C'est une attaque informatique qui progresse : appelée ClickFix, elle cherche à pousser la victime inattentive à commettre une faute, en pensant exécuter une série d'actions inoffensives.

Bon vous savez tous comment marche votre antivirus. Il détecte un malware, il le bloque, et tout revient à la normale.

Mais si je vous disais que maintenant, c’est parfaitement possible qu’une heure plus tard le même malware se repointe, sauf que c’est plus le même, parce que son code a changé. Car entre temps, il a demandé à Google Gemini de le réécrire…

Bien c’est pas de la science-fiction, hein, c’est ce que décrit un rapport du Google Threat Intelligence Group (GTIG) qui nous présente une nouvelle génération de malwares qui intègrent des LLM directement dans leur exécution.

Plus de génération statique du code, c’est le malware lui-même qui appelle une API LLM pendant qu’il tourne, demande des modifications, se réécrit, et repart faire sa besogne.

Les deux exemples les plus marquants s’appellent PROMPTFLUX et PROMPTSTEAL .

PROMPTFLUX, c’est un dropper en VBScript qui appelle l’API Gemini pour obfusquer son propre code. Il se réécrit dans la base de registre Windows pour persister au reboot, puis demande à Gemini de générer de nouvelles variantes d’obfuscation. Son module interne s’appelle “Thinking Robot” et il interroge Gemini régulièrement du genre “Comment contourner l’antivirus X ? Propose des variantes de mon code pour éviter la signature Y.”

Gemini lui répond, le malware applique le conseil, se modifie, et se relance.

Comme les antivirus détectent les malwares par signatures ou comportements connus, si le malware change toutes les heures, les signatures deviennent immédiatement obsolètes. L’antivirus a alors toujours un coup de retard. Et PROMPTFLUX n’a même pas besoin d’un serveur C2 pour télécharger de nouvelles variantes puisqu’il génère ses propres variantes localement en demandant à Gemini.

GTIG estime que PROMPTFLUX est encore en développement et les échantillons analysés ne montrent pas de capacité réelle à compromettre un réseau. Mais ça reste une preuve de concept active… En gros, quelqu’un, quelque part teste cette approche.

PROMPTSTEAL, lui par contre, est déjà opérationnel. GTIG l’attribue à APT28 (FROZENLAKE), un groupe lié au renseignement militaire russe (GRU). Le CERT-UA l’a documenté sous le nom LAMEHUG en juillet dernier et c’est la première observation d’un malware qui interroge un LLM en opération réelle.

PROMPTSTEAL de son côté est écrit en Python. Il utilise l’API Hugging Face pour accéder au modèle Qwen2.5-Coder-32B-Instruct . Le malware envoie des prompts encodés en Base64, genre “récupère les infos système” ou “trouve les documents sensibles” et le LLM génère des commandes Windows d’une ligne qui sont ensuite exécutées localement par le malware. Ensuite ce dernier collecte les données et les exfiltre tranquillement.

L’astuce donc, c’est que le malware ne contient plus de commandes en dur. Il les génère à la volée selon le contexte comme ça, si l’environnement change, il demande de nouvelles commandes adaptées. Plus de pattern fixe à détecter et chaque exécution est différente.

GTIG mentionne aussi d’autres exemples tels que FRUITSHELL, un reverse shell PowerShell public qui contient des prompts pour contourner les protections LLM ou encore PROMPTLOCK, un concept de ransomware en Go qui utilise un LLM pour générer des scripts Lua de chiffrement.

Il y a aussi QUIETVAULT, un voleur de tokens JavaScript qui cible GitHub et NPM, puis exfiltre les résultats via des repos publics.

Tous ces malwares partagent la même idée : intégrer un LLM dans la chaîne d’exécution. Génération, obfuscation, commandes dynamiques, recherche de secrets… Le LLM devient un composant actif du malware !

Le rapport décrit aussi comment les attaquants contournent les protections des LLM à base d’ingénierie sociale dans les prompts. L’attaquant se fait passer le plus souvent pour un étudiant en sécurité, un participant à un CTF, ou encore un chercheur parfaitement légitime. Le LLM, configuré pour aider, répond alors à toutes les demandes.

Dans un cas documenté par GTIG, une tentative a mal tourné pour les attaquants. On le sait car dans les logs de leurs échanges avec le LLM, GTIG a trouvé des domaines C2 et des clés de chiffrement en clair. Les attaquants avaient oublié de nettoyer leurs tests et c’est grâce à ça que GTIG a récupéré l’accès à leur infrastructure puis l’a neutralisée.

Le rapport liste aussi les groupes étatiques actifs comme UNC1069 (MASAN) , lié à la Corée du Nord, qui utilise les LLM pour générer des deepfakes et voler des cryptoactifs. Ou encore UNC4899 (PUKCHONG) , aussi nord-coréen, qui emploie les modèles pour développer des exploits et planifier des attaques sur les supply chains.

