Vous êtes développeur blockchain et vous recevez un message LinkedIn d’un recruteur sympa pour une boîte qui a l’air tout a faire sérieuse. Ils ont un site web propre, des profils crédibles, et ils vous proposent de faire un petit test technique sur GitHub. Ça vous parle ? Bah oui, je vous ai parlé de cette arnaque y’a 2 jours … Et malheureusement, si vous n’y prenez pas garde, vous télécharger le code, vous le lancez, et BOOM… vous venez de contribuer financièrement au programme de missiles balistiques nord-coréen.

Bravo !

Car oui d’après une enquête de Google Threat Intelligence le groupe nord-coréen UNC5342 (aussi connu sous une dizaine d’autres noms selon qui le traque) a adopté une technique qui fait froid dans le dos : EtherHiding. Le principe c’est de. cacher du code malveillant directement dans des smart contracts sur la blockchain et selon Google, c’est la première fois qu’on documente qu’un état-nation utilise cette méthode.

La blockchain, cette technologie impossible à censurer, car décentralisée par essence vient de devenir l’arme parfaite d’un régime totalitaire. Parce que figurez-vous, quand vous stockez du malware dans un smart contract sur Ethereum ou la BNB Smart Chain, personne ne peut l’effacer. Même si tout le monde sait qu’il est là et même si vous avez l’adresse exacte.

C’est tout le concept !

Cette adresse, 0x8eac3198dd72f3e07108c4c7cff43108ad48a71c c’est donc le smart contract que les Nord-Coréens ont utilisé et Google a observé depuis plus de 20 mises à jour sur ce contrat en l’espace de 4 mois. Le coût de chaque transaction est d’environ 1,37 dollar, soit le prix d’un café que la Corée du Nord doit payer pour déployer et mettre à jour son infrastructure d’attaque qui devient ainsi permanente et indestructible.

Un missile balistique ça coûte des millions alors que ce genre de “cyber missile” stocké sur la blockchain ça coûte rien et le retour sur investissement est colossal. On parle de 2 milliards de dollars volés rien qu’au premier semestre 2025 . En février dernier, le groupe Lazarus (même famille, autre branche) a même éussi le plus gros casse crypto de l’histoire en volant 1,5 milliard de dollars à l’exchange Bybit . Depuis 2017, ce serait donc au total plus de 6 milliards volés et devinez où va cet argent ?

Dans le programme de missiles de la Corée du Nord et dans le contournement des sanctions internationales.

La campagne s’appelle “Contagious Interview” et elle cible spécifiquement les développeurs. Les Nord-Coréens créent de fausses boîtes avec des noms qui sonnent bien, genre “BlockNovas LLC”, montent des sites web complets, des profils LinkedIn qu’ils entretiennent pendant des mois, et ils vous contactent comme de vrais recruteurs. Ils vous font alors passer par toutes les étapes d’un processus de recrutement classique, déplacent la conversation sur Telegram ou Discord pour faire plus naturel, et finissent par vous envoyer ce fameux “test technique” hébergé sur GitHub.

Le code contient un loader JavaScript appelé JADESNOW qui va alors interroger la blockchain via des appels en lecture seule. Ça ne coûte rien en frais de transaction, ça n’alerte personne, et ça récupère le payload chiffré stocké dans le smart contract. Une fois déchiffré, ça déploie alors d’autres malwares aux noms charmants comme INVISIBLEFERRET, PITHOOK ou COOKIENET.

Et leur seul but c’est de voler vos cryptos, bien sûr, mais aussi installer un accès persistant à votre machine pour de futures opérations.

On est donc très loin ici du schéma du hacker solitaire dans son sous-sol. Là on parle d’équipes entières financées par un état, avec des objectifs militaires clairs, qui ont le temps et les ressources pour monter des opérations de social engineering sur plusieurs mois. Ils utilisent même la technique du “ClickFix” qui consiste à afficher un faux message d’erreur qui pousse l’utilisateur à installer quelque chose pour “corriger” le problème. Ça exploite notre réflexe naturel de vouloir réparer ce qui est cassé et le pire dans tout ça, c’est que les plateformes comme LinkedIn ou GitHub sont coincées.

Bah oui, comment voulez-vous distinguer un vrai recruteur d’un faux quand l’attaquant a trois mois devant lui pour construire une identité crédible ?

Bref, les développeurs blockchain sont devenus les nouvelles cibles premium et contrairement à une banque ou une plateforme crypto qui a des équipes sécurité, ceux là sont tout seuls derrière leur écran.

Selon les chercheurs de Mandiant , UNC5342 utilise cette technique depuis février 2025 au moins donc si vous bossez dans la blockchain, faites gaffe. Si vous recevez des offres, posez-vous des questions parce que financer des missiles nord-coréens, c’est pas vraiment le genre de side project qu’on veut sur son CV ^^.

