Metasploit

📰 Source : The Verge, publié le 28 avril 2026, par Yael Grauer. Article de presse spécialisée analysant l’impact des modèles d’IA sur le paysage des menaces cybersécurité. Contexte En août 2025, le DARPA Artificial Intelligence Cyber Challenge (AIxCC) a réuni les meilleures équipes de cybersécurité à Las Vegas pour tester des systèmes automatisés de détection de bugs sur 54 millions de lignes de code. Ces systèmes ont non seulement identifié les failles artificiellement injectées, mais ont également découvert plus d’une douzaine de bugs non insérés par DARPA. ...

🔍 Contexte Publié le 16 avril 2026 par Sophos, cet article documente l’abus actif de QEMU (émulateur open-source) par des acteurs malveillants pour dissimuler leurs activités au sein d’environnements virtualisés, contournant ainsi les contrôles de sécurité des endpoints. 🎯 Campagne STAC4713 (depuis novembre 2025) Associée au groupe GOLD ENCOUNTER et au ransomware PayoutsKing, cette campagne utilise QEMU comme backdoor SSH inversé covert : Persistance : tâche planifiée nommée TPMProfiler lançant qemu-system-x86_64.exe sous le compte SYSTEM Déguisement : image disque masquée en vault.db puis en bisrv.dll (janvier 2026) Port forwarding vers les ports 32567, 22022 → port 22 (SSH) VM Alpine 3.22.0 contenant : AdaptixC2 (tinker2), wg-obfuscator, BusyBox, Chisel, Rclone Vol de credentials : copie de NTDS.dit, ruches SAM et SYSTEM via VSS et commande print sur SMB Accès initial : VPN SonicWall exposés sans MFA, puis exploitation de CVE-2025-26399 (SolarWinds Web Help Desk) Évolution en février 2026 : abandon de QEMU, accès via VPN Cisco SSL, ingénierie sociale via Microsoft Teams/QuickAssist, sideloading d’un payload Havoc C2 (vcruntime140_1.dll) via ADNotificationManager.exe, exfiltration via Rclone vers SFTP. ...

🔍 Contexte Rapport technique publié le 10 avril 2026 par Gambit Security (Eyal Sela, Director of Threat Intelligence). L’analyse est basée sur des matériaux forensiques récupérés depuis trois VPS utilisés dans la campagne, incluant des logs de sessions AI, des scripts d’exploitation et des rapports de reconnaissance automatisés. 🎯 Victimes et périmètre Entre fin décembre 2025 et mi-février 2026, neuf organisations gouvernementales mexicaines ont été compromises : SAT (Servicio de Administración Tributaria) : 195M dossiers fiscaux + 52M annuaires exfiltrés, compromission domaine-wide, API de requête live construite et exposée publiquement, mécanisme de falsification de certificats fiscaux opérationnalisé, 305 serveurs internes analysés Estado de Mexico : 15,5M dossiers véhicules, 3,6M propriétaires, millions de dossiers population Registro Civil CDMX : ~220M dossiers civils, centaines de dossiers judiciaires, milliers de credentials employés Jalisco : 50K dossiers patients, 17K victimes violences domestiques, 36K employés santé, 180K dossiers numériques ; infrastructure virtualisation complète compromise (cluster Nutanix 13 nœuds, 37/38 serveurs DB) ; rootkits déployés sur 20 agences INE (Instituto Nacional Electoral) : 13,8K dossiers cartes électeurs exfiltrés, pool estimé à dizaines de millions Michoacán : 2,28M dossiers propriétés, 2K comptes avec mots de passe en clair SADM Monterrey : 3,5K dossiers achats/fournisseurs, 5K dossiers appels d’offres Tamaulipas : Compromission Active Directory Salud CDMX : Exploitation serveur Zimbra 🤖 Rôle des plateformes AI Claude Code (Anthropic) a généré et exécuté ~75% des commandes d’exécution distante via son interface tool-use. Il a servi d’assistant d’exploitation interactif : écriture d’exploits, construction de tunnels, cartographie d’architecture, escalade de privilèges, harvesting de credentials, anti-forensics. ...

