TTP

📰 Source : NRK (média public norvégien), publié le 15 avril 2026. L’article rapporte la découverte et la divulgation responsable d’une vulnérabilité de configuration dans le réseau mobile de Telia Norvège, opérateur comptant environ 2 millions d’abonnés. 🔍 Découverte de la faille Le 20 mars 2026, le chercheur en sécurité Harrison Sand, employé de la société norvégienne Mnemonic, découvre la faille lors d’investigations sur l’abus du réseau téléphonique à des fins de fraude par SMS. En passant un appel vers un journaliste de NRK, il constate que Telia transmet spontanément l’identifiant de la station de base à laquelle le téléphone appelé est connecté. ...

🗓️ Contexte Source : Malwarebytes (blog officiel), publié le 14 avril 2026. L’article présente une analyse d’un nouveau logiciel malveillant de type infostealer nommé Omnistealer, dont la particularité principale est l’utilisation de blockchains publiques comme infrastructure de commande et contrôle (C2). 🔗 Technique d’hébergement via la blockchain Contrairement aux infostealers classiques qui stockent leurs charges utiles sur des plateformes supprimables (GitHub, PyPI, npm, Google Docs, OneDrive), Omnistealer encode des fragments de code malveillant, du texte chiffré et des commandes codées directement dans des transactions blockchain sur : ...

🗞️ Contexte Article de presse spécialisée publié le 11 avril 2026 par PCMag, basé sur des informations exclusives fournies par les chercheurs de Ransom-ISAC et Crystal Intelligence. L’enquête a débuté lorsque le vice-président ingénierie de Crystal Intelligence a reçu une fausse offre d’emploi sur LinkedIn, révélant une campagne d’attaque d’envergure mondiale. 🎯 Description de l’attaque La chaîne d’attaque repose sur plusieurs étapes : Vecteur initial : fausses offres d’emploi diffusées via LinkedIn, Upwork, Telegram et Discord, ciblant des développeurs freelance (notamment en Inde et en Asie du Sud) Infection : les cibles sont invitées à exécuter du code depuis des dépôts GitHub infectés Infrastructure C2 blockchain : le code malveillant contacte les blockchains TRON ou Aptos pour récupérer un pointeur vers la Binance Smart Chain, qui héberge le payload final Persistance : le malware est encodé dans des transactions blockchain, le rendant impossible à supprimer et de plus en plus difficile à tracer 🦠 Malware : Omnistealer Le malware baptisé Omnistealer est compatible avec : ...

🗓️ Contexte Publié le 17 avril 2026 sur IT-Connect par Florian Burnel, cet article traite de deux nouvelles vulnérabilités affectant PHP Composer, l’outil de gestion de dépendances très répandu dans l’écosystème PHP. 🔍 Vulnérabilités identifiées Deux failles de sécurité ont été divulguées, toutes deux localisées dans le pilote VCS (Version Control System) Perforce de Composer : CVE-2026-40176 (CVSS : 7.8/10) : vulnérabilité de mauvaise validation des entrées. Un attaquant contrôlant la configuration d’un dépôt via un fichier composer.json malveillant déclarant un dépôt Perforce VCS peut injecter des commandes arbitraires, exécutées avec les privilèges de l’utilisateur lançant Composer. CVE-2026-40261 (CVSS : 8.8/10) : vulnérabilité d’échappement inadéquat. Elle permet l’injection de commandes via une référence de source manipulée contenant des métacaractères shell. ⚠️ Ces failles sont exploitables même si Perforce VCS n’est pas installé sur la machine cible. ...

🔍 Contexte Source : Breakglass Intelligence (intel.breakglass.tech), publiée le 17 avril 2026. L’analyse fait suite à la détection d’un pull de configuration malveillante en direct le 16 avril 2026, pointant vers un serveur C2 à 137.220.153.175:886. L’investigation a permis de reconstituer l’intégralité de la chaîne d’infection en quelques heures. 🎯 Acteur et ciblage Silver Fox APT (alias Void Arachne / CL-STA-0048 / UTG-Q-1000) est un groupe chinois principalement connu pour le déploiement de ValleyRAT (aussi classifié Winos 4.0), un dérivé de Gh0st RAT. Historiquement centré sur les victimes sinophones, le groupe a étendu ses opérations au Japon, à la Malaisie et à l’Asie du Sud-Est depuis décembre 2025. Cette campagne cible spécifiquement des victimes japonaises via un leurre de facture Rakuten en langue japonaise. ...

