RAT

🔍 Contexte Publié le 26 mai 2026 par ESET (WeLiveSecurity), cet article présente une analyse technique du malware Android BTMOB, un RAT (Remote Access Trojan) découvert lors d’une revue des détections de menaces au Brésil. L’analyse est signée par Daniel Cunha Barbosa. 🧬 Origine et évolution BTMOB a été décrit pour la première fois en février 2025 et est issu de l’évolution du malware SpySolr. Contrairement aux trojans bancaires classiques, BTMOB offre des capacités plus larges : ...

🔍 Contexte WithSecure Labs publie le 28 mai 2026 une analyse approfondie d’un groupe de menace nouvellement tracké sous le nom GREYVIBE, actif depuis au moins août 2025 et ciblant principalement l’Ukraine et les entités liées à l’Ukraine dans le contexte du conflit russo-ukrainien. 🎯 Victimologie et ciblage Le groupe cible une population diverse : Entités militaires ukrainiennes (dont des combattants à Kharkiv) Entités gouvernementales (Conseil municipal de Kyiv, Service d’État des communications spéciales) Entités civiles et commerciales Secteur énergie (entreprise énergétique ukrainienne) 📦 Vecteurs d’attaque et campagnes PhantomMail : Spear-phishing par e-mail depuis août 2025, avec archives ZIP/RAR hébergées sur Google Drive et 4sync, contenant des loaders PyInstaller ou JavaScript lançant la chaîne d’infection PhantomRelay. ...

🔍 Contexte Publié le 22 mai 2026 par Unit 42 (Palo Alto Networks), cet article documente les activités récentes du groupe APT à nexus iranien Screening Serpens (alias UNC1549, Smoke Sandstorm, Iranian Dream Job), actif depuis au moins 2022. Les campagnes analysées couvrent la période mi-février à avril 2026, en corrélation avec un conflit régional débuté le 28 février 2026 au Moyen-Orient. 🎯 Ciblage et victimologie Les entités ciblées sont localisées dans : ...

🔍 Contexte Publié le 14 mai 2026 par l’équipe LAT61 Threat Intelligence de Point Wild (Kedar Shashikant Pandit, Prathamesh Shingare, Amol Swami), cet article présente une analyse technique approfondie d’un échantillon Python packagé via PyInstaller, identifié comme un loader multi-étapes déployant le RAT XWorm V7.4. 🧩 Chaîne d’infection L’exécutable initial est détecté comme PyInstaller [modified], suggérant une altération délibérée pour entraver l’analyse statique. Après extraction, le fichier .pyc malveillant principal est identifié : BA4Q6ACPMNrd980FwZn9iEbEqkjvRmw7FhW.pyc. ...

🔍 Contexte Publié le 14 avril 2026 par Elastic Security Labs (auteurs : Salim Bitam, Samir Bousseaden, Daniel Stepanic), cet article détaille la campagne REF6598, une opération d’ingénierie sociale sophistiquée ciblant des individus dans les secteurs financier et des cryptomonnaies. 🎯 Vecteur d’accès initial Les attaquants se font passer pour une société de capital-risque et contactent leurs cibles via LinkedIn, puis migrent la conversation vers Telegram. Ils invitent la victime à utiliser Obsidian comme base de données partagée, en lui fournissant des identifiants pour se connecter à un vault cloud contrôlé par l’attaquant. ...

🔍 Contexte Cisco Talos a publié le 5 mai 2026 une analyse technique détaillée d’une intrusion découverte via télémétrie, active depuis au moins janvier 2026. Un attaquant inconnu a déployé un RAT modulaire nommé CloudZ ainsi qu’un plugin inédit baptisé Pheno, dans le but de voler des identifiants et potentiellement des mots de passe à usage unique (OTP). 🎯 Vecteur d’accès initial et chaîne d’infection Le vecteur d’accès initial est inconnu. La chaîne d’infection observée est la suivante : ...

