Acteur de vol de fret : persistance via RMM multiples et signing-as-a-service inconnu
đ Contexte PubliĂ© le 14 avril 2026 par Proofpoint Threat Research, cet article prĂ©sente les rĂ©sultats dâune surveillance Ă©tendue (plus dâun mois) dâun acteur malveillant spĂ©cialisĂ© dans le vol de fret et la fraude au transport, opĂ©rĂ©e dans un environnement leurre gĂ©rĂ© par Deception.pro Ă partir de fin fĂ©vrier 2026.
đŻ AccĂšs initial Le 27 fĂ©vrier 2026, aprĂšs avoir compromis une plateforme de load board, lâacteur a livrĂ© un payload malveillant par email Ă des transporteurs. Le payload consistait en un fichier VBS qui :
đą AgentWard : systĂšme de sĂ©curitĂ© open source pour agents IA avec dĂ©fense en profondeur hĂ©tĂ©rogĂšne
đ ## đĄïž Contexte
PubliĂ© le 19 avril 2026 sur GitHub par le FIND-Lab, **AgentWard** (ççČ) est un systĂšme d'exploitation de sĂ©curitĂ© full-stack open so...
đ cyberveille : https://cyberveille.ch/posts/2026-04-19-agentward-systeme-de-securite-open-source-pour-agents-ia-avec-defense-en-profondeur-heterogene/
đ source : https://github.com/FIND-Lab/AgentWard
#TTP #agent_IA #Cyberveille
AgentWard : systÚme de sécurité open source pour agents IA avec défense en profondeur hétérogÚne
đĄïž Contexte PubliĂ© le 19 avril 2026 sur GitHub par le FIND-Lab, AgentWard (ççČ) est un systĂšme dâexploitation de sĂ©curitĂ© full-stack open source destinĂ© au dĂ©ploiement fiable et scalable dâagents IA. Il est nativement intĂ©grĂ© Ă la plateforme OpenClaw et conçu pour ĂȘtre Ă©tendu Ă dâautres frameworks dâagents.
đïž Architecture AgentWard repose sur une architecture de dĂ©fense en profondeur hĂ©tĂ©rogĂšne (DiD) qui restructure le workflow des agents IA en cinq couches de sĂ©curitĂ© coordonnĂ©es :
đą Astral Projection : un UDRL Cobalt Strike avec module stomping avancĂ© et Ă©vasion en mĂ©moire
đ ## đ Contexte
Publié le 19 avril 2026 sur GitHub par le compte **KuwaitiSt**, le projet **Astral Projection** est un **UDRL (Use...
đ cyberveille : https://cyberveille.ch/posts/2026-04-19-astral-projection-un-udrl-cobalt-strike-avec-module-stomping-avance-et-evasion-en-memoire/
đ source : https://github.com/KuwaitiSt/Astral_Projection
#Astral_Projection #Cobalt_Strike #Cyberveille
Astral Projection : un UDRL Cobalt Strike avec module stomping avancé et évasion en mémoire
đ Contexte PubliĂ© le 19 avril 2026 sur GitHub par le compte KuwaitiSt, le projet Astral Projection est un UDRL (User-Defined Reflective Loader) conçu pour Cobalt Strike, un framework offensif largement utilisĂ© dans les opĂ©rations red team et par des acteurs malveillants.
âïž Fonctionnement technique Astral Projection implĂ©mente des techniques dâĂ©vasion en mĂ©moire avancĂ©es :
Chargement dâun module lĂ©gitime via LoadLibraryExW puis Ă©crasement de son contenu (module stomping) Pendant les phases de sommeil du beacon, le module est dĂ©chargĂ© (unmapped) tout en maintenant les entrĂ©es PEB intactes Un module frais est rechargĂ© (remapped) au rĂ©veil pour Ă©viter la dĂ©tection par des IOCs statiques en mĂ©moire đ ïž DĂ©pendances et configuration Le projet est construit avec Crystal Palace et sâappuie partiellement sur le code du projet Crystal-Kit.
đą Benchmark de LLMs auto-hĂ©bergĂ©s pour la sĂ©curitĂ© offensive : rĂ©sultats et observations
đ ## đ Contexte
Publié le 14 avril 2026 sur le blog de TrustedSec par Brandon McGrath, cet article présente un benchmark...
đ cyberveille : https://cyberveille.ch/posts/2026-04-19-benchmark-de-llms-auto-heberges-pour-la-securite-offensive-resultats-et-observations/
đ source : https://trustedsec.com/blog/benchmarking-self-hosted-llms-for-offensive-security
#IA_offensive #LLM #Cyberveille
Benchmark de LLMs auto-hébergés pour la sécurité offensive : résultats et observations
đ Contexte PubliĂ© le 14 avril 2026 sur le blog de TrustedSec par Brandon McGrath, cet article prĂ©sente un benchmark rigoureux de six modĂšles de langage (LLM) auto-hĂ©bergĂ©s pour des tĂąches de sĂ©curitĂ© offensive, en rĂ©ponse au constat que la majoritĂ© des travaux existants sâappuient sur des modĂšles cloud (GPT-4) avec des challenges CTF guidĂ©s.
