SANDCLOCK

🌐 Contexte Publié le 11 mai 2026 par le Google Threat Intelligence Group (GTIG), ce rapport constitue une mise à jour du rapport de février 2026 sur l’activité liée à l’IA. Il s’appuie sur des engagements Mandiant, des données Gemini et des recherches proactives de GTIG. 🤖 IA comme outil offensif Découverte de vulnérabilités et exploitation Premier cas documenté d’un acteur cybercriminel ayant utilisé l’IA pour développer un exploit zero-day : un bypass de 2FA dans un outil d’administration web open-source, implémenté en Python. L’exploitation de masse a été évitée grâce à la divulgation responsable de GTIG. UNC2814 (nexus PRC) a utilisé des prompts de persona experte pour rechercher des vulnérabilités dans des firmwares TP-Link et des implémentations OFTP. APT45 (nexus DPRK) a envoyé des milliers de prompts répétitifs pour analyser des CVEs et valider des PoC exploits de manière automatisée. Des acteurs expérimentent avec le dépôt wooyun-legacy (plugin Claude intégrant +85 000 cas de vulnérabilités réelles) pour l’apprentissage en contexte. Utilisation d’outils agentiques OpenClaw et OneClaw dans des environnements de test vulnérables. Obfuscation et évasion (malwares AI-augmentés) Malware Type d’obfuscation PROMPTFLUX Modification dynamique du code HONESTCUE Génération de payload d’évasion (VBScript via Gemini API) CANFAIL Logique de leurre (decoy logic) LONGSTREAM Logique de leurre (decoy logic) APT27 (nexus PRC) a utilisé Gemini pour développer une application de gestion de flotte pour un réseau ORB (Operational Relay Box), avec paramètre maxHops=3 et support de dispositifs MOBILE_WIFI/ROUTER. CANFAIL et LONGSTREAM (nexus Russie) ciblent des organisations ukrainiennes et intègrent du code leurre généré par LLM pour masquer leur fonctionnalité malveillante. 🦠 PROMPTSPY : Orchestration autonome d’attaques PROMPTSPY est un backdoor Android qui intègre un module agent autonome nommé GeminiAutomationAgent : ...

🌐 Contexte Source : Google Threat Intelligence Group (GTIG) / Mandiant, publiée le 31 mars 2026. L’article documente une attaque de chaîne d’approvisionnement logicielle ciblant le package axios, l’un des packages NPM les plus utilisés au monde, attribuée à un acteur lié à la Corée du Nord. 🎯 Acteur et attribution GTIG attribue cette activité à UNC1069, un acteur à motivation financière actif depuis 2018 et lié à la Corée du Nord. L’attribution repose sur : ...

🌐 Contexte Publié le 31 mars 2026 par le Google Threat Intelligence Group (GTIG) / Mandiant, cet article documente une attaque de supply chain active ciblant le package NPM axios, l’une des bibliothèques JavaScript les plus populaires au monde (plus de 100 millions de téléchargements hebdomadaires pour la version 1.x). 🎯 Déroulement de l’attaque Entre le 31 mars 2026 00:21 et 03:20 UTC, un attaquant a compromis le compte mainteneur du package axios (en changeant l’adresse email associée vers ifstap@proton.me) et introduit une dépendance malveillante nommée plain-crypto-js (version 4.2.1) dans les versions axios 1.14.1 et 0.30.4. ...