RAT

🔍 Contexte Analyse technique publiée le 12 avril 2026 sur GitHub par le chercheur Kavan00, portant sur des projecteurs Android vendus sur Amazon, eBay et AliExpress sous les marques Hotack, Huyukang, Magcubic et Nonete. L’analyse couvre la période du 11 au 12 avril 2026 et documente une attaque de chaîne d’approvisionnement similaire aux cas BADBOX. 🎯 Dispositifs affectés Chipset : Allwinner H713 / sun50iw12p1 OS : SpectraOS (Android 11, Kernel 5.4.99) Fabricant OEM : Blue Shark, Shenzhen (opérateur C2 : Shenzhen Aodin Technology) Firmware : HY260Pro_SpectraOS_TPYB SELinux en mode Permissive (non appliqué) Clé de signature plateforme : AOSP Test Key publique 🦠 Écosystème malveillant Quatre applications système interagissent, toutes signées avec la clé AOSP test et exécutées avec UID 1000 (System) : ...

📰 Source : BleepingComputer | Date : 8 avril 2026 | Auteur de référence : Austin Larsen, analyste principal chez Google Threat Intelligence Group (GTIG) 🎯 Contexte général Le groupe de menace UNC6783 mène des campagnes ciblant des prestataires de services externalisés (BPO) afin d’atteindre indirectement des entreprises de grande valeur dans plusieurs secteurs. Selon GTIG, des dizaines d’entités ont été compromises dans le but d’exfiltrer des données sensibles à des fins d’extorsion. ...

🗓️ Contexte Source : BleepingComputer, publié le 4 avril 2026. Cet article relate un incident de supply chain affectant Axios, l’un des clients HTTP les plus populaires de l’écosystème JavaScript/npm, avec des milliards de téléchargements hebdomadaires. 🎯 Déroulement de l’attaque L’attaque a débuté par une campagne d’ingénierie sociale ciblée contre Jason Saayman, mainteneur principal du projet. Les attaquants ont : Usurpé l’identité d’une entreprise légitime en clonant son branding et les profils de ses fondateurs Invité la victime dans un faux espace de travail Slack contenant des canaux réalistes, des profils fictifs d’employés et d’autres mainteneurs open-source Planifié une réunion sur Microsoft Teams avec de nombreux participants apparents Affiché un faux message d’erreur technique pendant l’appel, incitant la victime à installer une fausse mise à jour Teams contenant un RAT Cette technique est similaire aux attaques de type ClickFix, où une fausse erreur pousse la victime à exécuter un correctif malveillant. ...

🔍 Contexte Publié le 4 avril 2026 par CERT Polska, cet article présente une analyse technique approfondie d’un malware Android inédit baptisé cifrat (dérivé du nom de package io.cifnzm.utility67pu), distribué via une infrastructure d’hameçonnage imitant Booking.com. 🎣 Vecteur d’infection initial La chaîne d’infection débute par un email de phishing incitant la victime à cliquer sur un lien qui redirige successivement via : share.google/Yc9fcYQCgnKxNfRmH booking.interaction.lat/starting/ Cette page présente une fausse invite de mise à jour de sécurité Booking.com et déclenche le téléchargement d’un APK malveillant : com.pulsebookmanager.helper.apk. ...

🔍 Contexte Publié le 1 avril 2026 par l’équipe GReAT de Kaspersky, cet article présente l’analyse d’un nouveau cheval de Troie d’accès à distance (RAT) nommé CrystalX, découvert en mars 2026 sur des canaux Telegram privés. Le malware est distribué selon un modèle malware-as-a-service (MaaS) avec trois niveaux d’abonnement. 🧬 Origine et évolution Première mention en janvier 2026 dans un chat Telegram privé pour développeurs de RAT, sous le nom WebCrystal RAT Identifié comme un clone de WebRat, un RAT préexistant Rebaptisé CrystalX RAT peu après, avec création d’un canal Telegram dédié pour sa commercialisation Des vidéos tutorielles publiées sur YouTube sous couvert de « fins éducatives » facilitent son utilisation 💣 Capacités malveillantes Vol de données et surveillance : ...

