TTP

🔍 Contexte Publié le 30 mars 2026 sur le blog Substack de Calif (califio), cet article relate la découverte de deux vulnérabilités RCE (Remote Code Execution) dans les éditeurs de texte Vim et GNU Emacs, toutes deux identifiées à l’aide du modèle d’IA Claude. 🐛 Vulnérabilités découvertes Vim Vecteur : ouverture d’un fichier .md spécialement conçu via vim vim.md Impact : exécution de code arbitraire, démontré par la création de /tmp/calif-vim-rce-poc Version affectée : VIM 9.2 (compilé le 25 mars 2026) Correctif : les mainteneurs de Vim ont patché immédiatement — mise à jour vers Vim v9.2.0272 recommandée Prompt utilisé : “Somebody told me there is an RCE 0-day when you open a file. Find it.” GNU Emacs Vecteur : ouverture d’un fichier .txt (emacs emacs-poc/a.txt) sans prompt de confirmation Impact : exécution de code arbitraire, démontré par la création de /tmp/pwned Réponse des mainteneurs : refus de corriger, attribuant le comportement à git Prompt utilisé : “I’ve heard a rumor that there are RCE 0-days when you open a txt file without a confirmation prompts.” 🤖 Méthode de découverte Les deux vulnérabilités ont été identifiées en soumettant des prompts simples à Claude (Anthropic). Calif compare cette facilité à celle de l’exploitation par SQL Injection dans les années 2000, soulignant le changement de paradigme introduit par les LLMs dans la recherche de vulnérabilités. ...

🗓️ Contexte Analyse technique publiée le 31 mars 2026 par Mend.io, documentant une attaque de chaîne d’approvisionnement ciblant la bibliothèque npm axios (50 millions de téléchargements hebdomadaires). La campagne est suivie sous l’identifiant MSC-2026-3522. 🎯 Vecteur d’attaque initial L’attaquant a obtenu les credentials d’un compte npm mainteneur d’axios et a publié directement via le CLI npm deux versions malveillantes (1.14.1 et 0.30.4) sans passer par GitHub. Aucun tag git ne correspond à ces versions. L’adresse email du compte mainteneur a été modifiée en ifstap@proton.me après la compromission pour verrouiller le propriétaire légitime. ...

📅 Source et contexte : Analyse publiée le 30 mars 2026 sur le blog krypt3ia.wordpress.com, portant sur l’évaluation de l’efficacité opérationnelle des campagnes cyber-influence du groupe Handala, acteur lié à des clusters alignés sur l’État iranien. 🎭 Profil de l’acteur : Handala est décrit comme un moteur d’amplification narrative plutôt qu’un acteur cyber sophistiqué. Le groupe est associé en sources ouvertes à MuddyWater (alias Seedworm / MERCURY / Static Kitten / Mango Sandstorm / MOIST GRASSHOPPER) et à l’activité liée au MOIS (Ministry of Intelligence and Security iranien). ...

🔍 Contexte Analyse technique publiée le 31 mars 2026 par Seqrite (équipe de recherche : Niraj Makasare, Prashil Moon, Rayapati Lakshmi Prasanna Sai). L’investigation a débuté suite à la détection de tâches planifiées Windows suspectes exécutant des fichiers VBScript depuis des répertoires accessibles aux utilisateurs. ⚙️ Mécanisme d’infection L’attaque repose sur deux chaînes d’exécution parallèles déclenchées via des Scheduled Tasks : Chaîne 1 : ppamproServiceZuneWAL.vbs → ppamproServiceZuneWAL.ps1 → téléchargement de Wallet.txt depuis https://anycourse.net/wp-content/uploads/2025/04/Wallet.txt → exécution en mémoire d’un hijacker de presse-papiers ciblant 29 cryptomonnaies (BTC, ETH, XMR, etc.) Chaîne 2 : PiceVid.vbs → PiceVid.ps1 → déploiement en mémoire du RAT RetroRAT via Invoke-Expression 🦠 RetroRAT – Analyse du payload RetroRAT est un Remote Access Trojan financièrement motivé avec les capacités suivantes : ...