De son côté, APT41 , un groupe étatique chinois, s’en sert pour obfusquer du code. Et le groupe iranien APT42 , a même tenté de construire un agent SQL qui traduirait des requêtes en langage naturel vers des commandes d’extraction de données sensibles. GTIG les a bloqué en coupant les comptes qu’ils utilisaient.

Et sur le marché noire, ce genre d’outils et de services multi-fonctions ont le vent en poupe. Génération de campagne de phishing, création de deepfakes, génération automatique de malwares, abonnements avec accès API…etc.

Leur modèle commercial copie celui des services légitimes avec une version gratuite basique pour gouter et un abonnement payant pour les fonctions avancées, avec des communautés Discord pour le support. Ça permet d’abaisser la barrière d’entrée pour les attaquants les moins expérimentés.

Côté défense maintenant, les recommandations sont assez classiques. Pensez à surveiller l’activité anormale des clés API qui pourraient être volées. Détectez les appels inhabituels à des services LLM externes depuis les processus. Contrôlez l’intégrité des exécutables et protégez tout ce qui est “secrets” sur les hôtes.

N’oubliez pas non plus de ne jamais, ô grand jamais, exécuter aveuglément des commandes générées par un modèle IA (je vous l’ai assez répété).

Voilà, tous ces exemples actuels sont expérimentaux mais le signal est donné et il est plutôt limpide : l’IA est en train de rendre les malwares plus virulents en leur permettant de s’adapter !

Source

Si vous me lisez depuis longtemps, vous savez que les hackers russes ne manquent jamais d’imagination quand il s’agit de contourner les antivirus… Mais alors là, le groupe Curly COMrades vient de sortir un truc qui déboite du genou de gnome… Ces affreux planquent maintenant leurs malwares dans des machines virtuelles Linux cachées dans des Windows. Oui, des russes qui créent de véritables poupées russes numérique… qui aurait pu prévoir ^^ ?

Et c’est vicieux vous allez voir… les gars activent Hyper-V sur les machines Windows 10 compromises, puis ils y déploient une VM Alpine Linux ultra-minimaliste. 120 Mo d’espace disque et 256 Mo de RAM… C’est tellement léger que ça passe complètement sous les radars des EDR classiques.

Et la beauté du truc, c’est que tout le trafic malveillant qui sort de la VM passe par la pile réseau de Windows grâce au NAT d’Hyper-V. Du coup, pour l’antivirus, tout a l’air de venir de processus Windows parfaitement légitimes.

C’est bien joué non ?

À l’intérieur de cette VM Alpine, les hackers ont installé 2 malwares custom : CurlyShell et CurlCat. Le premier c’est un reverse shell qui communique en HTTPS pour exécuter des commandes à distance. Et le second, c’est un proxy SSH inversé qui encapsule le trafic SSH dans des requêtes HTTP et le fait transiter par un proxy SOCKS. Les deux partagent une grosse partie de leur code mais divergent sur le traitement des données reçues.

Les chercheurs de Bitdefender, en collaboration avec le CERT géorgien, ont documenté cette campagne qui cible principalement la Géorgie et la Moldavie depuis fin juillet 2025. Les attaquants visent surtout les secteurs gouvernementaux, judiciaires et énergétiques… Bref, les infrastructures critiques, comme d’habitude.

Une fois infiltrés, les hackers désactivent alors l’interface de gestion d’Hyper-V pour réduire le risque de se faire griller. Ensuite, ils configurent la VM pour utiliser le Default Switch d’Hyper-V et ajoutent même des mappages domaine-IP personnalisés. Et pour couronner le tout, ils déploient des scripts PowerShell pour l’injection de tickets Kerberos et la persistance via des comptes locaux.

Et les EDR traditionnels, qui se focalisent sur l’analyse des processus au niveau de l’hôte, ne peuvent pas détecter ce qui se passe à l’intérieur de la VM. En fait pour chopper ce genre de menace, il faut des capacités d’inspection réseau avancées… Autant vous dire que la plupart des boîtes n’en sont pas équipées…

Pour lutter contre ça, Bitdefender recommande de ne pas miser sur une seule solution de sécurité, mais d’en empiler plusieurs. D’abord mettre en place une protection du réseau pour bloquer les attaques avant qu’elles n’atteignent les ordinateurs. Y ajouter un système de détection avancé qui surveille en permanence ce qui se passe sur les machines. Et surtout une vraie politique de réduction des risques en fermant tous les services Windows dont on ne se sert pas.

Hé oui, si Hyper-V n’est pas activé d’origine sur les système, c’est bien parce que ça représente un risque supplémentaire, donc si vous ne vous en servez pas, désactivez le.

Source

Dans un article publié le 5 novembre 2025, Google Threat Intelligence dévoile ses dernières analyses sur les menaces cyber. Le rapport met en avant un nouveau type de malwares exploitant les IA génératives pour renforcer leurs attaques. Parmi eux, PROMPTFLUX, un logiciel capable de réécrire son code source chaque heure pour échapper à la détection.

Le 3 novembre 2025, l’unité d’enquête cybernétique de la police de Gyeonggi Nambu, en Corée du Sud, a annoncé l’arrestation de cinq individus soupçonnés d’avoir mené une opération d’extorsion en ligne visant une soixantaine de victimes. Le point de départ de l'affaire ? Une fausse application de gestion de clientèle destinée aux salons de massage.