Source

Vous venez de claquer plusieurs milliers d’euros dans une solution antivirus dernier cri pour votre boîte car le commercial vous a convaincu avec du machine learning, de l’IA comportementale, du threat hunting prédictif et j’en passe…

Cool story ! Mais si je vous disais qu’un petit exécutable open source gratuit peut potentiellement passer à travers ? Ce programme s’appelle al-khaser et je vous assure qu’il va vous faire déchanter, car ce truc, c’est le détecteur de mensonges des solutions de cybersécurité.

Al-khaser est outil qui ne fait rien de méchant en soi… C’est ce qu’on appelle un PoC, un “proof of concept” avec de bonnes intentions car il rassemble dans un seul programme toutes les techniques que les vrais malwares utilisent pour se planquer tels que la détection de machines virtuelles, le contournement des débogueurs, l’échappement aux sandbox, et j’en passe.

Comme ça, si votre antivirus ne détecte pas al-khaser, il y a de bonnes chances qu’il rate aussi les vraies menaces qui utilisent les mêmes techniques.

Faut dire que les éditeurs d’antivirus et d’EDR adorent nous vendre leurs nouvelles fonctionnalités IA de fou alors que certaines de leurs solutions ne détectent même pas des techniques pourtant connues depuis longtemps.

Al-khaser met donc tout ça en lumière de façon assez brutale en enchaînant des dizaines de vérifications. Par exemple, il va regarder si votre processeur a vraiment le bon nombre de cœurs ou si c’est une simulation. Il va checker l’adresse MAC de votre carte réseau pour voir si elle correspond à un hyperviseur VMware ou VirtualBox. Il va mesurer le temps d’exécution de certaines opérations pour détecter si le système est accéléré artificiellement, comme dans une sandbox d’analyse. Il va même tester des API Windows classiques comme IsDebuggerPresent ou CheckRemoteDebuggerPresent pour voir si quelqu’un espionne son exécution.

Maintenant si vous voulez tester les protections anti-debug de votre système, vous tapez :

al-khaser.exe –check DEBUG –sleep 30

Oui si vous voulez voir si votre virtualisation VMware ou QEMU est bien masquée :

al-khaser.exe –check VMWARE –check QEMU

Bien sûr, ces techniques ne sortent pas de nulle part car elles sont documentées depuis des années notamment dans ce référentiel dont je vous déjà parlé .

Les équipes de pentest et les red teams adorent al-khaser car ça leur permet de montrer aux décideurs que leur gros investissement en cybersécurité n’est peut-être pas aussi solide qu’ils le pensaient. Vous lancez l’outil un vendredi après-midi dans un environnement de test, et vous voyez instantanément ce que votre EDR détecte ou pas.

Voilà, une fois encore, rassurez-vous, al-khaser ne fait rien de malveillant… Il ne vole pas de données, ne chiffre pas vos fichiers, ne lance pas de ransomware mais se contente juste de lever la main et de dire “hé ho, je suis là, regardez moi, je fais plein de des trucs louches !!”.

Bien sûr, ne lancez pas al-khaser sur n’importe quelle machine car c’est un outil de test qui doit rester dans un environnement contrôlé. Si vous le lancez sur le réseau de prod sans prévenir votre équipe sécu, vous allez déclencher des alertes partout et recevoir des appels pas très sympathiques. Et surtout, juridiquement, vous devez avoir l’autorisation du propriétaire de l’infrastructure, sinon, vous risquez de gros ennuis.

Ce projet est open source, écrit essentiellement en C++, et disponible sur GitHub . Y’a plus qu’à vous monter une VM isolée, récupérer al-khaser, et voir ce que ça donne.

Cet article fait partie de ma série spéciale hackers . Bonne lecture !

Vous connaissez APT27, Winnti, Mustang Panda… Ces groupes de cyberespionnage chinois qui font régulièrement les gros titres. Mais il y en a un dont vous n’avez probablement jamais entendu parler. Et c’est justement ça qui le rend flippant : Phantom Taurus.

Pendant deux ans et demi, ce groupe fantôme s’est infiltré dans les ministères des affaires étrangères, les ambassades et les réseaux de télécommunications à travers l’Afrique, le Moyen-Orient et l’Asie. Personne ne s’en est rendu compte avant le 30 septembre 2025, quand les chercheurs de l’ Unit 42 de Palo Alto Networks ont levé le voile sur cette opération d’espionnage de très haut niveau.

7 décembre 2022, Riyadh. L’avion du président Xi Jinping est escorté par quatre chasseurs de l’armée saoudienne qui dessinent les couleurs chinoises dans le ciel. Le prince Faisal bin Bandar Al Saud l’accueille sur le tarmac pour le premier sommet historique Chine-États arabes. Signature de la Déclaration de Riyadh, renforcement du partenariat stratégique entre Pékin et Riyad. Ça ne rigole pas !

