TTP

🌐 Contexte Source : Europol (europol.europa.eu), publié le 16 avril 2026. L’Opération PowerOFF est une opération internationale en cours visant à démanteler l’infrastructure criminelle des services DDoS-for-hire (booter services). La semaine d’action coordonnée s’est tenue le 13 avril 2026, impliquant 21 pays. 🎯 Périmètre de l’opération L’opération a ciblé les utilisateurs et l’infrastructure des plateformes de DDoS-for-hire, qui permettent à des individus sans compétences techniques avancées de lancer des attaques par déni de service distribué via des tutoriels étape par étape. ...

🔍 Contexte Source : Zscaler ThreatLabz, publiée le 16 avril 2026. Cette analyse technique détaille le fonctionnement du ransomware Payouts King, attribué à d’anciens initial access brokers (IAB) de BlackBasta, actif discrètement depuis environ un an. 🎯 Vecteur d’accès initial Les attaquants combinent plusieurs techniques : Spam bombing massif ciblant les victimes Phishing et vishing via Microsoft Teams, en usurpant l’identité d’un membre du support IT Instruction à la victime d’initier Quick Assist pour déployer le malware et établir un point d’ancrage réseau 🛠️ Techniques d’obfuscation et d’évasion Construction et déchiffrement de chaînes sur la pile (stack-based strings) Résolution des fonctions Windows API par hash (FNV1 avec seed unique par valeur + algorithme CRC personnalisé) Arguments de ligne de commande obfusqués via CRC checksum custom Paramètre -i obligatoire pour déclencher le chiffrement (anti-sandbox) Utilisation de syscalls directs (Zw*) pour contourner les hooks AV/EDR Renommage des fichiers via SetFileInformationByHandle (FileRenameInfo) pour éviter la détection sur MoveFile/MoveFileEx 🔐 Chiffrement des fichiers Combinaison RSA 4096 bits + AES-256 en mode CTR (bibliothèque OpenSSL liée statiquement) Support code pour ChaCha20 présent mais non utilisé dans les échantillons analysés Extension ajoutée aux fichiers chiffrés : .ZWIAAW Fichier de sauvegarde temporaire : extension .esVnyj Note de rançon : readme_locker.txt (déposée uniquement si -note est spécifié) Chiffrement partiel (13 blocs, 50%) pour les fichiers > 10 Mo (optimisation performance) ⚙️ Persistance et élévation de privilèges Tâches planifiées créées via schtasks.exe sous \Mozilla\UpdateTask et \Mozilla\ElevateTask Exécution en tant que SYSTEM Suppression de la tâche d’élévation après exécution pour effacer les traces forensiques 🧹 Anti-forensique Suppression des shadow copies : vssadmin.exe delete shadows /all /quiet Vidage de la corbeille via SHEmptyRecycleBinW Effacement des journaux d’événements Windows via EvtClearLog Terminaison de 131 processus AV/EDR identifiés par checksum 📡 Infrastructure Contact via TOX Site de fuite de données accessible via Tor Vol massif de données avant déploiement du ransomware (double extorsion) 📄 Type d’article Analyse technique approfondie publiée par ThreatLabz (Zscaler), visant à documenter les capacités techniques de Payouts King et à fournir des éléments d’attribution et de détection. ...

🔍 Contexte Publié le 16 avril 2026 par Sophos, cet article documente l’abus actif de QEMU (émulateur open-source) par des acteurs malveillants pour dissimuler leurs activités au sein d’environnements virtualisés, contournant ainsi les contrôles de sécurité des endpoints. 🎯 Campagne STAC4713 (depuis novembre 2025) Associée au groupe GOLD ENCOUNTER et au ransomware PayoutsKing, cette campagne utilise QEMU comme backdoor SSH inversé covert : Persistance : tâche planifiée nommée TPMProfiler lançant qemu-system-x86_64.exe sous le compte SYSTEM Déguisement : image disque masquée en vault.db puis en bisrv.dll (janvier 2026) Port forwarding vers les ports 32567, 22022 → port 22 (SSH) VM Alpine 3.22.0 contenant : AdaptixC2 (tinker2), wg-obfuscator, BusyBox, Chisel, Rclone Vol de credentials : copie de NTDS.dit, ruches SAM et SYSTEM via VSS et commande print sur SMB Accès initial : VPN SonicWall exposés sans MFA, puis exploitation de CVE-2025-26399 (SolarWinds Web Help Desk) Évolution en février 2026 : abandon de QEMU, accès via VPN Cisco SSL, ingénierie sociale via Microsoft Teams/QuickAssist, sideloading d’un payload Havoc C2 (vcruntime140_1.dll) via ADNotificationManager.exe, exfiltration via Rclone vers SFTP. ...

🔍 Contexte Publié le 16 avril 2026 sur GitHub par l’utilisateur Nightmare-Eclipse, le dépôt RedSun expose une vulnérabilité affectant Windows Defender (antivirus Microsoft). Le code source est disponible en C++ sous licence MIT. 🐛 Description de la vulnérabilité La vulnérabilité repose sur un comportement inattendu de Windows Defender lors de la détection d’un fichier malveillant portant un cloud tag : Lorsque Windows Defender identifie un fichier malveillant avec un cloud tag, au lieu de le supprimer, il réécrit le fichier à son emplacement d’origine. Le PoC abuse de ce comportement pour écraser des fichiers système arbitraires. L’exploitation permet d’obtenir des privilèges administrateurs (élévation de privilèges). 💻 Détails techniques Langage : C++ (100%) Fichier principal : RedSun.cpp Le dépôt contient une release initiale publiée la veille de l’article. 664 étoiles et 128 forks au moment de la publication, indiquant une forte visibilité communautaire. 📌 Type d’article Il s’agit d’une publication de PoC (Proof of Concept) accompagnée d’une description technique de la vulnérabilité. Le but principal est de divulguer publiquement un comportement anormal de Windows Defender exploitable pour une élévation de privilèges locale. ...