Vous êtes développeur blockchain et vous recevez un message LinkedIn d’un recruteur sympa pour une boîte qui a l’air tout a faire sérieuse. Ils ont un site web propre, des profils crédibles, et ils vous proposent de faire un petit test technique sur GitHub. Ça vous parle ? Bah oui, je vous ai parlé de cette arnaque y’a 2 jours … Et malheureusement, si vous n’y prenez pas garde, vous télécharger le code, vous le lancez, et BOOM… vous venez de contribuer financièrement au programme de missiles balistiques nord-coréen.

Bravo !

Car oui d’après une enquête de Google Threat Intelligence le groupe nord-coréen UNC5342 (aussi connu sous une dizaine d’autres noms selon qui le traque) a adopté une technique qui fait froid dans le dos : EtherHiding. Le principe c’est de. cacher du code malveillant directement dans des smart contracts sur la blockchain et selon Google, c’est la première fois qu’on documente qu’un état-nation utilise cette méthode.

La blockchain, cette technologie impossible à censurer, car décentralisée par essence vient de devenir l’arme parfaite d’un régime totalitaire. Parce que figurez-vous, quand vous stockez du malware dans un smart contract sur Ethereum ou la BNB Smart Chain, personne ne peut l’effacer. Même si tout le monde sait qu’il est là et même si vous avez l’adresse exacte.

C’est tout le concept !

Cette adresse, 0x8eac3198dd72f3e07108c4c7cff43108ad48a71c c’est donc le smart contract que les Nord-Coréens ont utilisé et Google a observé depuis plus de 20 mises à jour sur ce contrat en l’espace de 4 mois. Le coût de chaque transaction est d’environ 1,37 dollar, soit le prix d’un café que la Corée du Nord doit payer pour déployer et mettre à jour son infrastructure d’attaque qui devient ainsi permanente et indestructible.

Un missile balistique ça coûte des millions alors que ce genre de “cyber missile” stocké sur la blockchain ça coûte rien et le retour sur investissement est colossal. On parle de 2 milliards de dollars volés rien qu’au premier semestre 2025 . En février dernier, le groupe Lazarus (même famille, autre branche) a même éussi le plus gros casse crypto de l’histoire en volant 1,5 milliard de dollars à l’exchange Bybit . Depuis 2017, ce serait donc au total plus de 6 milliards volés et devinez où va cet argent ?

Dans le programme de missiles de la Corée du Nord et dans le contournement des sanctions internationales.

La campagne s’appelle “Contagious Interview” et elle cible spécifiquement les développeurs. Les Nord-Coréens créent de fausses boîtes avec des noms qui sonnent bien, genre “BlockNovas LLC”, montent des sites web complets, des profils LinkedIn qu’ils entretiennent pendant des mois, et ils vous contactent comme de vrais recruteurs. Ils vous font alors passer par toutes les étapes d’un processus de recrutement classique, déplacent la conversation sur Telegram ou Discord pour faire plus naturel, et finissent par vous envoyer ce fameux “test technique” hébergé sur GitHub.

Le code contient un loader JavaScript appelé JADESNOW qui va alors interroger la blockchain via des appels en lecture seule. Ça ne coûte rien en frais de transaction, ça n’alerte personne, et ça récupère le payload chiffré stocké dans le smart contract. Une fois déchiffré, ça déploie alors d’autres malwares aux noms charmants comme INVISIBLEFERRET, PITHOOK ou COOKIENET.

Et leur seul but c’est de voler vos cryptos, bien sûr, mais aussi installer un accès persistant à votre machine pour de futures opérations.

On est donc très loin ici du schéma du hacker solitaire dans son sous-sol. Là on parle d’équipes entières financées par un état, avec des objectifs militaires clairs, qui ont le temps et les ressources pour monter des opérations de social engineering sur plusieurs mois. Ils utilisent même la technique du “ClickFix” qui consiste à afficher un faux message d’erreur qui pousse l’utilisateur à installer quelque chose pour “corriger” le problème. Ça exploite notre réflexe naturel de vouloir réparer ce qui est cassé et le pire dans tout ça, c’est que les plateformes comme LinkedIn ou GitHub sont coincées.

Bah oui, comment voulez-vous distinguer un vrai recruteur d’un faux quand l’attaquant a trois mois devant lui pour construire une identité crédible ?

Bref, les développeurs blockchain sont devenus les nouvelles cibles premium et contrairement à une banque ou une plateforme crypto qui a des équipes sécurité, ceux là sont tout seuls derrière leur écran.

Selon les chercheurs de Mandiant , UNC5342 utilise cette technique depuis février 2025 au moins donc si vous bossez dans la blockchain, faites gaffe. Si vous recevez des offres, posez-vous des questions parce que financer des missiles nord-coréens, c’est pas vraiment le genre de side project qu’on veut sur son CV ^^.

