Si vous me lisez depuis longtemps, vous savez que les hackers russes ne manquent jamais d’imagination quand il s’agit de contourner les antivirus… Mais alors là, le groupe Curly COMrades vient de sortir un truc qui déboite du genou de gnome… Ces affreux planquent maintenant leurs malwares dans des machines virtuelles Linux cachées dans des Windows. Oui, des russes qui créent de véritables poupées russes numérique… qui aurait pu prévoir ^^ ?

Et c’est vicieux vous allez voir… les gars activent Hyper-V sur les machines Windows 10 compromises, puis ils y déploient une VM Alpine Linux ultra-minimaliste. 120 Mo d’espace disque et 256 Mo de RAM… C’est tellement léger que ça passe complètement sous les radars des EDR classiques.

Et la beauté du truc, c’est que tout le trafic malveillant qui sort de la VM passe par la pile réseau de Windows grâce au NAT d’Hyper-V. Du coup, pour l’antivirus, tout a l’air de venir de processus Windows parfaitement légitimes.

C’est bien joué non ?

À l’intérieur de cette VM Alpine, les hackers ont installé 2 malwares custom : CurlyShell et CurlCat. Le premier c’est un reverse shell qui communique en HTTPS pour exécuter des commandes à distance. Et le second, c’est un proxy SSH inversé qui encapsule le trafic SSH dans des requêtes HTTP et le fait transiter par un proxy SOCKS. Les deux partagent une grosse partie de leur code mais divergent sur le traitement des données reçues.

Les chercheurs de Bitdefender, en collaboration avec le CERT géorgien, ont documenté cette campagne qui cible principalement la Géorgie et la Moldavie depuis fin juillet 2025. Les attaquants visent surtout les secteurs gouvernementaux, judiciaires et énergétiques… Bref, les infrastructures critiques, comme d’habitude.

Une fois infiltrés, les hackers désactivent alors l’interface de gestion d’Hyper-V pour réduire le risque de se faire griller. Ensuite, ils configurent la VM pour utiliser le Default Switch d’Hyper-V et ajoutent même des mappages domaine-IP personnalisés. Et pour couronner le tout, ils déploient des scripts PowerShell pour l’injection de tickets Kerberos et la persistance via des comptes locaux.

Et les EDR traditionnels, qui se focalisent sur l’analyse des processus au niveau de l’hôte, ne peuvent pas détecter ce qui se passe à l’intérieur de la VM. En fait pour chopper ce genre de menace, il faut des capacités d’inspection réseau avancées… Autant vous dire que la plupart des boîtes n’en sont pas équipées…

Pour lutter contre ça, Bitdefender recommande de ne pas miser sur une seule solution de sécurité, mais d’en empiler plusieurs. D’abord mettre en place une protection du réseau pour bloquer les attaques avant qu’elles n’atteignent les ordinateurs. Y ajouter un système de détection avancé qui surveille en permanence ce qui se passe sur les machines. Et surtout une vraie politique de réduction des risques en fermant tous les services Windows dont on ne se sert pas.

Hé oui, si Hyper-V n’est pas activé d’origine sur les système, c’est bien parce que ça représente un risque supplémentaire, donc si vous ne vous en servez pas, désactivez le.

Source

Je me suis encore tapé une bonne petite insomnie cette nuit, donc je me suis levé pour bosser et je suis tombé tout à fait par hasard sur ce PDF qui présente la “Théorie de la stupidité” de Dietrich Bonhoeffer, complété par une analyse de Carlo Cipolla sur “les lois fondamentales de la stupidité humaine”.

Je ne connaissais pas ces 2 gars ni leurs écrits, mais franchement, tous les jours ou presque je vois l’ampleur de la catastrophe et ça fait grimper ma pression artérielle. Et comme je ne comprends pas bien ce phénomène et que je ne sais pas trop comment m’y prendre pour y faire face, ça a évidemment attiré mon attention et je voulais partager ça avec vous.

Quand George Hotz, alias geohot, décide de donner des conseils à une boîte de semiconducteurs, ça donne un README de 100 lignes sur GitHub qui commence par “If you want to get acquired / become scam IP licensing co…I can’t help you.” C’est “subtil” ^^. Le hacker qui a jailbreaké le premier iPhone et qui fait maintenant rouler des voitures autonomes avec comma.ai vient de publier ses “conseils” pour Tenstorrent.

Pour ceux qui ne suivent pas le marché des puces IA de près, Tenstorrent c’est LA boîte qui fait rêver en ce moment. Fondée par Jim Keller (oui, LE Jim Keller qui a conçu les architectures x86-64 chez AMD et les puces A4/A5 d’Apple), l’entreprise développe des processeurs spécialement conçus pour l’IA avec une approche “dataflow” plutôt que l’architecture SIMD classique des GPU.

There are no borders or boundaries when it comes to professional talent. With the right EOR, you can hire for quality, regardless of location.