🔍 Contexte En avril 2026, l’équipe Profero IRT a identifié et analysé un backdoor .NET 8 nommé WindowsAudit.exe sur un hôte victime. L’analyse a été publiée le 28 avril 2026 sur le blog de Profero. L’activité a été signalée à la Direction nationale israélienne de la cybersécurité (INCD). La campagne est considérée comme potentiellement en phase de préparation vers une opération ransomware de plus grande envergure. 🧬 Caractéristiques du binaire Nom : WindowsAudit.exe (version interne v1.5.77) Type : RAT modulaire C# (.NET 8), single-file bundle natif Taille : 101 Mo, non signé Date de compilation : 19 mars 2026 Architecture : ~28 000 lignes de code C# avec séparation claire entre dispatch de commandes, transports C2 et modules fonctionnels 📡 Architecture C2 (trois canaux indépendants) Discord (primaire) : bot token hardcodé, gateway intents 33281, polling de deux canaux (tasking + résultats/transferts jusqu’à 25 Mo), reconnexion avec back-off aléatoire 15–30 secondes MQTT (secondaire) : broker HiveMQ Cloud public, port 8883 TLS, topics remoteadmin/commands et remoteadmin/results, client ID format ra-agent-{MachineName}-{short-guid} Telegram (optionnel) : ensemble de commandes réduit (ping, exec, ps, screenshot, etc.) 🔒 Mécanismes de persistance Service Windows WindowsAudit (LocalSystem, démarrage auto, récupération sur échec) Abonnement WMI Exclusion Windows Defender via Add-MpPreference Sauvegarde dans %CommonProgramData%\Microsoft\Windows\WinSAT\WinSATTemp.exe Clés de registre Run : WinSATService et WindowsAuditSvc sous HKCU\...\CurrentVersion\Run Tâche planifiée RemoteAdminEdrCleanup (déclenchée au démarrage en Safe Mode) Mutex : Global\WindowsAuditSingleInstance 🐾 Dropper compagnon : WinSATSvc Un second binaire .NET 8 (WinSATSvc.exe) se fait passer pour le service légitime Windows System Assessment Tool. Il vérifie toutes les 3 minutes si l’agent principal tourne, et si non, récupère des chunks GZip depuis Discord pour reconstituer et relancer WinSATTemp.exe (copie fraîche de l’agent principal). ...

🔍 Contexte Analyse technique publiée le 12 avril 2026 sur GitHub par le chercheur Kavan00, portant sur des projecteurs Android vendus sur Amazon, eBay et AliExpress sous les marques Hotack, Huyukang, Magcubic et Nonete. L’analyse couvre la période du 11 au 12 avril 2026 et documente une attaque de chaîne d’approvisionnement similaire aux cas BADBOX. 🎯 Dispositifs affectés Chipset : Allwinner H713 / sun50iw12p1 OS : SpectraOS (Android 11, Kernel 5.4.99) Fabricant OEM : Blue Shark, Shenzhen (opérateur C2 : Shenzhen Aodin Technology) Firmware : HY260Pro_SpectraOS_TPYB SELinux en mode Permissive (non appliqué) Clé de signature plateforme : AOSP Test Key publique 🦠 Écosystème malveillant Quatre applications système interagissent, toutes signées avec la clé AOSP test et exécutées avec UID 1000 (System) : ...

📰 Source : BleepingComputer | Date : 8 avril 2026 | Auteur de référence : Austin Larsen, analyste principal chez Google Threat Intelligence Group (GTIG) 🎯 Contexte général Le groupe de menace UNC6783 mène des campagnes ciblant des prestataires de services externalisés (BPO) afin d’atteindre indirectement des entreprises de grande valeur dans plusieurs secteurs. Selon GTIG, des dizaines d’entités ont été compromises dans le but d’exfiltrer des données sensibles à des fins d’extorsion. ...

🗓️ Contexte Source : BleepingComputer, publié le 4 avril 2026. Cet article relate un incident de supply chain affectant Axios, l’un des clients HTTP les plus populaires de l’écosystème JavaScript/npm, avec des milliards de téléchargements hebdomadaires. 🎯 Déroulement de l’attaque L’attaque a débuté par une campagne d’ingénierie sociale ciblée contre Jason Saayman, mainteneur principal du projet. Les attaquants ont : Usurpé l’identité d’une entreprise légitime en clonant son branding et les profils de ses fondateurs Invité la victime dans un faux espace de travail Slack contenant des canaux réalistes, des profils fictifs d’employés et d’autres mainteneurs open-source Planifié une réunion sur Microsoft Teams avec de nombreux participants apparents Affiché un faux message d’erreur technique pendant l’appel, incitant la victime à installer une fausse mise à jour Teams contenant un RAT Cette technique est similaire aux attaques de type ClickFix, où une fausse erreur pousse la victime à exécuter un correctif malveillant. ...