Kali Linux 2026.1 : nouveaux outils, refonte visuelle et hommage à BackTrack Source : thecyberexpress.com — Date : 26 mars 2026 🧩 Contexte Kali Linux 2026.1 est la nouvelle version majeure de la distribution dédiée aux tests d’intrusion. Cette release apporte une refonte visuelle complète, l’ajout de huit nouveaux outils, une mise à jour du noyau Linux, ainsi que des améliorations pour la plateforme mobile Kali NetHunter. Elle marque également le 20e anniversaire de BackTrack Linux, prédécesseur de Kali. ...

🔍 Contexte Publié le 16 mars 2026 par le Google Threat Intelligence Group (GTIG), ce rapport analyse les tactiques, techniques et procédures (TTPs) observées lors des incidents ransomware traités par Mandiant Consulting en 2025. Il couvre des victimes situées en Asie-Pacifique, Europe, Amérique du Nord et du Sud, dans presque tous les secteurs d’activité. 📊 Paysage ransomware 2025 Record historique de posts sur les Data Leak Sites (DLS) en 2025, dépassant 2024 de près de 50% La rentabilité globale est en déclin : taux de paiement de rançon au plus bas historique en Q4 2025 (Coveware), demande moyenne réduite d’un tiers à 1,34 M$ en 2025 contre 2 M$ en 2024 (Sophos) Près de la moitié des victimes ont pu restaurer depuis des sauvegardes en 2024 (contre 28% en 2023 et 11% en 2022) LockBit, ALPHV, Basta et RansomHub ont été perturbés ou ont disparu ; Qilin et Akira ont comblé le vide REDBIKE (Akira) est la famille ransomware la plus déployée : ~30% des incidents Montée en puissance des opérations de data theft extortion seule (sans chiffrement) Ciblage croissant des petites organisations (moins de 200 employés) Adoption de technologies Web3 (ICP blockchain, Polygon smart contracts) pour la résilience des infrastructures Intégration de l’IA dans les opérations (négociations, analyse des victimes) Doublement des familles ransomware cross-platform (Windows + Linux) 🎯 Vecteurs d’accès initial Exploitation de vulnérabilités : 1/3 des incidents (VPNs et firewalls principalement) Fortinet : CVE-2024-21762, CVE-2024-55591, CVE-2019-6693 SonicWall : CVE-2024-40766 Palo Alto : CVE-2024-3400 Citrix : CVE-2023-4966 Microsoft SharePoint : CVE-2025-53770, CVE-2025-53771 (zero-day par UNC6357) SAP NetWeaver : CVE-2025-31324 CrushFTP : CVE-2025-31161 CVE-2025-8088 exploité en zero-day par UNC2165 CVE-2025-61882 exploité contre Oracle EBS (CL0P) Credentials volés : 21% des incidents identifiés (VPN, RDP) Malvertising / SEO poisoning : UNC6016 (→ NITROGEN, RHYSIDA), UNC2465 (→ SMOKEDHAM) Bruteforce : attaques prolongées sur VPNs (ex. Daixin sur près d’un an) Accès via subsidiaires ou tiers (réseaux intermédiaires) Ingénierie sociale : UNC5833 via Microsoft Teams + Quick Assist 🔧 TTPs post-compromission Établissement de foothold : ...

Selon le blog de Rapid7 (Metasploit Wrap-Up), Metasploit a été enrichi de deux modules d’exploitation RCE visant des vulnérabilités critiques dans Sawtooth Software Lighthouse Studio et le répéteur Wi‑Fi Shenzhen Aitemi M300. • Le module pour Lighthouse Studio (CVE-2025-34300) exploite une injection de template non authentifiée dans l’application web ciwweb.pl (versions antérieures à 9.16.14), permettant l’exécution arbitraire de commandes Perl via des gabarits d’enquête, sur Linux et Windows. • Le module pour Aitemi M300 (CVE-2025-34152) cible une vulnérabilité sur le paramètre time, menant à une exécution de commandes en root sur l’appareil répéteur Wi‑Fi. ...