Mais pendant que les diplomates négocient dans les salles officielles, Phantom Taurus est déjà dans leurs systèmes. Les hackers infiltrent les serveurs Exchange des ministères des affaires étrangères qui participent au sommet. Leur mission : fouiller les emails contenant les noms “Xi Jinping” et “Peng Liyuan” pour savoir ce que les pays arabes pensent VRAIMENT de ce rapprochement avec la Chine.

En surface, tout le monde sourit pour les photos officielles mais en coulisses, les services chinois lisent en temps réel les communications diplomatiques confidentielles de leurs nouveaux “partenaires stratégiques”. C’est ça, l’espionnage moderne.

L’histoire commence réellement en juin 2023 quand les analystes de Unit 42 détectent des activités suspectes qu’ils classent sous le code CL-STA-0043. Un cluster d’activité malveillante parmi des centaines d’autres, sauf que celui-là sent plutôt “bon”. Pendant des mois, les chercheurs accumulent les preuves, connectent les points, observent les patterns.

Mai 2024, le cluster est promu “temporary threat group” avec un nom de code évocateur : Operation Diplomatic Specter. Spectre Diplomatique. Ça sonne comme un bouquin de Tom Clancy version cyberpunk. Mais ce n’est qu’après une année supplémentaire d’investigation que Unit 42 franchit le cap et baptise officiellement ce groupe : Phantom Taurus.

Pourquoi Taurus ? Hé bien parce que chez Unit 42, tous les groupes chinois portent le nom de la constellation du Taureau. Taurus pour la Chine, Ursa pour la Russie, Pisces pour la Corée du Nord, Serpens pour l’Iran. Et Phantom ? Tout simplement parce que ce groupe est littéralement un fantôme, capable d’opérer dans l’ombre pendant des années sans se faire remarquer.

Et si Phantom Taurus est un groupe fantôme, alors NET-STAR est son arme invisible. C’est une suite de malwares entièrement développée en .NET, spécialement conçue pour infiltrer les serveurs IIS et le joyau de cette collection s’appelle IIServerCore.

IIServerCore c’est une backdoor modulaire et fileless. Cela veut dire qu’elle opère entièrement en mémoire dans le processus w3wp.exe d’IIS. Rien sur le disque dur, rien dans les logs classiques. Fantôme, je vous dis. Son point d’entrée est un web shell ASPX nommé OutlookEN.aspx qui contient un binaire compressé en Base64. Ainsi, quand le web shell s’exécute, il charge IIServerCore directement dans la mémoire et l’attaque commence.

Et ses capacités sont impressionnantes : opérations sur le système de fichiers, accès aux bases de données, exécution de code arbitraire, gestion de web shells, contournement des solutions de sécurité, et chiffrement de toutes les communications avec le serveur C2.

Le deuxième outil, AssemblyExecuter, charge et exécute des assemblies .NET additionnels directement en mémoire. Sa version 2 inclut même des méthodes dédiées pour contourner AMSI (Antimalware Scan Interface) et ETW (Event Tracing for Windows). Résultat, Phantom Taurus peut exécuter du code malveillant même dans des environnements ultra-surveillés sans déclencher d’alerte.

Un détail que j’ai trouvé particulièrement malin dans leur manière de procéder c’est leur technique de timestomping . En gros, c’est l’art de modifier les métadonnées temporelles d’un fichier pour le faire passer pour un vieux fichier légitime.

Phantom Taurus a donc timestompé le web shell OutlookEN.aspx pour qu’il corresponde au timestamp d’un autre fichier ASPX déjà présent sur le système. Ils ont aussi modifié le temps de compilation des backdoors NET-STAR vers une date future aléatoire. C’est tordu, mais dans une investigation forensique, un analyste qui voit un fichier ASPX avec un timestamp de 2018 va naturellement penser qu’il est légitime et ne va pas creuser plus loin.

Bref, pendant longtemps, Phantom Taurus s’est concentré sur l’exfiltration d’emails via des serveurs Microsoft Exchange compromis. Ils exploitaient des vulnérabilités connues comme ProxyLogon (CVE-2021-26855) et ProxyShell (CVE-2021-34473), puis cherchaient des emails contenant des mots-clés liés aux intérêts chinois : données militaires, infos sur les télécommunications et l’énergie, mentions de Xi Jinping, Joe Biden et autres leaders politiques.

Mais début 2025, le groupe fait évoluer sa stratégie. Au lieu de se limiter aux emails, ils commencent à cibler directement les bases de données SQL Server. Pour cela, ils sortent un outil fait maison, un script batch nommé mssq.bat qui se connecte au serveur SQL avec le compte sa préalablement obtenu, exécute des requêtes dynamiques avec des keywords spécifiques, et sauvegarde les résultats au format CSV. Le script est exécuté à distance via Windows Management Instrumentation (WMI) et les chercheurs les ont observés chercher des documents relatifs à l’Afghanistan et au Pakistan.

