Sandbox Evasion

Source et contexte: Publication de recherche présentée au NDSS Symposium 2026 par des chercheurs de Georgia Institute of Technology. L’étude propose un cadre de mesure actif traçant des IoC « filigranés » pour observer, en temps réel, la chaîne de propagation (soumission → extraction → partage → disruption) au sein de l’écosystème mondial de Threat Intelligence (AV, sandboxes, plateformes TI, blocklists). • Méthodologie et portée. Les auteurs génèrent des binaires bénins mais suspects (Rockets) qui émettent des domaines/URLs encodant des empreintes d’exécution, déposent des copies (Satellites) et permettent de suivre l’extraction d’IoC, leur partage et les actions de blocage/takedown. Ils soumettent à 30 acteurs (plus de 60 fournisseurs observés au total) et utilisent des capteurs DNS/HTTP ainsi que des sondes OSINT (VirusTotal, OTX, blocklists DNS) pour mesurer couverture et délais. ...

Selon Arctic Wolf, des chercheurs ont mis au jour « GPUGate », une campagne sophistiquée visant des professionnels IT en Europe de l’Ouest via des publicités Google malveillantes menant à de faux installateurs GitHub Desktop. L’objectif apparent est l’accès initial pour le vol d’identifiants et une possible préparation au déploiement de ransomware, avec des indices pointant vers des acteurs russophones. La charge utile (≈128 Mo) se distingue par une évasion basée sur GPU : un mécanisme de déchiffrement conditionnel (« GPU-gated ») n’exécute le code que sur des machines dotées d’un GPU réel dont le nom de périphérique dépasse 10 caractères, contournant efficacement VM et sandboxes. Le binaire embarque plus de 100 exécutables factices pour brouiller l’analyse. ...