Source

Vous venez de claquer plusieurs milliers d’euros dans une solution antivirus dernier cri pour votre boîte car le commercial vous a convaincu avec du machine learning, de l’IA comportementale, du threat hunting prédictif et j’en passe…

Cool story ! Mais si je vous disais qu’un petit exécutable open source gratuit peut potentiellement passer à travers ? Ce programme s’appelle al-khaser et je vous assure qu’il va vous faire déchanter, car ce truc, c’est le détecteur de mensonges des solutions de cybersécurité.

Al-khaser est outil qui ne fait rien de méchant en soi… C’est ce qu’on appelle un PoC, un “proof of concept” avec de bonnes intentions car il rassemble dans un seul programme toutes les techniques que les vrais malwares utilisent pour se planquer tels que la détection de machines virtuelles, le contournement des débogueurs, l’échappement aux sandbox, et j’en passe.

Comme ça, si votre antivirus ne détecte pas al-khaser, il y a de bonnes chances qu’il rate aussi les vraies menaces qui utilisent les mêmes techniques.

Faut dire que les éditeurs d’antivirus et d’EDR adorent nous vendre leurs nouvelles fonctionnalités IA de fou alors que certaines de leurs solutions ne détectent même pas des techniques pourtant connues depuis longtemps.

Al-khaser met donc tout ça en lumière de façon assez brutale en enchaînant des dizaines de vérifications. Par exemple, il va regarder si votre processeur a vraiment le bon nombre de cœurs ou si c’est une simulation. Il va checker l’adresse MAC de votre carte réseau pour voir si elle correspond à un hyperviseur VMware ou VirtualBox. Il va mesurer le temps d’exécution de certaines opérations pour détecter si le système est accéléré artificiellement, comme dans une sandbox d’analyse. Il va même tester des API Windows classiques comme IsDebuggerPresent ou CheckRemoteDebuggerPresent pour voir si quelqu’un espionne son exécution.

Maintenant si vous voulez tester les protections anti-debug de votre système, vous tapez :

al-khaser.exe –check DEBUG –sleep 30

Oui si vous voulez voir si votre virtualisation VMware ou QEMU est bien masquée :

al-khaser.exe –check VMWARE –check QEMU

Bien sûr, ces techniques ne sortent pas de nulle part car elles sont documentées depuis des années notamment dans ce référentiel dont je vous déjà parlé .

Les équipes de pentest et les red teams adorent al-khaser car ça leur permet de montrer aux décideurs que leur gros investissement en cybersécurité n’est peut-être pas aussi solide qu’ils le pensaient. Vous lancez l’outil un vendredi après-midi dans un environnement de test, et vous voyez instantanément ce que votre EDR détecte ou pas.

Voilà, une fois encore, rassurez-vous, al-khaser ne fait rien de malveillant… Il ne vole pas de données, ne chiffre pas vos fichiers, ne lance pas de ransomware mais se contente juste de lever la main et de dire “hé ho, je suis là, regardez moi, je fais plein de des trucs louches !!”.

Bien sûr, ne lancez pas al-khaser sur n’importe quelle machine car c’est un outil de test qui doit rester dans un environnement contrôlé. Si vous le lancez sur le réseau de prod sans prévenir votre équipe sécu, vous allez déclencher des alertes partout et recevoir des appels pas très sympathiques. Et surtout, juridiquement, vous devez avoir l’autorisation du propriétaire de l’infrastructure, sinon, vous risquez de gros ennuis.

Ce projet est open source, écrit essentiellement en C++, et disponible sur GitHub . Y’a plus qu’à vous monter une VM isolée, récupérer al-khaser, et voir ce que ça donne.

Vous connaissez APT27, Winnti, Mustang Panda… Ces groupes de cyberespionnage chinois qui font régulièrement les gros titres. Mais il y en a un dont vous n’avez probablement jamais entendu parler. Et c’est justement ça qui le rend flippant : Phantom Taurus.

Pendant deux ans et demi, ce groupe fantôme s’est infiltré dans les ministères des affaires étrangères, les ambassades et les réseaux de télécommunications à travers l’Afrique, le Moyen-Orient et l’Asie. Personne ne s’en est rendu compte avant le 30 septembre 2025, quand les chercheurs de l’ Unit 42 de Palo Alto Networks ont levé le voile sur cette opération d’espionnage de très haut niveau.

7 décembre 2022, Riyadh. L’avion du président Xi Jinping est escorté par quatre chasseurs de l’armée saoudienne qui dessinent les couleurs chinoises dans le ciel. Le prince Faisal bin Bandar Al Saud l’accueille sur le tarmac pour le premier sommet historique Chine-États arabes. Signature de la Déclaration de Riyadh, renforcement du partenariat stratégique entre Pékin et Riyad. Ça ne rigole pas !

Mais pendant que les diplomates négocient dans les salles officielles, Phantom Taurus est déjà dans leurs systèmes. Les hackers infiltrent les serveurs Exchange des ministères des affaires étrangères qui participent au sommet. Leur mission : fouiller les emails contenant les noms “Xi Jinping” et “Peng Liyuan” pour savoir ce que les pays arabes pensent VRAIMENT de ce rapprochement avec la Chine.