Cette évolution montre surtout une chose : Phantom Taurus s’adapte. Ce passage de l’email mining au database mining leur permet d’obtenir bien plus de données qu’ils ne pourraient en trouver dans des conversations par email.

Et surtout, Phantom Taurus ne travaille pas en vase clos. Il partage une infrastructure opérationnelle avec d’autres groupes chinois connus comme Iron Taurus (APT27), Starchy Taurus (Winnti, APT41), et Stately Taurus (Mustang Panda). Les serveurs C2 qu’ils utilisent ont les mêmes adresses IP, les mêmes domaines malveillants, les mêmes informations de registration.

Mais attention, même s’ils partagent l’infrastructure, Phantom Taurus maintient une compartimentation opérationnelle stricte. Les composants spécifiques de NET-STAR n’ont jamais été observés dans les opérations des autres groupes. C’est comme s’ils louaient un datacenter commun, mais que chacun avait ses propres serveurs et outils. Ça permet de mutualiser les coûts tout en préservant le secret des opérations.

Maintenant, est ce que vous savez ce qui différencie vraiment Phantom Taurus des autres APT ? C’est leur obsession pour la persistence. En effet, la plupart des groupes, quand ils se font détecter publiquement, disparaissent pendant des semaines voire des mois pour se refaire une santé. Mais pas Phantom Taurus qui refait surface en quelques heures ou jours après avoir été détectés.

Unit 42 a ainsi documenté un cas où Phantom Taurus avait maintenu un accès à un réseau pendant presque deux ans, avec des exfiltrations périodiques de données sensibles au bon moment. Cette approche révèle la nature stratégique de leurs opérations. Ces accès soutenus à long terme leur permettent de revenir piocher de l’information chaque fois qu’un événement géopolitique important se profile.

Après pour vraiment comprendre Phantom Taurus, il faut le replacer dans le contexte plus large de l’espionnage cyber chinois. Par exemple, l’attaque contre le siège de l’Union Africaine à Addis-Abeba, financé et construit par la Chine est un cas assez emblématique de leur mode opératoire.

Durant cinq ans, chaque nuit entre minuit et 2h du matin, toutes les données du siège de l’UA étaient transférées vers des serveurs à Shanghai. Quand l’UA a voulu acheter ses propres serveurs, la Chine a “généreusement” offert de les fournir gratuitement. Du coup, ils se sont retrouvés avec des serveurs pré-compromis installés au cœur même de l’organisation panafricaine.

Les équipes techniques ont même découvert par la suite, des microphones cachés dans les murs et les bureaux…

Phantom Taurus est en réalité un outil parmi d’autres dans l’arsenal cyber chinois. C’est un outil spécialisé dans l’espionnage diplomatique et les télécommunications. Du coup, pour contrer leurs attaques, Palo Alto Networks a mis à jour ses produits de sécurité pour détecter NET-STAR. Ils ont par exemple upgradé leur logiciel Cortex XDR pour relever quand le processus w3wp.exe spawne des processus enfants suspects comme cmd.exe ou powershell.exe. Comme ça, même si IIServerCore est fileless et opère en mémoire, Cortex XDR peut le détecter.

Aujourd’hui encore, Phantom Taurus est toujours actif. Les dernières activités observées datent de quelques mois seulement avant la publication du rapport de Unit 42 mais maintenant que le groupe est exposé publiquement, ils vont probablement modifier leurs outils, changer leur infrastructure, et développer de nouvelles techniques d’évasion.

Mon pari c’est qu’ils vont upgrader NET-STAR, modifier quelques TTPs (Tactiques, techniques et procédures) pour éviter les détections connues, mais garder leur approche fondamentale d’accès long terme, d’exfiltration opportuniste, et de synchronisation avec les événements géopolitiques.

Bah oui, pourquoi changer une recette qui marche ?

Voilà, c’est la fin de l’histoire… En tout cas pour l’instant car pendant que tout le monde se focalise sur les gros ransomwares et les attaques spectaculaires, Phantom Taurus continue tranquillement et discrètement à aspirer les secrets diplomatiques du monde entier…

Sources : Unit 42 - Phantom Taurus: A New Chinese Nexus APT , Palo Alto Networks - Defending against Phantom Taurus with Cortex , CISA - Countering Chinese State-Sponsored Actors , Council on Foreign Relations - African Union Bugged by China

Comment ça NotPetya ???

Mais siiiii, cette saloperie de malware qui a paralysé la planète en 2017 et qui s’est révélée être en fait un programme destructeur déguisé en ransomware. Eh bien, tenez-vous bien : selon les équipes d’ESET , un petit nouveau vient d’arriver sur la scène, et il s’appelle HybridPetya. Et ce petit gars a appris des nouveaux tours que son grand-père NotPetya ne maîtrisait pas à l’époque.

