTPHelper, Anycon). En 2024, livraisons de packages Python malveillants via fraude au recrutement, pivot cloud vers les IAM et détournement d’actifs crypto. Observée aussi l’exploitation de zero-days Chromium et des déploiements de SnakeBaker et sa variante JS NodalBaker (juin 2025) chez des fintechs. ...

Selon Sucuri (blog), dans un billet publié le 31 janvier 2026, une nouvelle technique de malware ciblant WordPress crée de faux « répertoires » pour contourner et remplacer les permaliens, afin de diffuser du contenu de spam destiné aux moteurs de recherche. L’article met en avant une technique de malware inédite sur WordPress qui exploite des répertoires factices pour outrepasser les permaliens. L’objectif est la diffusion de spam aux moteurs de recherche, avec un impact direct sur la visibilité et l’intégrité des sites affectés. ...

Selon le gouvernement municipal de Sanxenxo (Pontevedra), un malware a infiltré le réseau municipal lundi matin, provoquant une paralysie quasi totale du fonctionnement de la mairie. 🚨 La mairie de Sanxenxo (Pontevedra, Galice) a été victime d’une cyberattaque de type ransomware ayant fortement perturbé ses opérations administratives. L’incident, détecté lundi matin, a entraîné une chiffrement massif des fichiers stockés sur les serveurs municipaux, rendant l’accès à des milliers de documents impossible pour les agents communaux. ...

Selon une actualité publiée le 26 janvier 2026, la Verkehrsgesellschaft Main-Tauber (VGMT) et la Mobilitätszentrale de Lauda ont été la cible d’une cyberattaque. Les autorités de l’entreprise ont constaté l’incident mercredi matin. L’attaque, menée via un logiciel malveillant, a entraîné le chiffrement des serveurs et des fichiers 🔒 au sein du réseau de la société de transport. Les entités touchées sont spécifiquement la VGMT (siège) et la Mobilitätszentrale à Lauda. ...