En surface, tout le monde sourit pour les photos officielles mais en coulisses, les services chinois lisent en temps réel les communications diplomatiques confidentielles de leurs nouveaux “partenaires stratégiques”. C’est ça, l’espionnage moderne.

L’histoire commence réellement en juin 2023 quand les analystes de Unit 42 détectent des activités suspectes qu’ils classent sous le code CL-STA-0043. Un cluster d’activité malveillante parmi des centaines d’autres, sauf que celui-là sent plutôt “bon”. Pendant des mois, les chercheurs accumulent les preuves, connectent les points, observent les patterns.

Mai 2024, le cluster est promu “temporary threat group” avec un nom de code évocateur : Operation Diplomatic Specter. Spectre Diplomatique. Ça sonne comme un bouquin de Tom Clancy version cyberpunk. Mais ce n’est qu’après une année supplémentaire d’investigation que Unit 42 franchit le cap et baptise officiellement ce groupe : Phantom Taurus.

Pourquoi Taurus ? Hé bien parce que chez Unit 42, tous les groupes chinois portent le nom de la constellation du Taureau. Taurus pour la Chine, Ursa pour la Russie, Pisces pour la Corée du Nord, Serpens pour l’Iran. Et Phantom ? Tout simplement parce que ce groupe est littéralement un fantôme, capable d’opérer dans l’ombre pendant des années sans se faire remarquer.

Et si Phantom Taurus est un groupe fantôme, alors NET-STAR est son arme invisible. C’est une suite de malwares entièrement développée en .NET, spécialement conçue pour infiltrer les serveurs IIS et le joyau de cette collection s’appelle IIServerCore.

IIServerCore c’est une backdoor modulaire et fileless. Cela veut dire qu’elle opère entièrement en mémoire dans le processus w3wp.exe d’IIS. Rien sur le disque dur, rien dans les logs classiques. Fantôme, je vous dis. Son point d’entrée est un web shell ASPX nommé OutlookEN.aspx qui contient un binaire compressé en Base64. Ainsi, quand le web shell s’exécute, il charge IIServerCore directement dans la mémoire et l’attaque commence.

Et ses capacités sont impressionnantes : opérations sur le système de fichiers, accès aux bases de données, exécution de code arbitraire, gestion de web shells, contournement des solutions de sécurité, et chiffrement de toutes les communications avec le serveur C2.

Le deuxième outil, AssemblyExecuter, charge et exécute des assemblies .NET additionnels directement en mémoire. Sa version 2 inclut même des méthodes dédiées pour contourner AMSI (Antimalware Scan Interface) et ETW (Event Tracing for Windows). Résultat, Phantom Taurus peut exécuter du code malveillant même dans des environnements ultra-surveillés sans déclencher d’alerte.

Un détail que j’ai trouvé particulièrement malin dans leur manière de procéder c’est leur technique de timestomping . En gros, c’est l’art de modifier les métadonnées temporelles d’un fichier pour le faire passer pour un vieux fichier légitime.

Phantom Taurus a donc timestompé le web shell OutlookEN.aspx pour qu’il corresponde au timestamp d’un autre fichier ASPX déjà présent sur le système. Ils ont aussi modifié le temps de compilation des backdoors NET-STAR vers une date future aléatoire. C’est tordu, mais dans une investigation forensique, un analyste qui voit un fichier ASPX avec un timestamp de 2018 va naturellement penser qu’il est légitime et ne va pas creuser plus loin.

Bref, pendant longtemps, Phantom Taurus s’est concentré sur l’exfiltration d’emails via des serveurs Microsoft Exchange compromis. Ils exploitaient des vulnérabilités connues comme ProxyLogon (CVE-2021-26855) et ProxyShell (CVE-2021-34473), puis cherchaient des emails contenant des mots-clés liés aux intérêts chinois : données militaires, infos sur les télécommunications et l’énergie, mentions de Xi Jinping, Joe Biden et autres leaders politiques.

Mais début 2025, le groupe fait évoluer sa stratégie. Au lieu de se limiter aux emails, ils commencent à cibler directement les bases de données SQL Server. Pour cela, ils sortent un outil fait maison, un script batch nommé mssq.bat qui se connecte au serveur SQL avec le compte sa préalablement obtenu, exécute des requêtes dynamiques avec des keywords spécifiques, et sauvegarde les résultats au format CSV. Le script est exécuté à distance via Windows Management Instrumentation (WMI) et les chercheurs les ont observés chercher des documents relatifs à l’Afghanistan et au Pakistan.

Cette évolution montre surtout une chose : Phantom Taurus s’adapte. Ce passage de l’email mining au database mining leur permet d’obtenir bien plus de données qu’ils ne pourraient en trouver dans des conversations par email.

Et surtout, Phantom Taurus ne travaille pas en vase clos. Il partage une infrastructure opérationnelle avec d’autres groupes chinois connus comme Iron Taurus (APT27), Starchy Taurus (Winnti, APT41), et Stately Taurus (Mustang Panda). Les serveurs C2 qu’ils utilisent ont les mêmes adresses IP, les mêmes domaines malveillants, les mêmes informations de registration.