🔍 Contexte Publié sur GitHub par BoostSecurity Labs, SmokedMeat est un framework red team post-exploitation ciblant les pipelines CI/CD. Il est présenté comme l’équivalent de Metasploit pour les environnements d’intégration et de déploiement continus. 🛠️ Description technique SmokedMeat est composé de trois composants principaux : Counter : interface TUI opérateur (terminal) Kitchen : serveur C2 (teamserver) gérant les sessions, stagers, callbacks et graphe d’attaque Brisket : implant déployé sur les runners CI compromis, assurant le beaconing, l’exécution de commandes et le pivoting Le framework intègre également un scanner SAST de pipelines (poutine, embarqué) et un scanner de secrets (gitleaks, embarqué). ...

📰 Source : Lawfare / Seriously Risky Business (Tom Uren), publié le 17 avril 2026. 🌍 Surveillance géolocalisation : Webloc / Penlink Le Citizen Lab a publié un rapport approfondi sur Webloc, un système de surveillance adtech développé par Cobweb Technologies et désormais commercialisé par la société américaine Penlink (fusion en 2023). Selon un document technique interne divulgué, Webloc donne accès à des enregistrements provenant de jusqu’à 500 millions d’appareils mobiles dans le monde, incluant identifiants de dispositifs, coordonnées GPS et données de profil issues d’applications mobiles et de la publicité numérique. ...

🔍 Contexte Publié sur GitHub (xaitax/TotalRecall), cet article présente TotalRecall Reloaded, un outil offensif ciblant la fonctionnalité Windows Recall de Microsoft. Il s’agit d’une analyse technique détaillée accompagnée d’un outil fonctionnel démontrant plusieurs failles architecturales dans la conception de sécurité de Recall. 🏗️ Architecture et vulnérabilité fondamentale Microsoft a sécurisé Windows Recall avec VBS enclaves, chiffrement AES-256-GCM, authentification Windows Hello et un hôte Protected Process Light (PPL). Cependant, le processus de rendu AIXHost.exe ne bénéficie d’aucune de ces protections (pas de PPL, pas d’AppContainer, pas d’enforcement d’intégrité de code). Tout processus s’exécutant en tant qu’utilisateur connecté peut y injecter du code et appeler les mêmes API COM que l’interface légitime. ...

🗓️ Contexte Source : Help Net Security, article de Zeljka Zorz publié le 17 avril 2026. L’article couvre la publication successive de trois exploits zero-day ciblant Microsoft Defender, ainsi que leur exploitation active observée dans la nature. 🔍 Les trois exploits Un chercheur anonyme opérant sous les pseudonymes Chaotic Eclipse et Nightmare Eclipse a publié trois PoC sur GitHub : BlueHammer (publié le 3 avril 2026) : vulnérabilité d’élévation de privilèges dans Microsoft Defender. Associée au CVE-2026-33825, corrigée par Microsoft le 14 avril 2026. Les chercheurs officiellement crédités pour ce CVE sont Zen Dodd et Yuanpei Xu, distincts du chercheur anonyme. RedSun (publié le 16 avril 2026) : second flaw d’élévation de privilèges dans Microsoft Defender. Son efficacité a été confirmée par le vulnerability analyst Will Dormann. UnDefend (publié le 16 avril 2026) : permet à un utilisateur standard de bloquer les mises à jour de signatures de Microsoft Defender ou de le désactiver entièrement lors d’une mise à jour majeure. Le dépôt GitHub reste accessible malgré un avertissement de la plateforme (propriété de Microsoft). ...

🗓️ Contexte Source : Ars Technica, article de Dan Goodin publié le 17 avril 2026. L’article rapporte un incident de cybersécurité majeur ayant touché Grinex, un exchange de cryptomonnaies enregistré au Kirghizistan et sanctionné par le Trésor américain (OFAC). 💥 Incident Grinex a annoncé la suspension de ses opérations à la suite d’un vol estimé à 15 millions de dollars en USDT (stablecoin basé sur Ethereum). La société avait initialement communiqué sur un montant de 13 millions de dollars, mais les chercheurs de TRM Labs ont identifié environ 70 adresses drainées (contre ~54 signalées par Grinex), portant l’estimation à 15 millions. ...