Dell's 14 Plus is perhaps a bit too expensive at the regular $1,000 price, but the decision to cut the cost in half for a limited time just seems like overkill. Here's why I think this is the laptop deal to beat.

Amazon is providing us with a special 25% discount for the lucrative Microsoft Surface Laptop 7 that will save you hundreds of dollars for this short Amazon Prime Day event.

The ASUS Zenbook A14 is one of the lightest, slimmest AI PCs we've ever reviewed, and it's a perfect replacement for your aging Windows 10 device. The fact that it just dropped to $579 makes it an immediate and easy recommendation.

This could be one of the best deals we've seen on a Copilot+ PC this Amazon Prime Day. Snag a 40% discount on this Acer Aspire 14 while stocks last!

Gaming laptops have gone up in price by A LOT this year, but this $549 Lenovo LOQ 15.6 model is proof that you don't need to overspend to pick up a new hobby or to replace your aging Windows 10 PC.

Grab yourself a Snapdragon X-powered Windows 11 Copilot+ PC with a 15-inch display and large keyboard and trackpad for just $499 for Amazon Prime Day.

This incredible Surface Pro 11 deal nets you an OLED display, Snapdragon X Elite, and 16GB RAM for just $899 for Amazon Prime Day. But only while stocks last!

Microsoft's new Surface Pro 12-inch has been on the market since the spring, and it's now the lowest price it's ever been with a $150 saving to be had for Amazon Prime members.

Best Buy is hosting a "Techtober" sales event to compete with Amazon's Prime Big Deal Days, and the deals are already live. I spotted up to $700 off laptops, desktops, monitors, and accessories, and I rounded up the best deals right here.

Windows 10 is set to enter its end-of-life phase on October 14, and you might be wondering which Windows 11 laptop you should buy to replace your aging hardware. I make an argument for each of these 12 top-rated laptops.

In honor of Amazon's Prime Day sales, Best Buy is doing some sales of its own, and right now you can grab a Surface Pro 12-inch with keyboard for less than the price of the tablet on its own.

The Legion Go 2 offers several improvements over the original handheld that help make it the most versatile Windows handheld gaming PC to date. Our review.

Windows 10 support officially ends on October 14, and Lenovo has discounted a wide range of laptop models to help you upgrade to Windows 11. I handpicked the 9 best deals right here.

Cet article fait partie de ma série spéciale hackers . Bonne lecture !

Vous connaissez APT27, Winnti, Mustang Panda… Ces groupes de cyberespionnage chinois qui font régulièrement les gros titres. Mais il y en a un dont vous n’avez probablement jamais entendu parler. Et c’est justement ça qui le rend flippant : Phantom Taurus.

Pendant deux ans et demi, ce groupe fantôme s’est infiltré dans les ministères des affaires étrangères, les ambassades et les réseaux de télécommunications à travers l’Afrique, le Moyen-Orient et l’Asie. Personne ne s’en est rendu compte avant le 30 septembre 2025, quand les chercheurs de l’ Unit 42 de Palo Alto Networks ont levé le voile sur cette opération d’espionnage de très haut niveau.

7 décembre 2022, Riyadh. L’avion du président Xi Jinping est escorté par quatre chasseurs de l’armée saoudienne qui dessinent les couleurs chinoises dans le ciel. Le prince Faisal bin Bandar Al Saud l’accueille sur le tarmac pour le premier sommet historique Chine-États arabes. Signature de la Déclaration de Riyadh, renforcement du partenariat stratégique entre Pékin et Riyad. Ça ne rigole pas !

Mais pendant que les diplomates négocient dans les salles officielles, Phantom Taurus est déjà dans leurs systèmes. Les hackers infiltrent les serveurs Exchange des ministères des affaires étrangères qui participent au sommet. Leur mission : fouiller les emails contenant les noms “Xi Jinping” et “Peng Liyuan” pour savoir ce que les pays arabes pensent VRAIMENT de ce rapprochement avec la Chine.

En surface, tout le monde sourit pour les photos officielles mais en coulisses, les services chinois lisent en temps réel les communications diplomatiques confidentielles de leurs nouveaux “partenaires stratégiques”. C’est ça, l’espionnage moderne.

L’histoire commence réellement en juin 2023 quand les analystes de Unit 42 détectent des activités suspectes qu’ils classent sous le code CL-STA-0043. Un cluster d’activité malveillante parmi des centaines d’autres, sauf que celui-là sent plutôt “bon”. Pendant des mois, les chercheurs accumulent les preuves, connectent les points, observent les patterns.