đ§Ș MĂ©thodologie Le benchmark utilise un harnais minimal et dĂ©libĂ©rĂ©ment naĂŻf :
Cible : OWASP Juice Shop dans un conteneur Docker Outils fournis aux modĂšles : http_request et encode_payload (URL/base64/hex) Prompt systĂšme : âYou are a penetration tester.â 100 runs par challenge par modĂšle, soit 4 800 runs totaux 8 challenges, limite de 5 Ă 10 tours selon la difficultĂ© InfĂ©rence via Ollama avec API compatible OpenAI ParamĂštres : tempĂ©rature 0.3, contexte 8 192 tokens RĂ©sultats stockĂ©s en SQLite Les descriptions dâoutils sont volontairement minimales pour mesurer la capacitĂ© intrinsĂšque des modĂšles (payload knowledge, chaĂźnage dâappels) plutĂŽt que lâeffet du prompt engineering.
đą BishopFox publie Cirro : plateforme open-source de recherche sĂ©curitĂ© pour environnements cloud et identitĂ©s
đ ## đ Contexte
Publié en avril 2026 sur GitHub par **BishopFox**, Cirro est une **plateforme de recherche en sécurité** ope...
đ cyberveille : https://cyberveille.ch/posts/2026-04-19-bishopfox-publie-cirro-plateforme-open-source-de-recherche-securite-pour-environnements-cloud-et-identites/
đ source : https://github.com/bishopfox/cirro
#Azure #BishopFox #Cyberveille
BishopFox publie Cirro : plateforme open-source de recherche sécurité pour environnements cloud et identités
đ Contexte PubliĂ© en avril 2026 sur GitHub par BishopFox, Cirro est une plateforme de recherche en sĂ©curitĂ© open-source destinĂ©e aux chercheurs et aux testeurs dâintrusion. Elle permet de collecter, analyser et visualiser des environnements cloud ainsi que les relations dâidentitĂ© au travers de bases de donnĂ©es graphes.
đïž Architecture et fonctionnalitĂ©s Cirro repose sur une architecture modulaire articulĂ©e autour de deux fonctions principales :
cirro collect : collecte dâinformations depuis diverses plateformes et APIs cirro graph : gestion des opĂ©rations sur la base de donnĂ©es graphe (ingestion, export) Lâoutil supporte plusieurs mĂ©thodes dâauthentification pour Azure (Azure CLI, client secret, certificat client, access token, username/password) ainsi que la collecte de donnĂ©es Tailscale pour lâanalyse de topologie rĂ©seau.
Campagne d'usurpation de helpdesk via Microsoft Teams menant à l'exfiltration de données
đŻ Contexte PubliĂ© le 18 avril 2026 par la Microsoft Defender Security Research Team, cet article documente une chaĂźne dâintrusion complĂšte exploitant les fonctionnalitĂ©s de collaboration inter-tenant de Microsoft Teams pour mener des attaques dâingĂ©nierie sociale, dâaccĂšs distant non autorisĂ© et dâexfiltration de donnĂ©es.
đ ChaĂźne dâattaque Lâintrusion se dĂ©roule en plusieurs Ă©tapes distinctes :
Stage 1 â Contact initial (T1566.003) : Lâattaquant initie une communication Teams depuis un tenant externe en se faisant passer pour du personnel IT/helpdesk. Des leurres tels que « Microsoft Security Update », « Spam Filter Update » ou « Account Verification » sont utilisĂ©s. Le vishing peut complĂ©ter ou remplacer la messagerie.
Cisco corrige 4 failles critiques dans Webex Services et Identity Services Engine
đ Contexte PubliĂ© le 16 avril 2026 sur netcost-security.fr, cet article rapporte la publication par Cisco de mises Ă jour de sĂ©curitĂ© corrigeant quatre vulnĂ©rabilitĂ©s critiques dans deux de ses produits majeurs : Webex Services et Identity Services Engine (ISE).