Martin Smolár, le chercheur d’ESET qui a découvert cette petite merveille, explique que HybridPetya combine le pire des deux mondes : les capacités destructrices de NotPetya ET la récupération possible des données de Petya. Mais surtout, et c’est là que ça devient technique, ce truc est capable de contourner Secure Boot sur les systèmes UEFI.

Pour ceux qui auraient oublié l’enfer de 2017, je vous fais un petit rappel historique. Petya, c’était le ransomware “gentil” qui chiffrait vos données mais vous permettait théoriquement de les récupérer si vous payiez la rançon. NotPetya, son cousin maléfique, c’était le faux ransomware qui détruisait tout sur son passage. Cette saloperie a causé plus de 10 milliards de dollars de dégâts dans le monde, principalement en Ukraine où elle a été initialement déployée via une mise à jour piégée du logiciel de comptabilité M.E.Doc.

Maintenant, là où HybridPetya innove, c’est qu’il récupère le meilleur (ou le pire, selon le point de vue) des deux. Il peut détruire comme NotPetya, mais aussi permettre la récupération des données comme Petya. Une sorte de ransomware à géométrie variable, quoi.

Sauf que ce n’est pas le plus inquiétant…

Le truc vraiment flippant avec HybridPetya, c’est sa capacité à s’installer directement dans le firmware UEFI de votre machine. Pour les non-initiés, UEFI c’est le système qui s’occupe du démarrage de votre ordinateur, avant même que Windows ne se réveille. En gros, si un malware réussit à s’installer là-dedans, il survit à tout : formatage du disque dur, réinstallation complète du système, et même changement de disque dur. C’est un niveau persistance maximale.

Alors, comment il fait ça, ce HybridPetya ? Eh bien, il utilise deux méthodes d’attaque. La première, c’est l’installation directe de charges utiles malveillantes sur la partition système EFI. Une fois là-dedans, il chiffre la Master File Table (MFT) de votre système NTFS, ce qui rend tous vos fichiers complètement inaccessibles. Et surtout, il sait exploiter la vulnérabilité CVE-2024-7344 pour contourner Secure Boot.

Cette faille, découverte également par les équipes d’ESET, se trouve dans l’application Howyar Reloader UEFI. En gros, cette application, qui est normalement signée par Microsoft et donc considérée comme fiable, contient une vulnérabilité qui permet de charger du code non-signé pendant le processus de démarrage. C’est comme si vous donniez les clés de votre maison à quelqu’un en lui disant “tu peux faire rentrer qui tu veux, je te fais confiance”.

Après pas de panique les amis, car il faut préciser que pour l’instant, HybridPetya n’a été repéré que sur VirusTotal, la plateforme d’analyse de malwares. Aucune autre infection dans la nature n’a été détectée par les télémétries d’ESET. Il s’agit donc probablement d’un proof-of-concept développé par un chercheur en sécurité ou un groupe de hackers pour démontrer que c’était possible. Mais le fait que ça existe, ça veut surtout dire que d’autres peuvent s’en inspirer.

Toutefois, HybridPetya rejoint désormais un club très fermé car il est maintenant le quatrième malware connu capable de contourner UEFI Secure Boot, après BlackLotus (qui exploite CVE-2022-21894 ), Bootkitty (qui cible Linux), et le PoC Hyper-V Backdoor. Comme le souligne Martin Smolár : “Cela montre que les contournements de Secure Boot ne sont pas seulement possibles… ils deviennent plus courants et attractifs pour les chercheurs comme pour les attaquants”.

BlackLotus, pour rappel, c’était déjà du lourd. Découvert en 2023 , ce malware était vendu 5 000 dollars sur le dark web et était capable de tourner sur des systèmes Windows 11 entièrement à jour avec Secure Boot activé. Il pouvait désactiver BitLocker, HVCI, et Windows Defender, et installer des pilotes malveillants au niveau kernel. Du grand art, dans le mauvais sens du terme.

Maintenant concrètement, comment on se protège contre ce genre de menaces ? Parce que bon, c’est bien beau de faire peur aux gens, mais il faut aussi donner les solutions.

Et bien première chose, maintenez vos systèmes à jour. Microsoft a corrigé la vulnérabilité CVE-2024-7344 dans le Patch Tuesday de janvier 2025 donc si vous avez appliqué cette mise à jour ou une version ultérieure, vous êtes protégés contre HybridPetya. C’est la base, mais c’est crucial.

Deuxième chose, activez et configurez correctement UEFI Secure Boot. Même si des contournements existent, Secure Boot reste une barrière importante. Assurez-vous qu’il soit activé et que vos listes de révocation soient à jour. Microsoft révoque régulièrement les certificats compromis, et ces révocations sont normalement appliquées automatiquement sur Windows.

