Dernières Analyses

Cisco Talos expose UAT-9244, un APT lié à la Chine ciblant les opérateurs télécoms sud-américains avec trois nouvelles familles de malwares : TernDoor, PeerTime et BruteEntry.

• TernDoor : backdoor Windows déployé via DLL side-loading (wsprint.exe/BugSplatRc64.dll), injecté dans msiexec.exe, persistance via tâches planifiées et modifications du registre avec driver…
• PeerTime : backdoor Linux ELF multi-architecture (ARM, AARCH, PPC, MIPS) utilisant le protocole BitTorrent P2P pour les communications C2, avec des chaînes de débogage en chinois simplifié confirmant…
• BruteEntry : instrumenteur Go-based transformant les appareils compromis en nœuds de scan ORB pour brute-forcer SSH, Postgres et Tomcat afin d'étendre l'infrastructure attaquante

Des chercheurs de Huntress ont découvert une campagne utilisant de faux dépôts GitHub OpenClaw promus par Bing AI pour distribuer les malwares Atomic Stealer, Vidar et GhostSocks.

• La fausse org GitHub 'openclaw-installer' livrait Atomic Stealer (macOS) via commande bash et Vidar (Windows) via OpenClaw_x64.exe ; le C2 était récupéré via des profils Telegram et Steam
• Des loaders Rust exécutaient les infostealers en mémoire ; GhostSocks proxy backconnect déployé en parallèle pour router le trafic attaquant et contourner la détection anti-fraude géographique
• Windows Managed AV et Managed Defender for Endpoint ont mis en quarantaine les charges utiles ; aucune protection automatisée équivalente signalée pour macOS

Le groupe APT36 pakistanais utilise le vibe-coding IA pour produire en masse des malwares de faible qualité dans des langages obscurs, submergeant les défenses par le volume plutôt que la sophistication.

• APT36 (Transparent Tribe) génère quotidiennement des malwares dans des langages obscurs — Nim, Zig et Crystal — qui réinitialisent les bases de détection des moteurs endpoint configurés pour C++ et C#
• Les communications C2 transitent par des plateformes cloud légitimes incluant Slack, Discord, Google Sheets et Supabase pour contourner la détection réseau
• Les victimes sont infectées par plusieurs implants simultanés, chacun utilisant un langage et un protocole de communication différents, assurant un accès persistant même si un canal est neutralisé

Un ver JavaScript auto-propageable a vandalisé environ 3 996 pages Wikipedia et infecté ~85 comptes utilisateurs aujourd'hui avant d'être contenu par les ingénieurs Wikimedia.

• Le ver JavaScript s'est propagé via l'injection dans MediaWiki:Common.js — le script malveillant User:Ololoshka562/test.js chargeait un payload externe depuis basemetrika.ru/s/e41, infectant les…
• Le ver assurait sa persistance en écrasant User:<username>/common.js et, pour les comptes privilégiés, le MediaWiki:Common.js global — permettant une exécution côté navigateur pour chaque éditeur…
• Environ 3 996 pages vandalisées et ~85 fichiers common.js utilisateurs remplacés ; le ver insérait également des chargeurs JavaScript cachés via des éditions de pages Special:Random utilisant des…

La rétrospective CVE 2025 de Cisco Talos révèle 48 196 vulnérabilités et 241 KEVs (+30%), avec des IOCs malware actionnables et un zero-day Qualcomm confirmé.

• CVE-2026-21385 (CVSS 7.8, KEV confirmé le 2026-03-03) : corruption mémoire dans les chipsets Qualcomm affectant 234 chipsets — patcher via le bulletin de sécurité Android immédiatement
• 5 IOCs SHA256 malware issus de la télémétrie Talos cette semaine : W32.Injector, Win.Worm.Coinminer, Win.Dropper.Suloc — intégrer dans les listes de blocage SIEM/EDR
• 94 des 241 KEVs (39%) proviennent de CVE-2024 et antérieurs ; exploitation de vulnérabilités legacy active jusqu'en 2007 — inventaire des actifs et microsegmentation critiques pour les systèmes non…