TTP

ESET Research (WeLiveSecurity) publie l’analyse de PromptSpy, « premier » malware Android observé à intégrer de l’IA générative dans son flux d’exécution. Découvert en février 2026, il s’appuie sur Google Gemini pour guider des interactions d’interface contextuelles et maintenir la persistance, tout en déployant un module VNC pour un accès à distance complet. Les échantillons semblent viser prioritairement l’Argentine et pourraient avoir été développés dans un environnement sinophone. 🧪 Fonctionnalité IA générative (Gemini) 🤖: PromptSpy sérialise en XML l’état courant de l’UI (texte, types, packages, bounds) et l’envoie à Gemini, qui renvoie des instructions JSON (taps, swipes, long press) pour exécuter le geste « verrouiller l’app dans les applications récentes » — un mécanisme de persistance résistant aux variations d’UI selon les modèles et versions Android. Le malware boucle jusqu’à confirmation explicite de réussite par l’IA. ...

Selon Check Point Research (blog.checkpoint.com), une recherche publiée le 19/02/2026 décrit une technique potentielle où des assistants IA avec capacité de navigation web pourraient être exploités comme relais de commande‑et‑contrôle (C2) furtifs ; cette approche a été démontrée en environnement contrôlé contre Grok et Microsoft Copilot, sans preuve d’exploitation active à ce stade. • Technique démontrée (C2 via assistants IA) 🤖: en incitant un assistant IA à « fetch » et résumer une URL contrôlée par l’attaquant, un malware peut exfiltrer des données et récupérer des commandes sans contacter directement un serveur C2 traditionnel. L’interaction peut se faire sans clés API ni comptes authentifiés, rendant moins efficaces les mécanismes de takedown classiques. Du point de vue réseau, le trafic ressemble à un usage IA légitime, l’AI servant de proxy/relai furtif au sein des communications autorisées en entreprise. ...

Source et contexte : Cato Networks (Cato CTRL Threat Research) publie une analyse technique d’un nouveau loader baptisé « Foxveil », actif depuis août 2025, qui s’appuie sur des plateformes cloud de confiance pour le staging et déploie du shellcode en mémoire avec des techniques d’injection et d’évasion avancées. Foxveil s’appuie sur des infrastructures « de confiance » (Cloudflare Pages, Netlify, Discord) pour héberger ses charges de second étage, ce qui brouille les signaux réseau et rend inefficaces les simples listes de blocage. Deux variantes sont observées : v1 (staging surtout via Cloudflare/Netlify) et v2 (staging souvent via pièces jointes Discord). La campagne est en cours depuis août 2025. ...

Selon Trail of Bits (blog), dans une analyse publiée en février 2026, deux bibliothèques populaires, aes-js (JavaScript) et pyaes (Python), exposent leurs utilisateurs à des failles cryptographiques en fournissant un IV par défaut en mode AES-CTR, ce qui a entraîné des vulnérabilités dans de nombreux projets en aval, dont strongMan (outil de gestion pour strongSwan), qui a été corrigé. Problème central: IV par défaut (0x00000000_00000000_00000000_00000001) en AES-CTR dans aes-js et pyaes, avec des exemples de documentation omettant l’IV. Cela favorise la réutilisation clé/IV, permettant la récupération de l’XOR des textes en clair et rendant le chiffrement très fragile (récupération de masques et secrets en chaîne). ...

Source : Kaspersky (Securelist) — Dans une publication de recherche, les analystes détaillent « Keenadu », un nouveau backdoor Android intégré à la chaîne d’approvisionnement du firmware, capable de s’injecter dans tous les processus via Zygote et d’offrir un contrôle quasi illimité des appareils infectés. L’étude couvre l’architecture, les charges utiles, les vecteurs de distribution (firmware, apps système et stores), et des liens avec d’autres botnets Android majeurs. • Vecteur et mécanisme d’infection. Keenadu est intégré durant la phase de build du firmware via une bibliothèque statique malveillante liée à libandroid_runtime.so, parfois livrée via mises à jour OTA signées. À l’exécution, il s’injecte dans Zygote et opère dans chaque application, rendant le sandboxing caduc. Il implémente une architecture client-serveur binder (AKClient/AKServer) au sein de system_server, avec des interfaces permettant de donner/révoquer des permissions, de collecter la géolocalisation et d’exfiltrer des données de l’appareil. Un kill switch est présent (fichiers spécifiques, détection langue/zone chinoises, absence de Google Play/Services). Les communications et charges sont chiffrées (RC4/AES‑CFB, signature DSA, MD5) et chargées via DexClassLoader. ...