Mai 2024, le cluster est promu “temporary threat group” avec un nom de code évocateur : Operation Diplomatic Specter. Spectre Diplomatique. Ça sonne comme un bouquin de Tom Clancy version cyberpunk. Mais ce n’est qu’après une année supplémentaire d’investigation que Unit 42 franchit le cap et baptise officiellement ce groupe : Phantom Taurus.

Pourquoi Taurus ? Hé bien parce que chez Unit 42, tous les groupes chinois portent le nom de la constellation du Taureau. Taurus pour la Chine, Ursa pour la Russie, Pisces pour la Corée du Nord, Serpens pour l’Iran. Et Phantom ? Tout simplement parce que ce groupe est littéralement un fantôme, capable d’opérer dans l’ombre pendant des années sans se faire remarquer.

Et si Phantom Taurus est un groupe fantôme, alors NET-STAR est son arme invisible. C’est une suite de malwares entièrement développée en .NET, spécialement conçue pour infiltrer les serveurs IIS et le joyau de cette collection s’appelle IIServerCore.

IIServerCore c’est une backdoor modulaire et fileless. Cela veut dire qu’elle opère entièrement en mémoire dans le processus w3wp.exe d’IIS. Rien sur le disque dur, rien dans les logs classiques. Fantôme, je vous dis. Son point d’entrée est un web shell ASPX nommé OutlookEN.aspx qui contient un binaire compressé en Base64. Ainsi, quand le web shell s’exécute, il charge IIServerCore directement dans la mémoire et l’attaque commence.

Et ses capacités sont impressionnantes : opérations sur le système de fichiers, accès aux bases de données, exécution de code arbitraire, gestion de web shells, contournement des solutions de sécurité, et chiffrement de toutes les communications avec le serveur C2.

Le deuxième outil, AssemblyExecuter, charge et exécute des assemblies .NET additionnels directement en mémoire. Sa version 2 inclut même des méthodes dédiées pour contourner AMSI (Antimalware Scan Interface) et ETW (Event Tracing for Windows). Résultat, Phantom Taurus peut exécuter du code malveillant même dans des environnements ultra-surveillés sans déclencher d’alerte.

Un détail que j’ai trouvé particulièrement malin dans leur manière de procéder c’est leur technique de timestomping . En gros, c’est l’art de modifier les métadonnées temporelles d’un fichier pour le faire passer pour un vieux fichier légitime.

Phantom Taurus a donc timestompé le web shell OutlookEN.aspx pour qu’il corresponde au timestamp d’un autre fichier ASPX déjà présent sur le système. Ils ont aussi modifié le temps de compilation des backdoors NET-STAR vers une date future aléatoire. C’est tordu, mais dans une investigation forensique, un analyste qui voit un fichier ASPX avec un timestamp de 2018 va naturellement penser qu’il est légitime et ne va pas creuser plus loin.

Bref, pendant longtemps, Phantom Taurus s’est concentré sur l’exfiltration d’emails via des serveurs Microsoft Exchange compromis. Ils exploitaient des vulnérabilités connues comme ProxyLogon (CVE-2021-26855) et ProxyShell (CVE-2021-34473), puis cherchaient des emails contenant des mots-clés liés aux intérêts chinois : données militaires, infos sur les télécommunications et l’énergie, mentions de Xi Jinping, Joe Biden et autres leaders politiques.

Mais début 2025, le groupe fait évoluer sa stratégie. Au lieu de se limiter aux emails, ils commencent à cibler directement les bases de données SQL Server. Pour cela, ils sortent un outil fait maison, un script batch nommé mssq.bat qui se connecte au serveur SQL avec le compte sa préalablement obtenu, exécute des requêtes dynamiques avec des keywords spécifiques, et sauvegarde les résultats au format CSV. Le script est exécuté à distance via Windows Management Instrumentation (WMI) et les chercheurs les ont observés chercher des documents relatifs à l’Afghanistan et au Pakistan.

Cette évolution montre surtout une chose : Phantom Taurus s’adapte. Ce passage de l’email mining au database mining leur permet d’obtenir bien plus de données qu’ils ne pourraient en trouver dans des conversations par email.

Et surtout, Phantom Taurus ne travaille pas en vase clos. Il partage une infrastructure opérationnelle avec d’autres groupes chinois connus comme Iron Taurus (APT27), Starchy Taurus (Winnti, APT41), et Stately Taurus (Mustang Panda). Les serveurs C2 qu’ils utilisent ont les mêmes adresses IP, les mêmes domaines malveillants, les mêmes informations de registration.