Troisième conseil, surveillez votre partition système EFI. Selon les recommandations de CISA , les équipes de sécurité devraient être capables d’auditer, gérer et mettre à jour les composants UEFI, et surveiller les logs d’activité UEFI pour détecter toute modification suspecte. Utilisez des solutions de sécurité capables de détecter les modifications au niveau UEFI… Certains antivirus modernes incluent des fonctionnalités de protection du firmware. Ce n’est pas infaillible, mais ça ajoute une couche de protection. En gros, il faut traiter ce firmware comme n’importe quel autre logiciel avec une surveillance et des mises à jour régulières.

Quatrième point, et c’est important, limitez les privilèges administrateur. Pour déployer HybridPetya, il faut des droits d’administrateur local sur Windows ou root sur Linux pour accéder à la partition système EFI. Moins il y a d’utilisateurs avec ces privilèges, mieux c’est.

Et puis, il y a les bonnes pratiques classiques qui restent valables telles que les sauvegardes régulières (et déconnectées !), la formation des utilisateurs, de la surveillance réseau, et une restriction des droits d’accès. Parce qu’au final, même le malware le plus sophistiqué a besoin d’un vecteur d’infection initial.

Quoiqu’il en soit, ces bootkits UEFI représentent une escalade significative dans la sophistication des malwares car ils opèrent à un niveau si bas qu’ils sont extrêmement difficiles à détecter et à supprimer pour les solutions de sécurité traditionnelles.

C’est intéressant également de noter que HybridPetya ne semble pas avoir les capacités de propagation réseau agressives du NotPetya original. Rappelez-vous, NotPetya utilisait l’exploit EternalBlue (développé initialement par la NSA) pour se propager de machine en machine sur les réseaux et c’est cette capacité de ver informatique qui avait permis à NotPetya de causer autant de dégâts en si peu de temps.

De son côté HybridPetya semble plus axé sur la persistance que sur la propagation massive. C’est probablement un choix tactique car plutôt que de faire du bruit et d’alerter tout le monde, mieux vaut s’installer discrètement et durablement sur les systèmes ciblés.

Depuis quelques années, les groupes APT (Advanced Persistent Threat) privilégient de plus en plus la furtivité et la persistance plutôt que l’impact immédiat visible, car un malware qui survit silencieusement pendant des mois ou des années peut collecter bien plus d’informations sensibles qu’un ransomware qui chiffre tout en quelques heures.

Bref, gardez vos systèmes à jour, surveillez vos logs, et surtout, ne sous-estimez jamais l’ingéniosité des types qui passent leurs journées à trouver des moyens créatifs de péter vos systèmes….

Vous savez où se cache votre dossier %APPDATA% ? Parce qu’il semblerait que les équipes de Bitdefender aient mis au jour une petite pépite chinoise baptisée EggStreme (jeu de mots !!!) qui s’y terre et qui n’a rien de très comestible !

Tout commence aux Philippines, où une entreprise militaire se retrouve dans la ligne de mire de ce malware, ce qui vu l’ambiance tendue qui règne actuellement en mer de Chine méridionale, n’est probablement pas un pur hasard. Les chercheurs ont en effet mis la main sur un framework d’espionnage si élaboré qu’il ne laisse quasiment aucune trace sur le disque dur car tout se déroule dans la RAM.

Ce qui donne des sueurs froides avec EggStreme, c’est sa technique d’infiltration, connue sous le nom de DLL sideloading. En clair, les assaillants glissent un fichier Windows légitime (WinMail.exe) dans le dossier %APPDATA%\Microsoft\Windows\Windows Mail\ avec une DLL malveillante (mscorsvc.dll). Windows, le pauvre miskine, charge alors le tout sans broncher, persuadé qu’il a affaire à du bon vieux code Microsoft. Bien installé, le malware reste ensuite chargé uniquement en mémoire grâce à des techniques de chargement réflectif, ce qui évite toute écriture sur le disque.

Et une fois lancé, c’est la débandade. Le premier composant, EggStremeFuel, prépare le terrain en collectant des infos sur votre système et ouvre une backdoor via cmd.exe. Puis débarque EggStremeLoader qui va dénicher des payloads chiffrés planqués dans un fichier ielowutil.exe.mui. Ces payloads sont ensuite injectés directement dans des processus système légitimes comme winlogon.exe ou explorer.exe.

Mais le clou du spectacle, c’est EggStremeAgent, le cœur du dispositif. Ce backdoor dispose de 58 commandes différentes qui permettent aux attaquants de faire absolument tout ce qu’ils veulent : reconnaissance réseau, vol de données, captures d’écran, exécution de code arbitraire, et même injection dans le processus LSASS (celui qui gère vos mots de passe Windows).

Et ce n’est pas tout car les développeurs ont ajouté EggStremeKeylogger, un keylogger qui s’injecte dans explorer.exe et enregistre tout à savoir vos frappes clavier, le contenu du presse-papier, les fenêtres actives, même les fichiers que vous copiez-collez. Tout est alors stocké dans un fichier thumbcache.dat chiffré en RC4, histoire de passer inaperçu.