🔍 Contexte Publié le 16 avril 2026 par BitSight, cet article constitue le second volet d’une série d’analyses sur le botnet RondoDox, actif depuis mai 2025 jusqu’à au moins janvier 2026. Il couvre en détail l’implant initial, le binaire principal, le protocole C2 et l’évolution des capacités du malware. 🦠 Chaîne d’infection L’infection débute par l’exploitation de vulnérabilités sur des systèmes exposés (ex: React2Shell, Netgear, Linksys, Edimax). Un script shell est exécuté en mémoire sans écriture disque, réalisant : ...

🔍 Contexte Le 16 avril 2026, la Microsoft Defender Security Research Team publie une analyse technique détaillée d’une campagne macOS attribuée à Sapphire Sleet, un acteur étatique nord-coréen actif depuis au moins mars 2020, ciblant principalement le secteur financier, les cryptomonnaies, le capital-risque et les plateformes blockchain. 🎯 Vecteur d’accès initial L’attaque repose sur de l’ingénierie sociale et non sur des vulnérabilités logicielles. L’acteur crée de faux profils de recruteurs sur les réseaux sociaux et professionnels, engage les cibles dans des conversations sur des opportunités d’emploi, puis les dirige vers le téléchargement d’un fichier malveillant nommé Zoom SDK Update.scpt — un AppleScript compilé s’ouvrant dans Script Editor, application Apple de confiance. ...

🗓️ Contexte Source : The National (Scotland), publiée le 14 avril 2026. L’article relate la liquidation de Pet Planet, détaillant animalier basé à Livingston (West Lothian, Écosse), fondé en 1999 et placé en liquidation le 31 mars 2026, avec l’entrée officielle des administrateurs judiciaires le vendredi suivant. 🏪 Présentation de la victime Entreprise : Pet Planet, Livingston, West Lothian, Écosse Activité : vente au détail de produits pour animaux (alimentation premium, litière, jouets) Chiffre d’affaires au pic : £12 millions Ancienneté : fondée en 1999, soit près de 27 ans d’activité La société avait connu un regain de ventes pendant la pandémie de Covid-19 💥 Incident de cybersécurité Les documents déposés auprès du Companies House révèlent qu’une cyberattaque par ransomware a été perpétrée l’année précédant la liquidation. Les cybercriminels ont volé des données clients et exigé une rançon importante (large ransom). ...

🗂️ Contexte Source : Dragos Blog (https://www.dragos.com/blog/oil-gas-cybersecurity-threats-2026), publié le 16 avril 2026. Cet article s’appuie sur le 2026 Dragos OT/ICS Cybersecurity Year in Review, qui synthétise les observations de la Dragos Intelligence Fabric sur les menaces ayant ciblé le secteur pétrolier et gazier en 2025. 🎯 Acteurs de la menace VOLTZITE a été élevé au statut de groupe de menace Stage 2 après avoir été observé à l’intérieur de réseaux victimes. Il a compromis des passerelles cellulaires (notamment des équipements Sierra Wireless) dans des opérations midstream américaines, s’étendant aux environnements upstream et downstream. Une fois à l’intérieur, VOLTZITE a pivoté vers des postes de travail d’ingénierie, manipulé des logiciels pour extraire des fichiers de configuration et des données d’alarme, permettant d’identifier les conditions déclenchant l’arrêt des processus opérationnels. ...

🔍 Contexte Darktrace a publié le 16 avril 2026 une analyse technique détaillée d’un échantillon de malware se désignant lui-même comme ZionSiphon. L’analyse a été conduite par Calum Hall (Cyber Analyst). Le hash VirusTotal de l’échantillon est disponible publiquement. 🎯 Ciblage et motivations Le malware présente un ciblage géographique explicitement orienté vers Israël, avec des plages IPv4 hardcodées correspondant à des blocs d’adresses israéliens : 2.52.0.0 - 2.55.255.255 79.176.0.0 - 79.191.255.255 212.150.0.0 - 212.150.255.255 Deux chaînes encodées en Base64 révèlent des motivations idéologiques pro-Iran/Palestine/Yémen et une intention déclarée d’empoisonner les populations de Tel Aviv et Haïfa. L’auteur se désigne sous le pseudonyme “0xICS”. ...

🔍 Contexte Publié le 13 avril 2026 par l’équipe de recherche de Socket (socket.dev), cet article présente les résultats d’une investigation technique approfondie sur une campagne coordonnée de 108 extensions Chrome malveillantes, toujours actives au moment de la publication. Des demandes de suppression ont été soumises au Chrome Web Store et à Google Safe Browsing. 🎯 Description de la campagne Les 108 extensions sont publiées sous cinq identités d’éditeurs distincts (Yana Project, GameGen, SideGames, Rodeo Games, InterAlt) et totalisent environ 20 000 installations sur le Chrome Web Store. Toutes partagent la même infrastructure C2 hébergée sur cloudapi[.]stream (IP : 144.126.135.238, Contabo GmbH VPS), enregistrée le 30 avril 2022 via Hosting Ukraine LLC. Le serveur exécute un CMS Strapi sur le port 1337 avec une base de données PostgreSQL. ...