TTP

🔍 Contexte Article de recherche publié le 02 mai 2026 sur le blog personnel d’Aaron Haymore (zonifer.dev). L’auteur présente une analyse technique complète du pilote noyau gdrv3.sys livré avec Gigabyte APP Center, dans le cadre d’une étude sur les attaques BYOVD (Bring Your Own Vulnerable Driver). 🎯 Objet de l’analyse Le pilote gdrv3.sys (MD5 : 2791bbd810b9bc086bb1631e0f16c821) est un pilote WDF signé par Microsoft, déposé dans C:\Windows\System32\drivers lors de l’installation de Gigabyte APP Center. L’analyse de sa table d’imports dans Ghidra révèle des fonctions dangereuses : MmMapIoSpace, MmGetPhysicalAddress, MmAllocateContiguousMemory, MmMapLockedPagesSpecifyCache, RDMSR/WRMSR. ...

📅 Contexte Source : Office fédéral de la cybersécurité (OFCS) – Publication du 04/05/2026, relatant des faits observés à partir du 28/04/2026. Il s’agit d’un bilan hebdomadaire (semaine 17) de signalements reçus par l’autorité suisse. 🎯 Nature de la menace L’OFCS constate une recrudescence des signalements liés aux escroqueries dites « Coucou maman/papa » (arnaque au faux proche en détresse). Ces campagnes ciblent des particuliers, typiquement des parents, en se faisant passer pour un enfant ayant changé de numéro. ...

🗂️ Contexte Source : Bureau du Procureur général d’Ukraine (gp.gov.ua), publication du 27 avril 2026. L’opération a été conduite par les procureurs de la région de Lviv, la cyber-police et le Service de sécurité d’Ukraine (SBU). 👥 Acteurs impliqués Un groupe de trois individus a été démantelé dans la région de Lviv : Un résident de Drohobych âgé de 19 ans, organisateur du schéma Deux complices âgés de 21 et 22 ans La période d’activité documentée s’étend d’octobre 2025 à janvier 2026. ...

🔍 Contexte Publié le 2 avril 2026 par la Microsoft Defender Security Research Team, cet article constitue une analyse technique approfondie d’une technique d’attaque observée dans des environnements d’hébergement Linux partagés. L’équipe documente l’abus de webshells PHP contrôlés par cookies HTTP comme canal de commande furtif. 🎯 Technique principale : Cookie-gated PHP webshells Au lieu d’exposer les fonctionnalités malveillantes via des paramètres d’URL ou le corps des requêtes, ces webshells restent dormants jusqu’à la réception de valeurs de cookies spécifiques fournies par l’attaquant. Le mécanisme repose sur la superglobale PHP $_COOKIE, permettant une activation discrète sans modification fréquente des fichiers sur disque. ...

🔍 Contexte Publié le 31 mars 2026 par ThreatLabz (Zscaler), cet article constitue une analyse technique approfondie des évolutions introduites dans Xloader à partir de la version 8.1, un malware de type stealer/loader issu du rebranding de FormBook. 🛡️ Nouvelles techniques d’obfuscation (v8.1+) Xloader v8.1 introduit plusieurs améliorations significatives pour contrer l’analyse automatisée et le reverse engineering : Construction désordonnée des paramètres « eggs » : les marqueurs de début et de fin des fonctions chiffrées sont désormais construits dans un ordre aléatoire et octet par octet, rendant le pattern matching inefficace. Obfuscation des prédicats opaques : les valeurs constantes hardcodées sont chiffrées via des opérations XOR au niveau bit, y compris les octets de prologue de fonctions. Routine de déchiffrement personnalisée obfusquée : la fonction de déchiffrement passe désormais par une structure de paramètres contenant des valeurs hardcodées chiffrées (ex. : déchiffrement de la taille de la S-box via la valeur 0x25 + 0xDB). L’outil Miasm framework est recommandé pour reconstruire statiquement la pile obfusquée. 🌐 Protocole réseau et communication C2 Objectifs principaux d’Xloader : ...

🎯 Contexte Publié le 3 avril 2026 par SafeDep, cet article documente une campagne de supply chain attack via npm ciblant spécifiquement les déploiements Strapi CMS d’une plateforme de paiement en cryptomonnaies identifiée comme Guardarian. La campagne s’est déroulée sur une fenêtre de 13 heures le 3 avril 2026. 📦 Vecteur d’attaque Trente-six packages npm malveillants ont été publiés via 4 comptes sock-puppet (umarbek1233, kekylf12, tikeqemif26, umar_bektembiev1), tous imitant la convention de nommage strapi-plugin-* avec la version 3.6.8 pour paraître légitimes. Chaque package contient 3 fichiers (package.json, index.js, postinstall.js), le payload s’exécutant automatiquement via le hook postinstall sans interaction utilisateur. ...

🔍 Contexte Publié le 4 avril 2026 par CERT Polska, cet article présente une analyse technique approfondie d’un malware Android inédit baptisé cifrat (dérivé du nom de package io.cifnzm.utility67pu), distribué via une infrastructure d’hameçonnage imitant Booking.com. 🎣 Vecteur d’infection initial La chaîne d’infection débute par un email de phishing incitant la victime à cliquer sur un lien qui redirige successivement via : share.google/Yc9fcYQCgnKxNfRmH booking.interaction.lat/starting/ Cette page présente une fausse invite de mise à jour de sécurité Booking.com et déclenche le téléchargement d’un APK malveillant : com.pulsebookmanager.helper.apk. ...

🗞️ Contexte Article publié le 2 avril 2026 par le Wall Street Journal, relatant l’investigation ayant conduit au démantèlement du botnet Kimwolf, l’un des plus puissants jamais observés sur internet. L’opération de police fédérale américaine a été annoncée le 19 mars 2026. 🎯 Le botnet Kimwolf Kimwolf est un botnet de type DDoS-as-a-service ayant lancé plus de 26 000 attaques DDoS ciblant plus de 8 000 victimes. À son apogée, il comptait environ 2 millions d’appareils compromis, avec des dizaines de milliers de nouveaux appareils ajoutés quotidiennement. Les opérateurs dépensaient environ 30 000 dollars par mois pour les serveurs de commande et contrôle. ...

🗓️ Contexte Article publié le 4 avril 2026 par Luke Jennings sur le blog de Push Security. Il s’agit d’une analyse technique approfondie de la montée en puissance du device code phishing en 2026, technique exploitant le flux OAuth 2.0 Device Authorization Grant. 📈 Tendance observée Push Security a observé une augmentation de 37,5x des pages de device code phishing détectées en 2026 par rapport à l’année précédente. Dix kits distincts ont été identifiés en circulation, dont le plus prominent est EvilTokens, premier kit PhaaS (Phishing-as-a-Service) criminel dédié au device code phishing, lancé en février 2026. ...

🔍 Contexte Article publié le 3 avril 2026 par Tammy Harper, Senior Threat Intelligence Researcher chez Flare.io, sur LinkedIn. L’article présente une analyse technique d’un outil offensif commercial nommé Pentagram, commercialisé comme solution automatisée d’acquisition de comptes VPN d’entreprise. 🛠️ Description de l’outil Pentagram est une plateforme modulaire composée d’un panel web centralisé et de workers distribués. La communication backend s’effectue via I2P pour assurer l’anonymat de l’opérateur. Les binaires distribués incluent pentagram.exe et i2pd.exe. ...