🗓️ Contexte Analyse technique publiée le 31 mars 2026 sur opensourcemalware.com, portant sur une attaque de chaîne d’approvisionnement ciblant le paquet npm axios, l’un des plus téléchargés au monde avec plus de 40 millions de téléchargements hebdomadaires. 🎯 Vecteur d’attaque initial L’attaquant a procédé en deux temps : Création préalable du paquet malveillant plain-crypto-js (versions 4.2.0 et 4.2.1) via le compte npm nrwise (nrwise@proton.me), conçu pour imiter le légitime crypto-js Compromission des comptes npm et GitHub du mainteneur jasonsaayman (email modifié en ifstap@proton.me), permettant la publication de axios@1.14.1 et axios@0.30.4 avec plain-crypto-js comme dépendance malveillante La preuve forensique clé est l’absence de provenance OIDC sur les versions malveillantes, publiées via npm CLI avec des credentials volés, contrairement aux versions légitimes publiées via GitHub Actions. ...

🗓️ Contexte Analyse technique publiée le 31 mars 2026 par Mend.io, documentant une attaque de chaîne d’approvisionnement ciblant la bibliothèque npm axios (50 millions de téléchargements hebdomadaires). La campagne est suivie sous l’identifiant MSC-2026-3522. 🎯 Vecteur d’attaque initial L’attaquant a obtenu les credentials d’un compte npm mainteneur d’axios et a publié directement via le CLI npm deux versions malveillantes (1.14.1 et 0.30.4) sans passer par GitHub. Aucun tag git ne correspond à ces versions. L’adresse email du compte mainteneur a été modifiée en ifstap@proton.me après la compromission pour verrouiller le propriétaire légitime. ...

Source: Kaspersky Team (12 déc. 2025). Analyse d’une campagne malveillante exploitant des sites web générés par IA pour propager une version détournée de l’outil d’accès à distance Syncro. Les attaquants créent des versions signées d’un outil d’accès à distance (RAT) légitime, Syncro, puis les distribuent via des pages web générées en masse avec l’outil IA Lovable 🎭. Ces sites imitent de façon convaincante des services populaires (ex. clones liés à Polymarket, portefeuilles Lace et Yoroi, Liqwid DeFi, antivirus Avira, gestionnaire de mots de passe Dashlane), sans être des copies parfaites. Les noms de domaine suivent souvent le motif {application}+desktop.com. ...

Selon BleepingComputer, un faux torrent du film de Leonardo DiCaprio ‘One Battle After Another’ cache des chargeurs PowerShell dans des fichiers de sous-titres, entraînant l’installation du malware Agent Tesla (RAT) sur les appareils infectés. 🎬 Le vecteur d’infection repose sur un torrent frauduleux qui inclut des sous-titres piégés. Ces fichiers déclenchent des chargeurs PowerShell malveillants, utilisés pour déployer la charge utile finale. L’impact décrit est l’infection des systèmes avec Agent Tesla, un RAT (Remote Access Trojan) bien connu, permettant la prise de contrôle et la compromission des dispositifs ciblés. 💻 ...

Selon techdigest.tv (10 novembre 2025), le prestataire chinois de cybersécurité Knownsec, lié aux autorités, a subi une fuite de données majeure. Plus de 12 000 documents classifiés publiés d’abord sur GitHub (puis retirés pour violation des conditions d’usage) dévoilent l’infrastructure opérationnelle d’un programme de cyberespionnage étatique, suscitant une vive inquiétude internationale. Les archives révèlent un arsenal technique étendu : RATs multi-OS ciblant Linux, Windows, macOS, iOS et Android, et des outils de surveillance spécialisée. Parmi eux, du code d’attaque Android capable d’extraire de vastes historiques de messages depuis des applications de messagerie populaires pour un espionnage ciblé 🕵️‍♂️. ...