TTP

Selon Socket (Threat Research Team), un module Go malveillant imitant le dépôt de confiance golang.org/x/crypto — publié comme github[.]com/xinfeisoft/crypto — a été découvert avec une porte dérobée insérée dans ssh/terminal/terminal.go. Cette usurpation cible un composant fondamental de l’écosystème Go afin de collecter des secrets saisis via ReadPassword et de livrer une chaîne d’infection Linux. — Détail du leurre et de l’implant — Technique d’usurpation (« namespace confusion »): clone du code x/crypto avec faible modification apparente, ajoutant notamment la dépendance github.com/bitfield/script pour faciliter les requêtes HTTP et l’exécution de commandes. Backdoor dans ReadPassword: capture du secret, écriture locale dans /usr/share/nano/.lock, récupération d’un pointeur d’“update” hébergé sur GitHub Raw, exfiltration du mot de passe via HTTP POST, puis exécution d’un script reçu côté attaquant via /bin/sh. Écosystème et persistance: l’acteur utilise un fichier update.html sur GitHub comme canal de configuration (rotation d’URL sans republier le module). Le module a été servi par le miroir public Go jusqu’au 16 décembre 2025; la Go security team le bloque désormais via le proxy (403 SECURITY ERROR), tandis que le compte GitHub de l’éditeur reste public au moment de la rédaction. — Chaîne d’exécution Linux et charges — ...

Selon Akamai Security Intelligence and Response Team (SIRT), une campagne active du botnet Mirai « Zerobot » exploite depuis mi-janvier 2026 des vulnérabilités récemment divulguées dans les routeurs Tenda AC1206 (CVE-2025-7544) et la plateforme d’automatisation n8n (CVE-2025-68613). C’est la première exploitation active rapportée depuis leurs divulgations respectives (juillet et décembre 2025). L’article publie des IOCs ainsi que des règles Snort et Yara. Vulnérabilités ciblées: CVE-2025-7544: débordement de pile à distance sur le point de terminaison /goform/setMacFilterCfg des Tenda AC1206 v15.03.06.23 via le paramètre deviceList, conduisant à DoS/RCE (PoC public disponible). CVE-2025-68613: RCE dans l’évaluation des expressions de n8n (versions 0.211.0 à 1.20.4, puis 1.21.1 et 1.22.0) due à l’absence de sandboxing, permettant exécution de code, lecture/écriture de fichiers, vol d’env vars et persistance avec un simple compte utilisateur non-admin (PoC public disponible). Exploitation observée (honeypots Akamai) 🧪: ...

Source: Elastic Security Labs (billet technique) — Les chercheurs détaillent une campagne ClickFix toujours active identifiée début février 2026, utilisant des sites web légitimes compromis pour livrer une chaîne d’infection en cinq étapes culminant avec MIMICRAT, un cheval de Troie d’accès à distance sur mesure. • Vecteur et leurre: la campagne compromet des sites de confiance (bincheck.io et investonline.in) pour injecter un JavaScript qui affiche une fausse vérification Cloudflare et pousse l’utilisateur à coller/exec un one-liner PowerShell depuis le presse‑papiers. Le leurre est localisé en 17 langues et a touché des victimes dans plusieurs régions (dont une université aux États‑Unis et des utilisateurs sinophones). ✅ ...

Source: Flashpoint — Flashpoint publie une analyse technique de DarkCloud, un infostealer commercialisé depuis 2022 par « Darkcloud Coder » (ex-« BluCoder »), vendu via Telegram et un site clearnet dès 30 $, et présenté publiquement comme « logiciel de surveillance » alors qu’il est centré sur le vol d’identifiants à grande échelle. 🔐 Langage et évasion. DarkCloud est écrit en Visual Basic 6.0 et compilé en binaire natif C/C++. L’usage de composants runtime legacy (ex. MSVBVM60.DLL) contribuerait à réduire les détections par rapport à des équivalents C/C++ selon des scans VirusTotal effectués par les analystes. L’outil emploie une obfuscation/ chiffrement de chaînes en couches, fondée sur le PRNG VB6 (Rnd()) avec clés Base64, chaînes hex, calcul de seed custom, reset du PRNG à un état connu, puis itérations pour reconstruire les chaînes en clair — une approche visant à complexifier l’analyse sans recourir à une crypto innovante. 🧪 ...