Mais attention, même s’ils partagent l’infrastructure, Phantom Taurus maintient une compartimentation opérationnelle stricte. Les composants spécifiques de NET-STAR n’ont jamais été observés dans les opérations des autres groupes. C’est comme s’ils louaient un datacenter commun, mais que chacun avait ses propres serveurs et outils. Ça permet de mutualiser les coûts tout en préservant le secret des opérations.

Maintenant, est ce que vous savez ce qui différencie vraiment Phantom Taurus des autres APT ? C’est leur obsession pour la persistence. En effet, la plupart des groupes, quand ils se font détecter publiquement, disparaissent pendant des semaines voire des mois pour se refaire une santé. Mais pas Phantom Taurus qui refait surface en quelques heures ou jours après avoir été détectés.

Unit 42 a ainsi documenté un cas où Phantom Taurus avait maintenu un accès à un réseau pendant presque deux ans, avec des exfiltrations périodiques de données sensibles au bon moment. Cette approche révèle la nature stratégique de leurs opérations. Ces accès soutenus à long terme leur permettent de revenir piocher de l’information chaque fois qu’un événement géopolitique important se profile.

Après pour vraiment comprendre Phantom Taurus, il faut le replacer dans le contexte plus large de l’espionnage cyber chinois. Par exemple, l’attaque contre le siège de l’Union Africaine à Addis-Abeba, financé et construit par la Chine est un cas assez emblématique de leur mode opératoire.

Durant cinq ans, chaque nuit entre minuit et 2h du matin, toutes les données du siège de l’UA étaient transférées vers des serveurs à Shanghai. Quand l’UA a voulu acheter ses propres serveurs, la Chine a “généreusement” offert de les fournir gratuitement. Du coup, ils se sont retrouvés avec des serveurs pré-compromis installés au cœur même de l’organisation panafricaine.

Les équipes techniques ont même découvert par la suite, des microphones cachés dans les murs et les bureaux…

Phantom Taurus est en réalité un outil parmi d’autres dans l’arsenal cyber chinois. C’est un outil spécialisé dans l’espionnage diplomatique et les télécommunications. Du coup, pour contrer leurs attaques, Palo Alto Networks a mis à jour ses produits de sécurité pour détecter NET-STAR. Ils ont par exemple upgradé leur logiciel Cortex XDR pour relever quand le processus w3wp.exe spawne des processus enfants suspects comme cmd.exe ou powershell.exe. Comme ça, même si IIServerCore est fileless et opère en mémoire, Cortex XDR peut le détecter.

Aujourd’hui encore, Phantom Taurus est toujours actif. Les dernières activités observées datent de quelques mois seulement avant la publication du rapport de Unit 42 mais maintenant que le groupe est exposé publiquement, ils vont probablement modifier leurs outils, changer leur infrastructure, et développer de nouvelles techniques d’évasion.

Mon pari c’est qu’ils vont upgrader NET-STAR, modifier quelques TTPs (Tactiques, techniques et procédures) pour éviter les détections connues, mais garder leur approche fondamentale d’accès long terme, d’exfiltration opportuniste, et de synchronisation avec les événements géopolitiques.

Bah oui, pourquoi changer une recette qui marche ?

Voilà, c’est la fin de l’histoire… En tout cas pour l’instant car pendant que tout le monde se focalise sur les gros ransomwares et les attaques spectaculaires, Phantom Taurus continue tranquillement et discrètement à aspirer les secrets diplomatiques du monde entier…

Sources : Unit 42 - Phantom Taurus: A New Chinese Nexus APT , Palo Alto Networks - Defending against Phantom Taurus with Cortex , CISA - Countering Chinese State-Sponsored Actors , Council on Foreign Relations - African Union Bugged by China

Romain, fidèle lecteur de korben.info a développé un scanner pour détecter l’attaque Shai-Hulud qui a secoué l’écosystème npm dernièrement ! L’occasion parfaite pour moi de vous raconter cette histoire complètement dingue.

Vous vous souvenez de CrowdStrike ? Cette entreprise de cybersécurité qui a provoqué la plus grande panne informatique mondiale en juillet 2024 avec une mise à jour défaillante ? Celle qui a cloué au sol des milliers d’avions et fait planter des millions de PC Windows ? Eh bien figurez-vous qu’en septembre 2025, des packages npm mis à disposition par CrowdStrike ont été touchés. Et si Crowdstrike n’a pas été directement piraté, ces packages publics (qui n’étaient pas utilisés dans leurs solutions de sécurité, ni en interne chez eux) utilisaient ces dépendances qui ont été compromises par l’attaque.

C’est ce qu’on appelle une supply chain attack et l’attaque Shai-Hulud (oui, comme le ver des sables dans Dune) n’est pas juste un malware de plus. C’est le premier ver informatique qui s’est propagé de manière autonome dans l’écosystème npm, infectant des centaines de paquets en quelques heures.