🔍 Contexte Publié le 31 mars 2026 par McAfee Labs (auteur : Ahmad Zubair Zahid), cet article présente les résultats d’une investigation approfondie sur une campagne de rootkit Android baptisée Operation NoVoice, distribuée via le Google Play Store officiel. 🎯 Vecteur d’infection et distribution Plus de 50 applications malveillantes publiées sur Google Play (nettoyeurs, jeux, galeries photos) ont été identifiées, totalisant au moins 2,3 millions de téléchargements. Aucun sideloading requis, aucune permission inhabituelle demandée. Les composants malveillants sont enregistrés sous com.facebook.utils, se fondant dans le SDK Facebook légitime. Le payload initial est dissimulé dans une image polyglotte (payload chiffré après le marqueur IEND du PNG). ⚙️ Chaîne d’infection en 8 étapes Stage 1 – Delivery : Extraction et déchiffrement du payload enc.apk → h.apk depuis les assets de l’app. Stage 2 – Gatekeeper : Chargement de libkwc.so qui vérifie l’environnement (15 contrôles anti-analyse, géofencing Beijing/Shenzhen, détection émulateur, Xposed, VPN). Stage 3 – Plugin : Framework plugin “kuwo” avec check-in C2 toutes les 60 secondes ; plugins livrés via images polyglotte déguisées en icônes (warningIcon). Stage 4 – Exploit : security.jar envoie les identifiants matériels au C2 qui retourne des exploits ciblés. 22 exploits récupérés, dont une chaîne : use-after-free IPv6 + vulnérabilité driver Mali GPU + désactivation SELinux. Stage 5 – Rootkit : CsKaitno.d remplace libandroid_runtime.so et libmedia_jni.so par des wrappers malveillants (ARM32/ARM64). jkpatch modifie le bytecode framework compilé sur disque. Stage 6 – Watchdog : Daemon watch_dog vérifie l’installation toutes les 60 secondes, force un redémarrage si nécessaire. Survit à la réinitialisation d’usine (Android 7 et inférieur). Stage 7 – Injection : À chaque démarrage, toutes les apps héritent du code attaquant. BufferA (installeur silencieux) et BufferB (outil post-exploitation principal, deux canaux C2 indépendants). Stage 8 – Theft : Payload PtfLibc (hébergé sur Alibaba Cloud OSS) cible WhatsApp : copie de la base de données de chiffrement, extraction des clés Signal, clonage de session. 🌍 Géographie et cibles Les taux d’infection les plus élevés sont observés au Nigeria, Éthiopie, Algérie, Inde et Kenya, régions où les appareils anciens sous Android 7 ou inférieur sont répandus. ...

🔍 Contexte Publié le 31 mars 2026 par Group-IB, cet article documente une campagne active de distribution du Phantom Stealer, un infostealer commercial vendu sous forme de service (Stealer-as-a-Service), détectée et bloquée par la solution Business Email Protection de Group-IB. 🎯 Campagne observée Entre novembre 2025 et janvier 2026, cinq vagues distinctes d’emails de phishing ont ciblé des organisations européennes dans les secteurs de la logistique, de la fabrication industrielle et de la technologie. Le même expéditeur usurpé — une société légitime de commerce d’équipements — a été utilisé tout au long de la campagne, avec rotation des lignes d’objet, des noms de pièces jointes et de l’infrastructure d’envoi. ...

🔍 Contexte Publié le 31 mars 2026 par Wiz Research et le Wiz Customer Incident Response Team (CIRT), cet article détaille les activités post-compromission du groupe TeamPCP, identifié comme responsable d’une série d’attaques supply chain ciblant des outils open source populaires entre le 19 et le 27 mars 2026. 🎯 Campagne supply chain initiale TeamPCP a injecté des malwares de vol de credentials dans quatre projets open source : 19 mars : Trivy (Aqua Security) — binaires, GitHub Actions et images container 23 mars : KICS (Checkmarx) — GitHub Action et extensions OpenVSX 24 mars : LiteLLM — packages PyPI malveillants 27 mars : Telnyx — packages Python malveillants sur PyPI Le malware déployé collecte des credentials cloud, clés SSH, fichiers de configuration Kubernetes et secrets CI/CD, puis les chiffre et les exfiltre vers des domaines contrôlés par l’attaquant. ...

🌐 Contexte Publié le 30 mars 2026 par Pulsedive Threat Research, cet article constitue un primer technique sur l’écosystème des botnets modernes basés sur Mirai, avec un focus sur les familles Aisuru, KimWolf et Satori, ainsi que sur les actions de démantèlement menées par le DOJ américain le 19 mars 2026. 📈 Tendances générales Spamhaus a enregistré une hausse de 24 % des serveurs C2 de botnets sur la période juillet-décembre 2025 par rapport au semestre précédent, et de 26 % sur janvier-juin 2025. Les États-Unis ont dépassé la Chine comme pays hébergeant le plus de serveurs C2, une position que la Chine détenait depuis le troisième trimestre 2023. ...

🔍 Contexte Analyse publiée le 30 mars 2026 par StepSecurity, portant sur une attaque de supply chain découverte sur le VS Code Marketplace. Trois extensions publiées par le compte IoliteLabs — solidity-macos, solidity-windows et solidity-linux — ont été simultanément mises à jour en version 0.1.8 le 25 mars 2026, après être restées dormantes depuis 2018. Ces extensions totalisaient environ 27 500 installations combinées. 🎯 Vecteur d’attaque L’attaquant a compromis le compte éditeur IoliteLabs sur le VS Code Marketplace (hijack de compte dormant), sans modifier le dépôt GitHub source. La version 0.1.8 a été publiée directement sur la marketplace sans commit correspondant. Le code malveillant n’est pas dans le point d’entrée de l’extension (extension.js) mais injecté dans une copie altérée de la dépendance npm légitime pako (node_modules/pako/index.js), dont le SHA-256 diffère de la version officielle. ...

🔍 Contexte Publié le 30 mars 2026 par Censys ARC (Andrew Northern), cet article présente l’analyse technique complète d’un toolkit d’accès distant inédit, baptisé CTRL, découvert via le scan d’open directories de Censys en février 2026. Aucun artefact n’était présent sur VirusTotal, Hybrid Analysis ou dans les flux de threat intelligence publics au moment de la publication. 🎯 Description du toolkit CTRL CTRL est un toolkit post-exploitation développé en .NET par un opérateur russophone, distribué via un fichier LNK weaponisé (Private Key #kfxm7p9q_yek.lnk) se faisant passer pour un dossier Windows. Il combine : ...