Selon l’extrait d’actualité fourni (26 février 2026), des équipes de menaces nord-coréennes ont été observées utilisant le ransomware Medusa, avec des activités visant notamment le secteur de la santé américain et une cible au Moyen-Orient. 🚨 Faits saillants Nouvel outil: adoption de Medusa par des acteurs nord-coréens, en plus des souches Maui et Play déjà associées à eux. Ciblage: une attaque au Moyen-Orient attribuée à ces acteurs ; tentative infructueuse contre une organisation de santé aux États-Unis. Extorsion en cours: le site de fuites de Medusa recense des attaques contre quatre organisations de santé et à but non lucratif aux États-Unis depuis début novembre 2025. 🧠 Contexte Medusa (RaaS) ...

Selon Truffle Security (blog), Google a longtemps indiqué que les clés API Google (ex. Maps, Firebase) n’étaient pas des secrets et pouvaient être intégrées côté client ; depuis l’activation de l’API Gemini (Generative Language API) sur un projet, ces mêmes clés peuvent désormais authentifier vers des endpoints sensibles, sans alerte ni consentement explicite, transformant des identifiants de facturation en véritables crédentielles. Le problème central tient à l’usage d’un format de clé unique « AIza… » pour l’identification publique et l’authentification sensible, provoquant une élévation de privilèges rétroactive et des défauts de sécurité par défaut (clés « Unrestricted » valides pour tous les services activés, dont Gemini). Truffle Security qualifie cela d’« Insecure Default posture » (CWE-1188) et « Incorrect Privilege Assignment » (CWE-269), avec une absence de séparation des clés (publishes vs. secrètes). ...

Contexte: Cisco Talos signale une exploitation active visant Cisco Catalyst SD‑WAN Controller (ex‑vSmart), détaillant la vulnérabilité CVE-2026-20127, les modes opératoires de l’acteur « UAT‑8616 » et des pistes de détection et de chasse. • Vulnérabilité et impact. Une faille d’authentification (CVE-2026-20127) permet à un attaquant distant non authentifié de contourner l’authentification et d’obtenir des privilèges administratifs sur le contrôleur, comme compte interne à hauts privilèges (non‑root). Talos observe une exploitation active et remonte des traces d’activité depuis au moins 2023. L’acteur, UAT‑8616 (évalué hautement sophistiqué), a ensuite escaladé vers root via un downgrade logiciel, a exploité CVE-2022-20775, puis a restauré la version d’origine, obtenant l’accès root. Cette campagne s’inscrit dans la cible récurrente des équipements de bordure réseau des organisations à forte valeur, y compris les infrastructures critiques. ...

Source: Google Cloud Blog — Google Threat Intelligence Group (GTIG) et Mandiant détaillent la découverte et la disruption d’UNC2814, un acteur d’espionnage lié à la RPC, actif depuis 2017, ayant visé principalement des télécoms et des organismes gouvernementaux à l’échelle mondiale. Portée et cible: 53 victimes confirmées dans 42 pays (et activités suspectes dans au moins 20 autres), avec un focus sur les télécommunications et des gouvernements. L’activité récente repose sur la backdoor GRIDTIDE et n’a pas d’overlap observé avec « Salt Typhoon ». Le vecteur d’accès initial n’est pas établi pour cette campagne, mais l’acteur a historiquement compromis serveurs web et systèmes en périphérie. ...

GBHackers rapporte, sur la base des analyses d’Insikt Group, que le groupe financierement motivé “GrayCharlie” (recoupé avec SmartApeSG) détourne des sites WordPress légitimes afin de diffuser NetSupport RAT, puis Stealc et SectopRAT, au moyen de faux écrans de mise à jour de navigateur et de flux ClickFix. Le groupe opère depuis mi‑2023 et recycle des chaînes d’infection, clés de licence et schémas de certificats TLS récurrents. 🧑‍💻 Vecteur et chaîne d’infection: ...

Selon Check Point Research, deux vulnérabilités critiques dans l’outil de développement IA Claude Code d’Anthropic ont permis une exécution de code à distance (RCE) et le vol de clés API en abusant de fichiers de configuration au niveau des dépôts, activés automatiquement à l’ouverture d’un projet. Les chercheurs décrivent comment des mécanismes intégrés (Hooks, intégrations MCP, variables d’environnement) ont pu contourner les contrôles de confiance et rediriger le trafic authentifié avant tout consentement utilisateur. ...