Selon Cyderes – Howler Cell Threat Research Team (publié le 16 février 2026), 0APT est un ransomware écrit en Rust apparu avec une campagne de bluff revendiquant plus de 200 victimes, mais sans preuves vérifiables; l’équipe a néanmoins confirmé l’existence d’une plateforme RaaS fonctionnelle et de charges malveillantes opérationnelles. Cyderes souligne des doutes sur la crédibilité des fuites: un site onion listait de nombreuses victimes avant de disparaître, la section « leaks » du panneau RaaS propose des archives prétendument volumineuses qui ne se téléchargent pas, et aucune capture de données compromises n’est fournie. Les annonces massives et rapides (≈200 victimes) sans artefacts contredisent les pratiques des groupes de rançongiciels matures, renforçant l’hypothèse d’une campagne de bluff destinée à impressionner. ...

Selon Google Cloud Blog (Google Threat Intelligence et Mandiant), un cluster UNC6201, soupçonné d’être lié à la RPC, exploite depuis au moins mi‑2024 une vulnérabilité critique zero‑day (CVE-2026-22769, CVSS 10.0) affectant Dell RecoverPoint for Virtual Machines, déployant les malwares BRICKSTORM, SLAYSTYLE et un nouveau backdoor nommé GRIMBOLT. Contexte et acteurs: L’activité, attribuée à UNC6201 (avec chevauchements observés avec UNC5221/Silk Typhoon sans équivalence confirmée), vise des appliances en périphérie. Mandiant/GTIG documentent un basculement de BRICKSTORM vers GRIMBOLT à partir de septembre 2025, suggérant une évolution de l’outillage. ...

Selon Accenture Cybersecurity, WorldLeaks — issu du rebranding de Hunters International en 2025 — a adopté une stratégie d’extorsion centrée sur la fuite de données plutôt que le chiffrement ransomware, s’appuyant sur un outil personnalisé d’exfiltration/proxy nommé RustyRocket. Contexte et menace. WorldLeaks se concentre sur le vol de données sensibles et la menace de publication pour extorquer, ciblant divers secteurs avec un accent sur l’Amérique du Nord. Cette approche contourne l’efficacité croissante des sauvegardes et outils de déchiffrement : une fois les données exfiltrées, il n’existe aucune remédiation technique équivalente. ...

Bashe (ex-APT73) – Profil d’un acteur RaaS émergent Source : SuspectFile – Inside Bashe: The Interview with the Ransomware Group Known as APT73 https://www.suspectfile.com/inside-bashe-the-interview-with-the-ransomware-group-known-as-apt73/ Résumé exécutif Le groupe Bashe, précédemment identifié sous le nom APT73, est un acteur RaaS (Ransomware-as-a-Service) qui s’inscrit dans la nouvelle génération d’opérations structurées autour d’un modèle d’affiliation centralisé. Le rebranding vers “Bashe” ne serait pas lié à une pression policière ou à une compromission d’infrastructure, mais à un repositionnement identitaire. Le nom fait référence à une créature mythologique chinoise (serpent géant dévoreur d’éléphants), en cohérence avec leur rhétorique : cibler de grandes entreprises solvables. ...

Source: CrowdSec — Le billet signale une exploitation active de la vulnérabilité CVE-2025-56520 affectant Dify, avec détection par le réseau CrowdSec et un suivi de la menace depuis le 11 février 2026. • Vulnérabilité et portée: La faille est une SSRF au sein du composant RemoteFileUploadApi de Dify (jusqu’à la version 1.6.0), déclenchée via l’endpoint /console/api/remote-files/. Dify, plateforme open source d’orchestration d’agents IA/LLM (env. 130k étoiles GitHub), est largement déployée, ce qui expose de nombreux environnements. ...