Pour communiquer avec le serveur de commande et contrôle, les pirates utilisent également gRPC avec mTLS. Ils ont même leur propre autorité de certification pour générer des certificats uniques pour chaque machine compromise. Et la configuration de ce beau bébé est stockée dans un fichier Vault.dat chiffré, et chaque victime reçoit un identifiant unique.

Ce qui étonne vraiment les chercheurs, c’est la cohérence de l’ensemble car tous les composants utilisent les mêmes techniques : DLL sideloading, chiffrement RC4/XOR, exécution exclusivement en mémoire. Ça sent la team de développeurs bien rodée avec des process industriels, et pas des amateurs qui bricolent dans leur garage.

Et comme si cela ne suffisait pas, ils ont même prévu un plan B avec EggStremeWizard, un backdoor de secours allégé qui maintient l’accès même si le module principal se fait dégager. Et pour se balader tranquillement dans les réseaux segmentés, ils utilisent également Stowaway , un outil proxy écrit en Go qui permet de contourner les restrictions réseau.

Malheureusement, pour contrer de ce genre de saloperies, les antivirus classiques sont complètement largués. Il faut du monitoring comportemental avancé, des solutions EDR/XDR capables de surveiller la mémoire des processus, et surtout bloquer l’usage non autorisé des utilitaires système Windows (les fameux LOLBins). Seules ces solutions plus avancées peuvent détecter les comportements anormaux en mémoire et les techniques d’injection de processus que ce malware utilise.

Bitdefender a publié tous les indicateurs de compromission sur leur repo GitHub et si vous bossez dans une organisation sensible en Asie-Pacifique, je vous conseille vivement d’y jeter un œil et de vérifier vos systèmes.

Je pense qu’on a encore affaire ici à une jolie affaire d’espionnage étatique. Faut dire que ces groupes APT chinois développent des outils d’une sophistication toujours aussi hallucinante, et comme d’hab leurs cibles privilégiées sont des organisations militaires et gouvernementales des pays voisins du leur.

Bref, la prochaine fois que Windows vous demande une autorisation pour un truc bizarre, réfléchissez-y à deux fois parce qu’entre un simple WinMail.exe des familles et une infrastructure d’espionnage complète, la frontière est devenue sacrément mince.

Source

Bon, là je vais pas y aller par quatre chemins : si vous avez installé certains packages sur l’AUR (Arch User Repository) ces derniers jours, vous avez peut-être un RAT (Remote Access Trojan) qui squatte tranquille sur votre machine sous Arch Linux. Et croyez-moi, c’est pas le genre de colocataire que vous voulez garder.

Le 16 juillet 2025 dernier, un utilisateur répondant au doux nom de “danikpapas” (compte maintenant banni, évidemment) a réussi à publier des malwares sur l’AUR. Ces saloperies sont restées en ligne pendant environ 48 heures avant que l’équipe de l’AUR ne s’en rende compte et vire tout ce bordel.

Les packages vérolés en question sont : librewolf-fix-bin, firefox-patch-bin et zen-browser-patched-bin. C’est vicieux car ces noms imitent volontairement les vrais packages légitimes (librewolf-bin, firefox-bin et zen-browser-bin) en ajoutant des mots comme “fix” ou “patched” qui donnent l’impression que c’est une version améliorée ou corrigée.

Faut reconnaître que le mec était pas con dans son approche car qui n’a jamais vu un package avec “fix” ou “patched” et s’est dit “ah tiens, ça doit être mieux que la version normale” ? C’est exactement sur ce réflexe qu’il a joué, le fourbe.

Mais attendez, c’est pas fini puisque 3 autres packages suspects ont aussi été dégagés : minecraft-cracked (là c’est clair, ça cible les gamins qui veulent jouer gratos), ttf-ms-fonts-all (qui fait croire que le package normal ttf-ms-fonts ne contient pas toutes les polices) et vesktop-bin-patched (Vesktop étant un client Discord populaire).

Le truc vraiment moche, c’est que ces packages installaient tous le même malware : Chaos RAT. Pour ceux qui ne connaissent pas, un RAT c’est un Remote Access Trojan, en gros un logiciel qui donne le contrôle total de votre machine à quelqu’un d’autre. Surveillance, installation d’autres malwares, vol de données… c’est open bar pour l’attaquant.

Alors comment ça marchait ?

Et bien chaque package contenait dans son PKGBUILD une entrée “patches” qui pointait vers un dépôt GitHub contrôlé par l’attaquant (github.com/danikpapas/zenbrowser-patch.git, maintenant supprimé bien sûr) et au lieu d’appliquer de vrais patches, ce dépôt exécutait du code malveillant pendant l’installation.

Ce qui est dingue dans cette histoire, c’est que personne n’a rien vu pendant 2 jours. Les packages avaient même récolté 8 / 9 votes positifs ! C’est finalement grâce à Reddit que l’alerte a été donnée car un compte Reddit dormant depuis 3 ans (probablement compromis ou racheté) a commencé à faire la promo de ces packages sur r/archlinux avec un post intitulé “The AUR is awesome”.

