TTP

🔍 Contexte Le 20 mars 2026, le FBI et la CISA ont publié conjointement une annonce de service public (PSA) via l’Internet Crime Complaint Center (IC3) pour alerter sur une campagne de phishing active attribuée à des acteurs liés aux Services de renseignement russes (RIS). 🎯 Cibles La campagne cible des individus à haute valeur de renseignement, notamment : Fonctionnaires américains actuels et anciens Personnel militaire Personnalités politiques Journalistes ⚙️ Mode opératoire Les acteurs RIS envoient des messages de phishing se faisant passer pour des comptes de support automatisé d’applications de messagerie (CMA). Les victimes sont incitées à : ...

🔍 Contexte Publié le 19 mars 2026 par SecureLayer7 (Sandeep Kamble, outil Bugdazz / modèle Rabit0), cet article présente la découverte et l’analyse technique de CVE-2026-22730, une vulnérabilité d’injection SQL de sévérité haute (CVSS 8.8) affectant le composant MariaDB vector store de Spring AI. La découverte a été faite lors d’un audit de pré-production pour une entreprise de services financiers déployant un assistant IA interne basé sur une architecture RAG. ...

🗓️ Contexte Source : Infosecurity Magazine, article de Phil Muncaster publié le 20 mars 2026, basé sur un blog post de Sysdig. L’article couvre l’exploitation rapide d’une vulnérabilité critique dans le framework open source Langflow. 🔍 Vulnérabilité concernée CVE-2026-33017 : vulnérabilité d’exécution de code à distance (RCE) non authentifiée dans Langflow, un framework visuel open source pour la création d’agents IA et de pipelines RAG Score CVSS : 9.3 Exploitation possible via une seule requête HTTP, sans aucune authentification requise Permet l’exécution de code Python arbitraire sur les instances Langflow exposées ⚡ Timeline d’exploitation 17 mars 2026 : publication de l’advisory CVE ~20 heures après : premières activités malveillantes observées sur les honeypots de Sysdig Aucun proof-of-concept (PoC) public n’existait au moment de l’exploitation 🎯 Activités malveillantes observées Scan automatisé de l’infrastructure depuis 4 adresses IP sources envoyant le même payload (probablement un seul attaquant) Déploiement de scripts Python d’exploitation personnalisés via un dropper de stage 2, indiquant un toolkit d’exploitation préparé Collecte de credentials : clés de bases de données, clés API, credentials cloud, fichiers de configuration Risque de compromission de la chaîne d’approvisionnement logicielle via les accès obtenus 📊 Tendances de compression des délais d’exploitation Selon l’initiative Zero Day Clock citée par Sysdig : le temps médian d’exploitation (TTE) est passé de 771 jours en 2018 à quelques heures en 2024 En 2023, 44% des vulnérabilités exploitées ont été weaponisées dans les 24 heures suivant la divulgation 80% des exploits publics apparaissent avant la publication de l’advisory officiel Selon Rapid7 : le délai médian entre publication d’une vulnérabilité et son inclusion dans le catalogue KEV de la CISA est passé de 8,5 jours à 5 jours en un an Délai médian de déploiement de patches par les organisations : ~20 jours 📰 Nature de l’article Article de presse spécialisée relayant une publication de recherche de Sysdig, visant à documenter la rapidité d’exploitation d’une vulnérabilité critique et illustrer la compression des délais d’exploitation dans le paysage des menaces actuel. ...

🔍 Contexte Publié le 19 mars 2026 par Security Affairs, cet article relaie un rapport de Lookout Threat Labs, en collaboration avec iVerify et Google GTIG, portant sur la découverte d’un nouveau kit d’exploitation iOS baptisé DarkSword, actif depuis fin 2025. 🛠️ Description du toolkit DarkSword est un kit d’exploitation iOS permettant une compromission complète de l’appareil via une chaîne de six vulnérabilités, dont trois zero-days : CVE-2025-31277 – Corruption mémoire JavaScriptCore (CVSS 8.8) CVE-2026-20700 – Contournement PAC via dyld (CVSS 8.6) (zero-day) CVE-2025-43529 – Corruption mémoire JavaScriptCore (CVSS 8.8) (zero-day) CVE-2025-14174 – Corruption mémoire ANGLE (CVSS 8.8) (zero-day) CVE-2025-43510 – Problème mémoire noyau iOS (CVSS 8.6) CVE-2025-43520 – Corruption mémoire noyau iOS (CVSS 8.6) Le kit cible les iPhones sous iOS 18.4 à 18.7 et nécessite une interaction utilisateur minimale (near zero-click). ...

🗓️ Contexte Source : Help Net Security, publié le 20 mars 2026. Un jury fédéral américain a condamné Cameron Curry, 27 ans, résident de Charlotte (Caroline du Nord), pour un schéma d’extorsion cybernétique ciblant une entreprise technologique internationale basée à Washington D.C. 👤 Profil de l’acteur Curry avait travaillé environ six mois comme analyste de données pour la société victime, lui donnant accès à des fichiers de données internes, des informations sur le personnel et des données d’entreprise. La menace a débuté après qu’il a appris que son contrat ne serait pas renouvelé. ...