Le ver utilise TruffleHog, un outil de sécurité normalement conçu pour DÉTECTER les secrets dans le code, c’est à dire les tokens GitHub, npm, AWS et GCP.

Puis quand il trouve des credentials valides, le ver fait les trois choses suivantes : D’abord, il crée un dépôt GitHub public nommé “Shai-Hulud” où il balance toutes les données volées. Ensuite, il pousse une GitHub Action malicieuse dans tous les repos accessibles pour exfiltrer encore plus de secrets. Et le pompon c’est que parfois, il transforme même les repos privés d’entreprise en repos publics personnels. J’vous laisse imaginer la tête du RSSI qui découvre que tout le code proprio de sa boîte est accessible à tout le monde sur GitHub…

Et quand le ver trouve des tokens npm dans son environnement, il publie automatiquement des versions infectées de tous les paquets auxquels il a accès. C’est d’ailleurs la première fois qu’on voit ce comportement de ver auto-répliquant dans l’écosystème JavaScript. Par exemple, le paquet @ctrl/tinycolor, téléchargé 2 millions de fois par semaine, a été l’un des premiers touchés.

Face à ce bordel monumental, Romain a donc développé npm-shai-hulud-scanner , un outil qui détecte non seulement les paquets connus comme compromis, mais aussi les tentatives de typosquatting et les patterns de code malicieux. Il utilise notamment la distance de Levenshtein pour identifier les variations suspectes de noms de paquets (du genre lodash vs lodash_ ou react vs raect).

Quand vous le lancez, le scanner de Romain vérifie d’abord si vous avez des paquets de la liste des 500+ compromis. Ensuite il analyse votre code à la recherche de patterns suspects : tentatives d’exfiltration de credentials, exécution de code à distance, obfuscation, communications réseau louches. Il peut même tourner en mode monitoring continu pour surveiller votre CI/CD. Et cerise sur le gâteau, il peut mettre en quarantaine les paquets suspects automatiquement. C’est top non ?

Shai-Hulud est l’un des attaques les plus sévères jamais vue sur la supply chain JavaScript et si même CrowdStrike se fait avoir, je me dit que personne n’est à l’abri. Donc soyez hyper vigilants et utilisez des outils de contrôle comme celui de Romain !

On ne sait jamais !

Comment ça NotPetya ???

Mais siiiii, cette saloperie de malware qui a paralysé la planète en 2017 et qui s’est révélée être en fait un programme destructeur déguisé en ransomware. Eh bien, tenez-vous bien : selon les équipes d’ESET , un petit nouveau vient d’arriver sur la scène, et il s’appelle HybridPetya. Et ce petit gars a appris des nouveaux tours que son grand-père NotPetya ne maîtrisait pas à l’époque.

Martin Smolár, le chercheur d’ESET qui a découvert cette petite merveille, explique que HybridPetya combine le pire des deux mondes : les capacités destructrices de NotPetya ET la récupération possible des données de Petya. Mais surtout, et c’est là que ça devient technique, ce truc est capable de contourner Secure Boot sur les systèmes UEFI.

Pour ceux qui auraient oublié l’enfer de 2017, je vous fais un petit rappel historique. Petya, c’était le ransomware “gentil” qui chiffrait vos données mais vous permettait théoriquement de les récupérer si vous payiez la rançon. NotPetya, son cousin maléfique, c’était le faux ransomware qui détruisait tout sur son passage. Cette saloperie a causé plus de 10 milliards de dollars de dégâts dans le monde, principalement en Ukraine où elle a été initialement déployée via une mise à jour piégée du logiciel de comptabilité M.E.Doc.

Maintenant, là où HybridPetya innove, c’est qu’il récupère le meilleur (ou le pire, selon le point de vue) des deux. Il peut détruire comme NotPetya, mais aussi permettre la récupération des données comme Petya. Une sorte de ransomware à géométrie variable, quoi.

Sauf que ce n’est pas le plus inquiétant…

Le truc vraiment flippant avec HybridPetya, c’est sa capacité à s’installer directement dans le firmware UEFI de votre machine. Pour les non-initiés, UEFI c’est le système qui s’occupe du démarrage de votre ordinateur, avant même que Windows ne se réveille. En gros, si un malware réussit à s’installer là-dedans, il survit à tout : formatage du disque dur, réinstallation complète du système, et même changement de disque dur. C’est un niveau persistance maximale.

Alors, comment il fait ça, ce HybridPetya ? Eh bien, il utilise deux méthodes d’attaque. La première, c’est l’installation directe de charges utiles malveillantes sur la partition système EFI. Une fois là-dedans, il chiffre la Master File Table (MFT) de votre système NTFS, ce qui rend tous vos fichiers complètement inaccessibles. Et surtout, il sait exploiter la vulnérabilité CVE-2024-7344 pour contourner Secure Boot.

