PAM Backdoor

🔍 Contexte Publié le 8 juin 2026 par Sygnia, cet article présente les résultats d’une investigation forensique approfondie sur l’Opération Highland, une intrusion attribuée à Velvet Ant, un acteur de menace à nexus chinois. Les premiers artefacts forensiques remontent à 2016, soit près d’une décennie de présence non détectée. 🎯 Cible et particularité de l’attaque Le réseau ciblé était une infrastructure critique sans connectivité internet directe. L’attaquant a contourné cette isolation en construisant une chaîne d’accès multi-étapes : ...

🕵️ Contexte Source : BleepingComputer, publié le 13 juin 2026. L’article rapporte les conclusions de Sygnia sur une campagne d’espionnage baptisée “Operation Highland”, attribuée au groupe Velvet Ant, un acteur de cyberespionnage d’origine chinoise. La campagne a débuté en 2016 et s’est poursuivie pendant 10 ans contre une grande organisation disposant d’un réseau critique isolé (air-gapped). 🎯 Vecteur d’accès initial et pivotement L’attaque débute par la compromission de serveurs exposés sur internet (le produit ou la vulnérabilité spécifique ne sont pas mentionnés). Velvet Ant déploie ensuite : ...

🔍 Contexte Publié le 7 mai 2026 par Assaf Morag (Flare), cet article analyse un outil malveillant nommé PamDOORa, dont le code source est mis en vente sur Rehub, un forum cybercriminel russophone, initialement à 1 600 USD puis réduit à 900 USD. 🛠️ Description technique de PamDOORa PamDOORa est un backdoor post-exploitation pour Linux (x86_64) qui s’intègre dans la couche PAM (Pluggable Authentication Module) du système d’exploitation. Ses capacités incluent : ...

🔍 Contexte Publié le 4 mai 2026 par les chercheurs Aliakbar Zahravi et Ahmed Mohamed Ibrahim de Trend Micro, cet article présente l’analyse technique complète de Quasar Linux (QLNX), un implant Linux précédemment non documenté découvert via une approche de threat hunting assistée par IA. Le malware présente un taux de détection très faible et cible spécifiquement les environnements de développement logiciel. 🎯 Cibles et objectifs QLNX est conçu pour compromettre les développeurs et équipes DevOps afin d’infiltrer la chaîne d’approvisionnement logicielle. Son module de credential harvesting cible explicitement : ...