Grave erreur stratégique du pirate pusique la communauté Arch sur Reddit, c’est pas des tendres. Ils ont direct flairé l’embrouille et ont commencé à creuser. Un utilisateur a balancé le package sur VirusTotal et boom : 32 antivirus sur 70 ont détecté le malware. Pas vraiment ce qu’on appelle un faux positif, hein.

Voilà, donc si vous avez installé un de ces packages, voici ce qu’il faut faire illico :

1. Supprimez le package immédiatement avec pacman -R nom-du-package
2. Cherchez un processus qui s’appelle systemd-initd (c’est le RAT qui se planque)
3. Si vous le trouvez, tuez-le et envisagez sérieusement une réinstallation complète.

Alors je vous vois venir : “Mais Korben, ça veut dire que l’AUR c’est dangereux et qu’il faut plus l’utiliser ?” Mais nooon, calmons-nous deux secondes mes amis.

L’AUR a toujours été ce qu’il est à savoir un dépôt communautaire avec très peu de modération. C’est un peu comme GitHub mais pour les packages Arch. Dans 99,9% des cas, tout va bien, mais oui, parfois des conneries comme ça peuvent arriver et c’est pas la première fois (en 2018 y’avait déjà eu un cas similaire).

Donc pour vous protéger à l’avenir, quelques conseils plein de bon sens :

• Vérifiez toujours la page du package sur l’AUR avant d’installer
• Regardez les commentaires, les votes, depuis quand le package existe
• Méfiez-vous des packages tout neufs avec des noms chelous
• Si possible, jetez un œil au PKGBUILD pour voir ce qu’il fait
• En cas de doute, demandez sur les forums ou le Discord Arch Linux

Ce qui me fait chier dans cette histoire, c’est surtout la communication pourrie autour de l’incident car l’alerte officielle a uniquement été postée sur la mailing list de l’AUR. C’est tout… Et comme personne ne lit encore les mailing lists en 2025 et bien le post a récolté royalement 2 upvotes et a probablement été vu par 20 pelés et 3 tondus. Heureusement que le Discord communautaire d’Arch a relayé l’info, sinon on serait encore dans le brouillard.

Bref, pour finir sur une note positive, énorme respect à tous ceux qui ont détecté et signalé ces packages. C’est grâce à eux que l’attaque n’a duré “que” 48 heures, sinon on aurait probablement encore des gens qui installeraient ces merdes aujourd’hui.

Voilà, comme toujours avec les trucs communautaires, faut garder son cerveau allumé et si vous voyez un truc louche, signalez-le ! Même si vous n’êtes pas sûr à 100%, mieux vaut un faux positif qu’un vrai malware qui tourne pendant des semaines.

Neo dans Matrix avait le choix entre pilule rouge et bleue et nous, c’est entre fermer les yeux sur les domaines qui s’inspire des nôtres pour nous voler du trafic, ou ouvrir dnstwist et voir jusqu’où va le terrier du lapin.

Après avoir testé plusieurs scanners anti-phishing qui promettent monts et merveilles, j’étais sceptique, mais dnstwist fait partie des rares qui tiennent leurs promesses. J’ai lancé un scan sur korben.info pour voir ce que ça donnait, et là… 434 permutations générées, 19 domaines déjà enregistrés ce qui est pas mal pour un site qui existe depuis des temps immémoriaux ^^.

PirateFi, a Steam game, was found spreading Vidar malware, stealing user data. Steam removed it, but gamers must take urgent security steps.

A new report reveals a 2024 surge in mobile, IoT, and OT cyberattacks, highlighting key trends and the need for zero-trust security.

These 15 cyber attacks or data breaches impacted large swaths of users across the United States and changed what was possible in cybersecurity.

Learn how to execute the fundamentals, harden your defenses, and protect your business's network security with no high-tech software.

A number of similarities between Cicada3301 and ALPHV/BlackCat indicates that it could represent a rebrand or offshoot group.

Bitdefender GravityZone is best overall when it comes to our top choices for protection from malware like viruses, spyware, trojans, and bots.

ThreatDown 2024 Report: Malwarebytes reveals ransomware trends, showing most attacks occur at night when security staff are off duty.

A new report from cyber threat intelligence company Intel471 reveals that threat actors are infiltrating macOS.

Cisco Talos observed the TTPs used by 14 of the most prevalent ransomware groups based on their volume of attack, impact to customers and atypical behavior.

Operational technology users face challenges including communication between process engineering and cyber security teams, a growth in malware and ransomware, and insiders making basic technology mistakes.

‘Operation Endgame’ is an ongoing effort to disrupt botnets, malware droppers and malware-as-a-service.

A new report by cyber security firm Radware identifies the four main impacts of AI on the threat landscape emerging this year.