Si vous me lisez depuis longtemps, vous savez que les hackers russes ne manquent jamais d’imagination quand il s’agit de contourner les antivirus… Mais alors là, le groupe Curly COMrades vient de sortir un truc qui déboite du genou de gnome… Ces affreux planquent maintenant leurs malwares dans des machines virtuelles Linux cachées dans des Windows. Oui, des russes qui créent de véritables poupées russes numérique… qui aurait pu prévoir ^^ ?
Et c’est vicieux vous allez voir… les gars activent Hyper-V sur les machines Windows 10 compromises, puis ils y déploient une VM Alpine Linux ultra-minimaliste. 120 Mo d’espace disque et 256 Mo de RAM… C’est tellement léger que ça passe complètement sous les radars des EDR classiques.
Et la beauté du truc, c’est que tout le trafic malveillant qui sort de la VM passe par la pile réseau de Windows grâce au NAT d’Hyper-V. Du coup, pour l’antivirus, tout a l’air de venir de processus Windows parfaitement légitimes.
C’est bien joué non ?
À l’intérieur de cette VM Alpine, les hackers ont installé 2 malwares custom : CurlyShell et CurlCat. Le premier c’est un reverse shell qui communique en HTTPS pour exécuter des commandes à distance. Et le second, c’est un proxy SSH inversé qui encapsule le trafic SSH dans des requêtes HTTP et le fait transiter par un proxy SOCKS. Les deux partagent une grosse partie de leur code mais divergent sur le traitement des données reçues.
Les chercheurs de Bitdefender, en collaboration avec le CERT géorgien, ont documenté cette campagne qui cible principalement la Géorgie et la Moldavie depuis fin juillet 2025. Les attaquants visent surtout les secteurs gouvernementaux, judiciaires et énergétiques… Bref, les infrastructures critiques, comme d’habitude.
Une fois infiltrés, les hackers désactivent alors l’interface de gestion d’Hyper-V pour réduire le risque de se faire griller. Ensuite, ils configurent la VM pour utiliser le Default Switch d’Hyper-V et ajoutent même des mappages domaine-IP personnalisés. Et pour couronner le tout, ils déploient des scripts PowerShell pour l’injection de tickets Kerberos et la persistance via des comptes locaux.
Et les EDR traditionnels, qui se focalisent sur l’analyse des processus au niveau de l’hôte, ne peuvent pas détecter ce qui se passe à l’intérieur de la VM. En fait pour chopper ce genre de menace, il faut des capacités d’inspection réseau avancées… Autant vous dire que la plupart des boîtes n’en sont pas équipées…
Pour lutter contre ça, Bitdefender recommande de ne pas miser sur une seule solution de sécurité, mais d’en empiler plusieurs. D’abord mettre en place une protection du réseau pour bloquer les attaques avant qu’elles n’atteignent les ordinateurs. Y ajouter un système de détection avancé qui surveille en permanence ce qui se passe sur les machines. Et surtout une vraie politique de réduction des risques en fermant tous les services Windows dont on ne se sert pas.
Hé oui, si Hyper-V n’est pas activé d’origine sur les système, c’est bien parce que ça représente un risque supplémentaire, donc si vous ne vous en servez pas, désactivez le.
Les Linuxiens ont beau dire que Linux peut TOUT faire, ils gardent presque tous un dual-boot ou une VM Windows planquée quelque part pour lancer Photoshop ou remplir une page web administrative qui plante sous Firefox. C’est ça la définition du déni, les amis ^^.
Alors bien sûr, y’a Wine qui existe depuis plus de 20 ans, mais bon faut bidouiller des préfixes, installer des DLL manquantes, fouiller sur WineHQ et au final, c’est toujours du rafistolage à se taper.
Alors comme le fait Winapps , il y a aussi WinBoat , un outil capable de faire tourner un Windows dans un container Docker. Pas d’émulation, pas de traduction d’API, pas de prière à saint Wine pour que votre app se lance. Ça lance de vraies apps Windows !
