CyberVeille.ch2d ago

📢 Opération TrueChaos : exploitation d'un 0-day TrueConf contre des gouvernements d'Asie du Sud-Est
📝 ## 🔍 Contexte

Publié le 31 mars 2026 par Chec...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-03-operation-truechaos-exploitation-d-un-0-day-trueconf-contre-des-gouvernements-d-asie-du-sud-est/
🌐 source : https://research.checkpoint.com/2026/operation-truechaos-0-day-exploitation-against-southeast-asian-government-targets/
#Amaranth_Dragon #CVE_2026_3502 #Cyberveille

Opération TrueChaos : exploitation d'un 0-day TrueConf contre des gouvernements d'Asie du Sud-Est

🔍 Contexte Publié le 31 mars 2026 par Check Point Research, ce rapport documente l’opération TrueChaos, une campagne d’espionnage ciblée contre des entités gouvernementales en Asie du Sud-Est, exploitant une vulnérabilité zero-day dans le client TrueConf, une plateforme de vidéoconférence on-premises. 🐛 Vulnérabilité : CVE-2026-3502 CVSS score : 7.8 La faille réside dans l’absence de vérification d’intégrité et d’authenticité dans le mécanisme de mise à jour du client TrueConf Un attaquant contrôlant le serveur TrueConf on-premises peut remplacer le paquet de mise à jour légitime par un exécutable arbitraire Le client fait confiance au serveur sans validation, permettant la distribution et l’exécution de fichiers malveillants sur tous les endpoints connectés Correctif disponible dans TrueConf Windows client version 8.5.3 (mars 2026) ⚔️ Déroulement de l’attaque L’attaquant compromet le serveur TrueConf on-premises d’un département IT gouvernemental Il remplace le paquet de mise à jour (trueconf_client.exe) par une version weaponisée Un lien est envoyé aux cibles pour déclencher le client TrueConf et afficher une invite de mise à jour Le paquet malveillant (construit avec Inno Setup) installe légitimement la version 8.5.2 tout en déposant : poweriso.exe (binaire bénin) 7z-x64.dll (implant malveillant) dans c:\programdata\poweriso\ DLL side-loading via poweriso.exe pour charger 7z-x64.dll 🛠️ Post-exploitation Reconnaissance : tasklist, tracert 8.8.8.8 Téléchargement via FTP depuis 47.237.15[.]197 d’un loader iscsiexe.dll dans update.7z Bypass UAC via iscsicpl.exe (SysWOW64) et DLL search-order hijacking Modification du PATH utilisateur : HKCU\environment Persistance via HKCU\Software\Microsoft\Windows\CurrentVersion\Run\UpdateCheck pointant vers PowerISO.exe Déploiement final d’un implant Havoc communiquant avec l’infrastructure C2 de l’acteur 🎯 Attribution Check Point Research attribue avec confiance modérée cette opération à un acteur à nexus chinois, sur la base de :

CyberVeille
The Threat CodexFeb 4
Amaranth-Dragon: Weaponizing CVE-2025-8088 for Targeted Espionage in the Southeast Asia
#Amaranth_Dragon #CVE_2025_8088 #AmaranthLoader #TGAmaranthRAT
https://research.checkpoint.com/2026/amaranth-dragon-weaponizes-cve-2025-8088-for-targeted-espionage/
Amaranth-Dragon: Weaponizing CVE-2025-8088 for Targeted Espionage in the Southeast Asia - Check Point Research

Key Points Introduction Check Point Research has identified several campaigns targeting multiple countries in the Southeast Asian region. These related activities have been collectively categorized under the codename “Amaranth-Dragon”. The campaigns demonstrate a clear focus on government entities across the region, suggesting a motivated threat actor with a strong interest in geopolitical intelligence. The campaigns […]

Check Point Research