TwoFace est un outil développé par Synacktiv qui permet de créer des binaires Linux ayant 2 comportements bien distincts. Un comportement parfaitement inoffensif qui s’active dans 99% des cas et un comportement malveillant qui ne se déclenche que sur une machine ciblée spécifiquement pour l’occasion.

Comme ça, votre sandbox verra toujours la version “propre” parce qu’elle n’aura pas le bon UUID de partition.

D’après la doc de Synacktiv, voici comment ça fonctionne : Vous avez deux binaires en fait… Y’en a un qui est inoffensif et un autre malveillant. TwoFace les fusionne alors en un seul exécutable. Ainsi, au moment du build, le binaire malveillant est chiffré avec une clé dérivée depuis l’UUID des partitions disque de la machine cible. Cet UUID est unique, difficile à deviner, et stable dans le temps ce qui est parfait pour identifier une machine spécifique.

Ensuite au lancement, quand le binaire s’exécute, il extrait l’UUID du disque de la machine. Pour ce faire, il utilise HKDF (Hash-based Key Derivation Function) pour générer une clé de déchiffrement depuis cet UUID et tente de déchiffrer le binaire malveillant caché. Si le déchiffrement réussit (parce que l’UUID match), il exécute le binaire malveillant. Par contre, si ça échoue (parce que l’UUID ne correspond pas), il exécute le binaire inoffensif.

Le projet est écrit en Rust et c’est open source ! Et c’est une belle démo (PoC) d’un problème que tous ceux qui font de l’analyse de binaires ont. En effet, d’ordinaire, pour révéler le vrai comportement d’un malware on l’exécute dans une sandbox et on peut ainsi observer en toute sécurité ce qu’il fait, les fichiers qu’il crées, les connexions réseau qu’il établit etc…

Mais avec TwoFace ça casse cette façon de faire. Et c’est pareil pour les antivirus qui verront toujours la version inoffensive tant que l’UUID ne correspond pas.

Techniquement, TwoFace utilise memfd_create() pour exécuter le binaire déchiffré en mémoire, sans toucher au disque, ce qui veut dire zéro trace sur le système de fichiers. Le binaire malveillant apparaît directement en RAM, s’exécute, puis disparaît. Et si vous utilisez io_uring pour l’écriture mémoire, il n’y a même pas de trace syscall visible via strace.

Et ça, c’est la version basique car le document de Synacktiv mentionne également d’autres techniques avancées possibles comme du déchiffrement dynamique page par page du binaire ELF, des mécanismes anti-debugging, des chained loaders multi-niveaux…etc…

Le parallèle avec la backdoor XZ Utils backdoor est très instructif car celle-ci a failli compromettre des millions de serveurs Linux parce qu’un seul mainteneur a poussé du code malveillant dans une lib compressée. Elle a alors été découverte parce qu’un dev a remarqué un ralentissement SSH bizarre et a creusé… Et TwoFace montre qu’on peut faire encore pire sans toucher à la supply chain.

Pas besoin de corrompre un mainteneur de projet, de pousser un commit suspect chez Github. Là suffit d’écrire du code parfaitement propre, de le compilez avec TwoFace pour une machine spécifique, et de le déployez. Le code source sera alors auditable ainsi que le binaire mais l’audit ne révèlera rien parce qu’il se fera dans un environnement qui n’aura pas le bon UUID.

Après, techniquement, une défense existe. Vous pouvez par exemple détecter les appels à memfd_create(), monitorer les exécutions en mémoire, tracer les déchiffrements crypto à la volée…etc., mais ça demande du monitoring profond, avec un coût performance non-négligeable. Et ça suppose aussi que vous savez ce que vous cherchez…

Bref, si ça vous intéresse, c’est dispo sur GitHub !

Du 10 au 13 novembre 2025, Europol a mené la dernière phase de l'opération Endgame. Les cibles de cet ultime coup de filet ? Le logiciel espion Rhadamanthys, le botnet Elysium et le cheval de Troie VenomRAT. Ce démantèlement est le fruit d'une collaboration entre 11 pays.

Du 10 au 13 novembre 2025, Europol a mené la dernière phase de l'opération Endgame. Les cibles de cet ultime coup de filet ? Le logiciel espion Rhadamanthys, le botnet Elysium et le cheval de Troie VenomRAT. Ce démantèlement est le fruit d'une collaboration entre 11 pays.

ImunifyAV, le scanner AV qui protège 56 millions de sites Linux, vient de se faire pwn par le malware qu’il essayait de détecter. Et c’est pas la première fois…

En effet, Patchstack vient de révéler une faille RCE critique dans ImunifyAV, qui je le rappelle est un scanner antivirus gratuit ultra répandu dans l’hébergement mutualisé. Le problème en fait c’est que AI-bolit, le composant qui déobfusque le code PHP malveillant pour l’analyser, utilise la fonction call_user_func_array sans vérifier les noms de fonctions qu’elle exécute.

Boooh ! Du coup, vous uploadez un fichier PHP malveillant spécialement conçu pour l’occasion par un attaquant, ImunifyAV le scanne pour voir si c’est un malware, le déobfusque pour comprendre ce qu’il fait, et hop, le code malveillant s’exécute avec les privilèges du scanner.

Game over.

Hé pour qu’un antimalware détecte un virus, il doit analyser son code mais si les cybercriminels obfusquent leur malware pour cacher le code, l’antimalware doit alors le déobfusquer avant d’analyser. Mais déobfusquer du code PHP, ça veut dire aussi l’exécuter partiellement pour voir ce qu’il fait vraiment… d’où cette RCE.