Techniquement, WinBoat utilise donc Docker et KVM pour faire tourner Windows dans un container. Electron gère l’interface, FreeRDP se connecte à Windows via le protocole RemoteApp, et vos apps Windows apparaissent comme des fenêtres normales sur votre bureau Linux.
Vous cliquez sur une icône, hop, l’app se lance, et vous oubliez qu’il y a une VM qui tourne en arrière-plan.
L’installation de Windows est également automatisée. Vous lancez WinBoat, ça télécharge et configure tout, tout seul, et après c’est prêt. L’intégration filesystem permet d’accéder vos fichiers Linux depuis les apps Windows et le passthrough USB et smartcard fonctionne, ce qui règle le problème des signatures électroniques pour les démarches administratives dont je parle un peu plus haut.
Photoshop, Illustrator, InDesign, c’est clair que ces apps ne tourneront jamais correctement sous Wine parce qu’Adobe n’a jamais pensé son code pour être portable alors qu’avec WinBoat, elles tournent. Office 365 aussi, pour les boîtes qui imposent Teams et SharePoint. Ah et Affinity Photo pareil ça roule impecc aussi.
WinBoat assume quand même ses limites dès le départ car y’a pas de passthrough GPU pour le moment, donc les apps lourdes en 3D rameront. Pas de support non plus des jeux avec anti-cheat, mais le Steam Deck fait ça mieux de toute façon. Et notez qu’il vous faudra minimum 4 Go de RAM rien que pour WinBoat, parce qu’un Windows léger ça n’existe pas !
Le projet est open source sous licence MIT, gratuit, dispo en AppImage, .deb, .rpm, ou via AUR pour Arch. Docker CLI est obligatoire, mais pas Docker Desktop et FreeRDP 3.x.x avec le support son aussi. KVM aussi doit être activé sur votre système.
Bref, WinBoat c’est comme Winapps, très sympa à tester car ça marche très bien même si les perfs ne seront jamais celles d’un Windows natif. C’est dispo sur GitHub avec toute la doc si ça vous chauffe.
Merci à Lorenper pour le soft.
La 12ᵉ édition de Kernel Recipes s’est tenue à Paris du 22 au 24 septembre 2025, et comme chaque année, l’événement a rassemblé un bel échantillon de la communauté du noyau Linux : développeurs, mainteneurs, testeurs, contributeurs, et passionnés venus échanger autour du projet du noyau.
Trois jours intenses de présentations, de discussions informelles, de caféine et de partages d’expériences — bref, un cru encore une fois très riche. Les sujets ont couvert un large spectre : du développement des sous-systèmes du noyau à la maintenance, en passant par la sécurité ou la performance. Cette année encore quelques interventions concernant l'impact de BPF et la place grandissante de Rust dans le projet.
Les slides et enregistrements vidéo de toutes les présentations sont désormais en ligne !
Nous tenons à remercier l'ensemble des speakers qui encore une fois ont fait de cette 12e édition une réussite : Maira CANAL, Dorinda BASSEY , Matthew WILCOX, Melissa WEN, Andrea RIGHI, Greg KH, Thomas Schwinge, Thara Gopinath, SJ Park, Roman Gushchin, Leonardo Brás, Song Liu, Julia LAWALL, Boris Brezillon, Thomas Weissschuh, Indu Bhagat, Alice Ryhl, Vlastimil Babka, Lorenzo Stoakes.
Un remerciement tout particulier à Paul McKenney notre parrain cette année qui a fournit un travail énorme pour nous aider à boucler cette édition.
Un grand merci également au talent de Frank Tizzoni qui avec ses dessins est devenu incontournable à la conférence. Merci à Anisse Astier pour son live blog et sa capacité incroyable à retranscrire l'essentiel de cette conférence.
Chapeau bas à Erwan Velu pour ses lancers de micro, ses photos et son aide à l'organisation, et à Jean-Christophe Huwette pour nous permettre de proposer tous les ans un live stream impeccable et des vidéos pour tout le monde.