Mais attention, même s’ils partagent l’infrastructure, Phantom Taurus maintient une compartimentation opérationnelle stricte. Les composants spécifiques de NET-STAR n’ont jamais été observés dans les opérations des autres groupes. C’est comme s’ils louaient un datacenter commun, mais que chacun avait ses propres serveurs et outils. Ça permet de mutualiser les coûts tout en préservant le secret des opérations.

Maintenant, est ce que vous savez ce qui différencie vraiment Phantom Taurus des autres APT ? C’est leur obsession pour la persistence. En effet, la plupart des groupes, quand ils se font détecter publiquement, disparaissent pendant des semaines voire des mois pour se refaire une santé. Mais pas Phantom Taurus qui refait surface en quelques heures ou jours après avoir été détectés.

Unit 42 a ainsi documenté un cas où Phantom Taurus avait maintenu un accès à un réseau pendant presque deux ans, avec des exfiltrations périodiques de données sensibles au bon moment. Cette approche révèle la nature stratégique de leurs opérations. Ces accès soutenus à long terme leur permettent de revenir piocher de l’information chaque fois qu’un événement géopolitique important se profile.

Après pour vraiment comprendre Phantom Taurus, il faut le replacer dans le contexte plus large de l’espionnage cyber chinois. Par exemple, l’attaque contre le siège de l’Union Africaine à Addis-Abeba, financé et construit par la Chine est un cas assez emblématique de leur mode opératoire.

Durant cinq ans, chaque nuit entre minuit et 2h du matin, toutes les données du siège de l’UA étaient transférées vers des serveurs à Shanghai. Quand l’UA a voulu acheter ses propres serveurs, la Chine a “généreusement” offert de les fournir gratuitement. Du coup, ils se sont retrouvés avec des serveurs pré-compromis installés au cœur même de l’organisation panafricaine.

Les équipes techniques ont même découvert par la suite, des microphones cachés dans les murs et les bureaux…

Phantom Taurus est en réalité un outil parmi d’autres dans l’arsenal cyber chinois. C’est un outil spécialisé dans l’espionnage diplomatique et les télécommunications. Du coup, pour contrer leurs attaques, Palo Alto Networks a mis à jour ses produits de sécurité pour détecter NET-STAR. Ils ont par exemple upgradé leur logiciel Cortex XDR pour relever quand le processus w3wp.exe spawne des processus enfants suspects comme cmd.exe ou powershell.exe. Comme ça, même si IIServerCore est fileless et opère en mémoire, Cortex XDR peut le détecter.

Aujourd’hui encore, Phantom Taurus est toujours actif. Les dernières activités observées datent de quelques mois seulement avant la publication du rapport de Unit 42 mais maintenant que le groupe est exposé publiquement, ils vont probablement modifier leurs outils, changer leur infrastructure, et développer de nouvelles techniques d’évasion.

Mon pari c’est qu’ils vont upgrader NET-STAR, modifier quelques TTPs (Tactiques, techniques et procédures) pour éviter les détections connues, mais garder leur approche fondamentale d’accès long terme, d’exfiltration opportuniste, et de synchronisation avec les événements géopolitiques.

Bah oui, pourquoi changer une recette qui marche ?

Voilà, c’est la fin de l’histoire… En tout cas pour l’instant car pendant que tout le monde se focalise sur les gros ransomwares et les attaques spectaculaires, Phantom Taurus continue tranquillement et discrètement à aspirer les secrets diplomatiques du monde entier…

Sources : Unit 42 - Phantom Taurus: A New Chinese Nexus APT , Palo Alto Networks - Defending against Phantom Taurus with Cortex , CISA - Countering Chinese State-Sponsored Actors , Council on Foreign Relations - African Union Bugged by China

Outfit your office with $429 savings on the ultra-light LG Gram 14" Thin Laptop. Less than 100 are available.

The post Cut New Laptop Costs in Half with This Discounted LG Gram appeared first on TechRepublic.

I was given the opportunity to chat with Charlie Bolton, Razer's Global Head of Design, to learn how Razer designs and releases its popular gaming products.

HP has released a VALORANT Edition of its OMEN 35L pre-built gaming desktop, with a custom case and components. It's available now, and I've gone hands-on.

Vous savez où se cache votre dossier %APPDATA% ? Parce qu’il semblerait que les équipes de Bitdefender aient mis au jour une petite pépite chinoise baptisée EggStreme (jeu de mots !!!) qui s’y terre et qui n’a rien de très comestible !