🕵️ Contexte Publié le 22 mars 2026 sur le blog de Marc-Frédéric Gomez, ce document est une fiche de renseignement CTI (TLP:CLEAR) mise à jour sur le groupe APT iranien MERCURY/MuddyWater (alias Mango Sandstorm, Seedworm, Static Kitten, TA450, Boggy Serpens, Earth Vetala, TEMP.Zagros, G0069). Il constitue une synthèse analytique structurée à destination des équipes CTI. 🏴 Attribution & Sponsor Le groupe est subordonné au MOIS (Ministry of Intelligence and Security iranien), attribution formalisée dans un avis conjoint FBI/CISA/CNMF/NCSC-UK du 24 février 2022. Un lien opérationnel avec Storm-1084 (DarkBit) est documenté par Microsoft. Le groupe partage la même tutelle institutionnelle qu’APT39 mais constitue un cluster distinct. ...

🛠️ Contexte Publié le 22 mars 2026 sur GitHub (compte 0xROOTPLS), Fritter est présenté comme un outil offensif open-source, fork lourdement modifié du projet Donut de TheWover et Odzhan. 🔍 Description technique Fritter est un générateur de shellcode position-independent (PIC) conçu pour l’exécution en mémoire de plusieurs types de charges utiles : VBScript, JScript Exécutables (EXE), DLL Assemblages .NET L’outil se distingue de Donut par une refonte complète des couches internes : ...

🔍 Contexte Publié le 20 mars 2026 par Jamf Threat Labs (Thijs Xhaflaire), cet article détaille l’extension de la campagne GhostClaw/GhostLoader, initialement documentée par JFrog Security Research début mars 2026. Jamf a identifié au moins huit nouveaux échantillons et des vecteurs d’infection inédits via des dépôts GitHub malveillants. 🎯 Vecteurs d’infection Deux méthodes de distribution parallèles ont été observées : Dépôts GitHub malveillants : impersonnent des outils légitimes (trading bots, SDKs, utilitaires développeurs). Certains dépôts affichent plusieurs centaines d’étoiles (ex. TradingView-Claw : 386 étoiles). Les dépôts sont d’abord peuplés de code bénin avant introduction de composants malveillants. Workflows IA (OpenClaw) : des fichiers SKILL.md ciblent les agents de développement IA qui installent automatiquement des “skills” depuis GitHub. Le comportement malveillant est déclenché lors de la phase d’installation (install.sh). ⚙️ Chaîne d’exécution multi-étapes Bootstrap (install.sh) : récupère et exécute le script initial, installe Node.js dans un répertoire utilisateur (sans privilèges élevés), utilise curl -k (TLS désactivé). Vol de credentials (setup.js) : script JavaScript fortement obfusqué. Affiche de faux indicateurs de progression, présente une fausse invite de mot de passe en terminal, valide les credentials via dscl . -authonly. Utilise AppleScript pour des dialogues natifs imitant des prompts macOS. Demande l’accès Full Disk Access (FDA). Récupération du payload secondaire : contacte le C2 trackpipe[.]dev avec un UUID unique par dépôt, reçoit un payload chiffré, le déchiffre et l’écrit dans /tmp/sys-opt-{random}.js, puis l’exécute en processus détaché. Persistance : le payload secondaire (GhostLoader) se relocalise dans ~/.cache/.npm_telemetry/monitor.js. Anti-forensics (postinstall.js) : efface le terminal, installe le package npm antigravity (package légitime ancien, utilisé comme leurre), affiche des messages de succès factices. 🌐 Infrastructure C2 Domaine unique partagé : trackpipe.dev Identifiants UUID distincts par dépôt pour segmenter l’activité Variable d’environnement NODE_CHANNEL transmise au payload secondaire 🔗 Campagnes connexes L’article mentionne des campagnes similaires récentes : Glassworm et PolinRider, utilisant des techniques analogues de supply chain logicielle. ...

🔍 Contexte Publié le 22 mars 2026 par la Threat Hunter Team de Symantec et Carbon Black (Broadcom), cet article présente une analyse technique détaillée d’un nouveau malware nommé Infostealer.Speagle, attribué à un acteur inconnu désigné Runningcrab. 🎯 Nature de la menace Speagle est un infostealer 32 bits écrit en .NET qui cible exclusivement les machines sur lesquelles le logiciel légitime Cobra DocGuard (développé par la société chinoise EsafeNet) est installé. Il détourne l’infrastructure de ce logiciel pour masquer ses communications malveillantes en les faisant passer pour des échanges légitimes client-serveur. ...

🔍 Contexte Publié le 22 mars 2026 sur GitHub par l’utilisateur andreisss, cet article présente KslDump, un outil de recherche en sécurité offensif exploitant un driver kernel Microsoft Defender (KslD.sys) pour extraire des credentials depuis LSASS protégé par PPL (Protected Process Light), sans recourir à aucun code ou driver tiers. ⚙️ Mécanisme de la vulnérabilité Le driver KslD.sys est livré avec Microsoft Defender, signé Microsoft, et expose un objet device \\.\KslD accessible depuis l’espace utilisateur. Il accepte l’IOCTL 0x222044 avec plusieurs sous-commandes critiques : ...