Enfin un grand merci à nos sponsors sans lesquels nous ne pourrions pas proposer depuis 12 ans cet événement à Paris, un événement qui reste abordable, convivial : Meta, AMD, Libre Computer, Collabora, Haproxy, Igalia, Jumptrading, Linux Foundation, Criteo R&D, Cyberzen, ANSSI, Linux Pratique.
Rendez-vous l'an prochain !
Commentaires : voir le flux Atom ouvrir dans le navigateur
Vous faites du pentest, de la recherche en sécu ou vous êtes juste un curieux qui aime bidouiller des environnements de test ? Dans ce cas, il faut absolument que vous vous montiez un lab cybersécurité ! Mais c’est vai que c’est souvent la galère… Y’a Active Directory à configurer, des VMs Windows à déployer, des réseaux isolés à créer, tout ça manuellement… Ça prend des heures, voire des jours. Heureusement, Ludus règle le problème ! Vous décrivez ce que vous voulez dans un fichier YAML, vous tapez une commande, et hop, votre lab est prêt.
Ludus , c’est donc un système d’automatisation open-source qui tourne sur Proxmox. Vous définissez votre environnement de test (ce qu’ils appellent un “range”) dans un fichier de config, et Ludus s’occupe de tout déployer. Active Directory, machines Windows avec Office et Chocolatey, réseaux isolés, firewall rules personnalisées, DNS interne… Tout ce qu’il faut pour un lab de red team, blue team ou purple team.
Le truc cool, c’est que Ludus utilise Packer et Ansible en arrière-plan. Les templates sont construits à partir d’ISOs vérifiées, et tout est déployé de manière reproductible. Comme ça si vous voulez 255 VLANs, pas de souci. Si vous avez besoin de règles firewall custom ou de définir rôles Ansible pour configurer vos machines, c’est fastoche. Bref, Ludus vous laisse faire du high-level en YAML tout en gérant la complexité technique pour vous.
L’isolation est également bien pensée. Vous pouvez couper vos VMs d’internet, prendre des snapshots avant de leur autoriser l’accès, et ne whitelister que les domaines ou IPs spécifiques dont vous avez besoin. Du coup, pas de télémétrie qui fuit, pas de mises à jour Windows qui cassent votre environnement de test. Vous contrôlez tout !
Pour l’accès, Ludus intègre un serveur WireGuard ce qui vous permettra de vous connecter depuis n’importe où via SSH, RDP, VNC ou KasmVNC. Pratique si vous voulez accéder à votre lab depuis l’extérieur sans exposer vos machines de test sur internet.
Techniquement, ça tourne uniquement sur Debian 12/13 avec Proxmox 8/9. Il vous faudra au minimum 32GB de RAM par range (environnement de test), 200GB de stockage initial plus 50GB par range supplémentaire, et un CPU x86_64 avec un score Passmark au-dessus de 6000. C’est des specs correctes, mais pas non plus délirant si vous montez un serveur dédié pour ça.
Après une fois que c’est en place, le workflow pour les utilisateurs est assez simple. Vous récupérez une clé API et une config WireGuard auprès de l’admin du serveur Ludus, vous installez le client Ludus, vous importez votre VPN, et vous pouvez gérer votre range via la ligne de commande.
Le projet est sous licence AGPLv3, donc full open-source et comme d’hab, le code est sur GitHub . C’est en train de devenir un outil de référence dans la communauté sécu pour qui veut des environnements de test reproductibles.
Bref, si vous en avez marre de passer des heures à configurer vos labs à la main, pensez à Ludus ! Un fichier YAML, une commande vite fait, et votre infrastructure de test est toute prête ! Après, vous pouvez toujours aller bidouiller manuellement dans Proxmox si besoin, Ludus ne vous en empêchera pas, mais pour le gros du boulot chiant, il automatisera tout.
Intéressant comme réflexion. J'ai beaucoup utilisé Hyper-V dans les PME par le passé.
Le combo Hyper-V + Veeam permet de faire tourner 2 VM "incluses" dans la version standard, ce qui n'est pas négligeable versus le coût d'une datacenter.
Bref, parfois il faut être pragmatique, comme dans ce cas d'usage.
Connexion