Tout commence aux Philippines, où une entreprise militaire se retrouve dans la ligne de mire de ce malware, ce qui vu l’ambiance tendue qui règne actuellement en mer de Chine méridionale, n’est probablement pas un pur hasard. Les chercheurs ont en effet mis la main sur un framework d’espionnage si élaboré qu’il ne laisse quasiment aucune trace sur le disque dur car tout se déroule dans la RAM.

Ce qui donne des sueurs froides avec EggStreme, c’est sa technique d’infiltration, connue sous le nom de DLL sideloading. En clair, les assaillants glissent un fichier Windows légitime (WinMail.exe) dans le dossier %APPDATA%\Microsoft\Windows\Windows Mail\ avec une DLL malveillante (mscorsvc.dll). Windows, le pauvre miskine, charge alors le tout sans broncher, persuadé qu’il a affaire à du bon vieux code Microsoft. Bien installé, le malware reste ensuite chargé uniquement en mémoire grâce à des techniques de chargement réflectif, ce qui évite toute écriture sur le disque.

Et une fois lancé, c’est la débandade. Le premier composant, EggStremeFuel, prépare le terrain en collectant des infos sur votre système et ouvre une backdoor via cmd.exe. Puis débarque EggStremeLoader qui va dénicher des payloads chiffrés planqués dans un fichier ielowutil.exe.mui. Ces payloads sont ensuite injectés directement dans des processus système légitimes comme winlogon.exe ou explorer.exe.

Mais le clou du spectacle, c’est EggStremeAgent, le cœur du dispositif. Ce backdoor dispose de 58 commandes différentes qui permettent aux attaquants de faire absolument tout ce qu’ils veulent : reconnaissance réseau, vol de données, captures d’écran, exécution de code arbitraire, et même injection dans le processus LSASS (celui qui gère vos mots de passe Windows).

Et ce n’est pas tout car les développeurs ont ajouté EggStremeKeylogger, un keylogger qui s’injecte dans explorer.exe et enregistre tout à savoir vos frappes clavier, le contenu du presse-papier, les fenêtres actives, même les fichiers que vous copiez-collez. Tout est alors stocké dans un fichier thumbcache.dat chiffré en RC4, histoire de passer inaperçu.

Pour communiquer avec le serveur de commande et contrôle, les pirates utilisent également gRPC avec mTLS. Ils ont même leur propre autorité de certification pour générer des certificats uniques pour chaque machine compromise. Et la configuration de ce beau bébé est stockée dans un fichier Vault.dat chiffré, et chaque victime reçoit un identifiant unique.

Ce qui étonne vraiment les chercheurs, c’est la cohérence de l’ensemble car tous les composants utilisent les mêmes techniques : DLL sideloading, chiffrement RC4/XOR, exécution exclusivement en mémoire. Ça sent la team de développeurs bien rodée avec des process industriels, et pas des amateurs qui bricolent dans leur garage.

Et comme si cela ne suffisait pas, ils ont même prévu un plan B avec EggStremeWizard, un backdoor de secours allégé qui maintient l’accès même si le module principal se fait dégager. Et pour se balader tranquillement dans les réseaux segmentés, ils utilisent également Stowaway , un outil proxy écrit en Go qui permet de contourner les restrictions réseau.

Malheureusement, pour contrer de ce genre de saloperies, les antivirus classiques sont complètement largués. Il faut du monitoring comportemental avancé, des solutions EDR/XDR capables de surveiller la mémoire des processus, et surtout bloquer l’usage non autorisé des utilitaires système Windows (les fameux LOLBins). Seules ces solutions plus avancées peuvent détecter les comportements anormaux en mémoire et les techniques d’injection de processus que ce malware utilise.

Bitdefender a publié tous les indicateurs de compromission sur leur repo GitHub et si vous bossez dans une organisation sensible en Asie-Pacifique, je vous conseille vivement d’y jeter un œil et de vérifier vos systèmes.

Je pense qu’on a encore affaire ici à une jolie affaire d’espionnage étatique. Faut dire que ces groupes APT chinois développent des outils d’une sophistication toujours aussi hallucinante, et comme d’hab leurs cibles privilégiées sont des organisations militaires et gouvernementales des pays voisins du leur.

Bref, la prochaine fois que Windows vous demande une autorisation pour un truc bizarre, réfléchissez-y à deux fois parce qu’entre un simple WinMail.exe des familles et une infrastructure d’espionnage complète, la frontière est devenue sacrément mince.

Source

Verizon internet customers can get $400 off Samsung devices or free NFL Sunday Ticket — plus a $200 Amazon gift card on select plans.