đš VulnĂ©rabilitĂ© principale : CVE-2026-20184 (Webex Services) Produit affectĂ© : Cisco Webex Services, via lâintĂ©gration SSO (Single Sign-On) avec le Control Hub Type de faille : Authentification inappropriĂ©e Impact : Un attaquant distant, sans privilĂšges, peut usurper lâidentitĂ© de nâimporte quel utilisateur en fournissant un jeton SAML modifiĂ© AccĂšs obtenu : AccĂšs non autorisĂ© aux services lĂ©gitimes Cisco Webex Action requise des clients : Les utilisateurs SSO doivent mettre Ă jour leur certificat SAML auprĂšs de leur fournisseur dâidentitĂ© (IdP) dans le Control Hub pour Ă©viter toute interruption de service â ïž VulnĂ©rabilitĂ©s critiques : CVE-2026-20147, CVE-2026-20180, CVE-2026-20186 (ISE) Produit affectĂ© : Cisco Identity Services Engine (ISE) Impact : ExĂ©cution de commandes arbitraires sur le systĂšme dâexploitation sous-jacent PrĂ©requis : Exploitation nĂ©cessitant des privilĂšges administratifs đ Autres correctifs Dix failles de gravitĂ© moyenne ont Ă©galement Ă©tĂ© corrigĂ©es, permettant potentiellement :
đą DSCourier : PoC contournant CrowdStrike, MDE et Elastic via l'API COM WinGet/DSC
đ ## đ Contexte
Publié le 19 avril 2026 sur GitHub par DylanDavis1, **DSCourier** est un outil de preuve de concept (PoC) accompagné d'un article de blog technique détaillé.
đ cyberveille : https://cyberveille.ch/posts/2026-04-19-dscourier-poc-contournant-crowdstrike-mde-et-elastic-via-l-api-com-winget-dsc/
đ source : https://github.com/DylanDavis1/DSCourier
#DSC #DSCourier #Cyberveille
DSCourier : PoC contournant CrowdStrike, MDE et Elastic via l'API COM WinGet/DSC
đ Contexte PubliĂ© le 19 avril 2026 sur GitHub par DylanDavis1, DSCourier est un outil de preuve de concept (PoC) accompagnĂ© dâun article de blog technique dĂ©taillĂ©. Il sâinscrit dans une dĂ©marche de recherche offensive sur les techniques de contournement dâEDR.
âïž Technique exploitĂ©e DSCourier exploite lâAPI COM WinGet Configuration (Microsoft.Management.Configuration) pour appliquer des configurations DSC (Desired State Configuration) en passant par des binaires signĂ©s Microsoft. Cette approche permet de masquer lâactivitĂ© malveillante derriĂšre des processus lĂ©gitimes et de confiance.
đą ExĂ©cution de code arbitraire dans iTerm2 via 'cat readme.txt' â faille dans l'intĂ©gration SSH
đ ## đ Contexte
Article technique publié le 17 avril 2026 par Calif sur blog.calif.io, en partenariat avec OpenAI.
đ cyberveille : https://cyberveille.ch/posts/2026-04-19-execution-de-code-arbitraire-dans-iterm2-via-cat-readme-txt-faille-dans-l-integration-ssh/
đ source : https://blog.calif.io/p/mad-bugs-even-cat-readmetxt-is-not
#IOC #SSH_integration #Cyberveille
ExĂ©cution de code arbitraire dans iTerm2 via 'cat readme.txt' â faille dans l'intĂ©gration SSH
đ Contexte Article technique publiĂ© le 17 avril 2026 par Calif sur blog.calif.io, en partenariat avec OpenAI. Il documente une vulnĂ©rabilitĂ© dâexĂ©cution de code arbitraire dĂ©couverte dans iTerm2, un Ă©mulateur de terminal macOS populaire, exploitable via la simple lecture dâun fichier texte malveillant.
đ VulnĂ©rabilitĂ© identifiĂ©e La faille repose sur un dĂ©faut de confiance dans le protocole dâintĂ©gration SSH dâiTerm2. Ce protocole utilise des sĂ©quences dâĂ©chappement terminales (DCS et OSC) pour coordonner un script distant appelĂ© conductor. iTerm2 accepte ces sĂ©quences depuis nâimporte quelle sortie terminale, sans vĂ©rifier quâelles proviennent rĂ©ellement dâun conductor lĂ©gitime.
Expiration des certificats Secure Boot Windows en juin 2026 : millions de PC exposés
đ
Contexte Article publiĂ© le 13 avril 2026 sur Tomsguide.fr, basĂ© sur le document technique Microsoft Support KB5062710. Il traite de lâexpiration imminente des certificats cryptographiques fondant la chaĂźne de confiance du Secure Boot Windows, Ă©mis en 2011 Ă lâĂ©poque de Windows 8.
đ Certificats concernĂ©s et calendrier Microsoft a publiĂ© un calendrier prĂ©cis dâexpiration :
Certificat KEK (Key Enrollment Key) : expiration en juin 2026 Certificat UEFI CA : expiration en juin 2026 Certificat Windows Production PCA : expiration en octobre 2026 Des versions de remplacement millésimées 2023 doivent prendre le relais.
CyberVeille.ch