Cette faille, découverte également par les équipes d’ESET, se trouve dans l’application Howyar Reloader UEFI. En gros, cette application, qui est normalement signée par Microsoft et donc considérée comme fiable, contient une vulnérabilité qui permet de charger du code non-signé pendant le processus de démarrage. C’est comme si vous donniez les clés de votre maison à quelqu’un en lui disant “tu peux faire rentrer qui tu veux, je te fais confiance”.

Après pas de panique les amis, car il faut préciser que pour l’instant, HybridPetya n’a été repéré que sur VirusTotal, la plateforme d’analyse de malwares. Aucune autre infection dans la nature n’a été détectée par les télémétries d’ESET. Il s’agit donc probablement d’un proof-of-concept développé par un chercheur en sécurité ou un groupe de hackers pour démontrer que c’était possible. Mais le fait que ça existe, ça veut surtout dire que d’autres peuvent s’en inspirer.

Toutefois, HybridPetya rejoint désormais un club très fermé car il est maintenant le quatrième malware connu capable de contourner UEFI Secure Boot, après BlackLotus (qui exploite CVE-2022-21894 ), Bootkitty (qui cible Linux), et le PoC Hyper-V Backdoor. Comme le souligne Martin Smolár : “Cela montre que les contournements de Secure Boot ne sont pas seulement possibles… ils deviennent plus courants et attractifs pour les chercheurs comme pour les attaquants”.

BlackLotus, pour rappel, c’était déjà du lourd. Découvert en 2023 , ce malware était vendu 5 000 dollars sur le dark web et était capable de tourner sur des systèmes Windows 11 entièrement à jour avec Secure Boot activé. Il pouvait désactiver BitLocker, HVCI, et Windows Defender, et installer des pilotes malveillants au niveau kernel. Du grand art, dans le mauvais sens du terme.

Maintenant concrètement, comment on se protège contre ce genre de menaces ? Parce que bon, c’est bien beau de faire peur aux gens, mais il faut aussi donner les solutions.

Et bien première chose, maintenez vos systèmes à jour. Microsoft a corrigé la vulnérabilité CVE-2024-7344 dans le Patch Tuesday de janvier 2025 donc si vous avez appliqué cette mise à jour ou une version ultérieure, vous êtes protégés contre HybridPetya. C’est la base, mais c’est crucial.

Deuxième chose, activez et configurez correctement UEFI Secure Boot. Même si des contournements existent, Secure Boot reste une barrière importante. Assurez-vous qu’il soit activé et que vos listes de révocation soient à jour. Microsoft révoque régulièrement les certificats compromis, et ces révocations sont normalement appliquées automatiquement sur Windows.

Troisième conseil, surveillez votre partition système EFI. Selon les recommandations de CISA , les équipes de sécurité devraient être capables d’auditer, gérer et mettre à jour les composants UEFI, et surveiller les logs d’activité UEFI pour détecter toute modification suspecte. Utilisez des solutions de sécurité capables de détecter les modifications au niveau UEFI… Certains antivirus modernes incluent des fonctionnalités de protection du firmware. Ce n’est pas infaillible, mais ça ajoute une couche de protection. En gros, il faut traiter ce firmware comme n’importe quel autre logiciel avec une surveillance et des mises à jour régulières.

Quatrième point, et c’est important, limitez les privilèges administrateur. Pour déployer HybridPetya, il faut des droits d’administrateur local sur Windows ou root sur Linux pour accéder à la partition système EFI. Moins il y a d’utilisateurs avec ces privilèges, mieux c’est.

Et puis, il y a les bonnes pratiques classiques qui restent valables telles que les sauvegardes régulières (et déconnectées !), la formation des utilisateurs, de la surveillance réseau, et une restriction des droits d’accès. Parce qu’au final, même le malware le plus sophistiqué a besoin d’un vecteur d’infection initial.

Quoiqu’il en soit, ces bootkits UEFI représentent une escalade significative dans la sophistication des malwares car ils opèrent à un niveau si bas qu’ils sont extrêmement difficiles à détecter et à supprimer pour les solutions de sécurité traditionnelles.

C’est intéressant également de noter que HybridPetya ne semble pas avoir les capacités de propagation réseau agressives du NotPetya original. Rappelez-vous, NotPetya utilisait l’exploit EternalBlue (développé initialement par la NSA) pour se propager de machine en machine sur les réseaux et c’est cette capacité de ver informatique qui avait permis à NotPetya de causer autant de dégâts en si peu de temps.

De son côté HybridPetya semble plus axé sur la persistance que sur la propagation massive. C’est probablement un choix tactique car plutôt que de faire du bruit et d’alerter tout le monde, mieux vaut s’installer discrètement et durablement sur les systèmes ciblés.

Depuis quelques années, les groupes APT (Advanced Persistent Threat) privilégient de plus en plus la furtivité et la persistance plutôt que l’impact immédiat visible, car un malware qui survit silencieusement pendant des mois ou des années peut collecter bien plus d’informations sensibles qu’un ransomware qui chiffre tout en quelques heures.

Bref, gardez vos systèmes à jour, surveillez vos logs, et surtout, ne sous-estimez jamais l’ingéniosité des types qui passent leurs journées à trouver des moyens créatifs de péter vos systèmes….