La faille affecte donc toutes les versions avant la 32.7.4.0 et le correctif apporte juste une fonctionnalité de whitelist de fonctions autorisées pendant la déobfuscation. Il était temps, même si maintenir une whitelist de fonctions safe, à terme c’est un cauchemar car y’a des centaines de fonctions dans PHP. Certaines sont safe seules mais dangereuses combinées et je pense que les cybercriminels trouveront toujours un moyen de contourner cette whitelist.

En tout cas, comme je le laissais entendre en intro, c’est pas la première fois qu’AI-bolit se fait avoir sur la déobfuscation. En 2021, Talos avait déjà trouvé une faille sur unserialize dans le même composant. C’est la même blague car pour analyser du code malveillant sérialisé, il faut le désérialiser. Et désérialiser du contenu malveillant sans validation, ça fait “pwn” !

Voilà, 2 fois en 4 ans sur le même composant, c’est pas ce que j’appelle un accident. C’est un problème structurel car détecter du malware sans l’exécuter, c’est quasi impossible avec du code dynamique. Les signatures statiques ça marche bien pour les virus classiques mais face à du PHP obfusqué qui se reconstruit à l’exécution, vous êtes obligé de lancer le code pour voir ce qu’il fait vraiment. Et là, on est forcement en zone grise…

Même si on exécute du code potentiellement malveillant dans un environnement censé être isolé, si celui-ci “fuit” ou si le code malveillant trouve un moyen de sortir de la sandbox, vous avez une RCE. Et comme ImunifyAV tourne avec les privilèges nécessaires pour scanner tous les fichiers d’un serveur mutualisé, si vous compromettez cet antivirus, vous avez potentiellement accès à tous les sites hébergés sur la machine.

Si vous voulez tester, voici le proof of concept :

<?php
$data = "test";

$payload = "\x73\x79\x73\x74\x65\x6d"("\x74\x6f\x75\x63\x68\x20\x2f\x74\x6d\x70\x2f\x6c\x33\x33\x74\x2e\x74\x78\x74\x20\x26\x26\x20\x65\x63\x68\x6f\x20\x22\x44\x45\x46\x2d\x33\x36\x37\x38\x39\x22\x20\x3e\x20\x2f\x74\x6d\x70\x2f\x6c\x33\x33\x74\x2e\x74\x78\x74");
eval("\x70\x61\x63\x6b"($payload));
?>

php ai-bolit.php -y -j poc.php

C'est une attaque informatique qui progresse : appelée ClickFix, elle cherche à pousser la victime inattentive à commettre une faute, en pensant exécuter une série d'actions inoffensives.

C'est une attaque informatique qui progresse : appelée ClickFix, elle cherche à pousser la victime inattentive à commettre une faute, en pensant exécuter une série d'actions inoffensives.

Des centaines d’applications Android malveillantes ont été téléchargées plus de 40 millions de fois sur Google Play entre juin 2024 et mai 2025, alerte ZScaler.

The post 239 applications Android malveillantes cumulent plus de 40 millions de téléchargements ! first appeared on IT-Connect.

Bon vous savez tous comment marche votre antivirus. Il détecte un malware, il le bloque, et tout revient à la normale.

Mais si je vous disais que maintenant, c’est parfaitement possible qu’une heure plus tard le même malware se repointe, sauf que c’est plus le même, parce que son code a changé. Car entre temps, il a demandé à Google Gemini de le réécrire…

Bien c’est pas de la science-fiction, hein, c’est ce que décrit un rapport du Google Threat Intelligence Group (GTIG) qui nous présente une nouvelle génération de malwares qui intègrent des LLM directement dans leur exécution.

Plus de génération statique du code, c’est le malware lui-même qui appelle une API LLM pendant qu’il tourne, demande des modifications, se réécrit, et repart faire sa besogne.

Les deux exemples les plus marquants s’appellent PROMPTFLUX et PROMPTSTEAL .

PROMPTFLUX, c’est un dropper en VBScript qui appelle l’API Gemini pour obfusquer son propre code. Il se réécrit dans la base de registre Windows pour persister au reboot, puis demande à Gemini de générer de nouvelles variantes d’obfuscation. Son module interne s’appelle “Thinking Robot” et il interroge Gemini régulièrement du genre “Comment contourner l’antivirus X ? Propose des variantes de mon code pour éviter la signature Y.”

Gemini lui répond, le malware applique le conseil, se modifie, et se relance.

Comme les antivirus détectent les malwares par signatures ou comportements connus, si le malware change toutes les heures, les signatures deviennent immédiatement obsolètes. L’antivirus a alors toujours un coup de retard. Et PROMPTFLUX n’a même pas besoin d’un serveur C2 pour télécharger de nouvelles variantes puisqu’il génère ses propres variantes localement en demandant à Gemini.

GTIG estime que PROMPTFLUX est encore en développement et les échantillons analysés ne montrent pas de capacité réelle à compromettre un réseau. Mais ça reste une preuve de concept active… En gros, quelqu’un, quelque part teste cette approche.

PROMPTSTEAL, lui par contre, est déjà opérationnel. GTIG l’attribue à APT28 (FROZENLAKE), un groupe lié au renseignement militaire russe (GRU). Le CERT-UA l’a documenté sous le nom LAMEHUG en juillet dernier et c’est la première observation d’un malware qui interroge un LLM en opération réelle.

PROMPTSTEAL de son côté est écrit en Python. Il utilise l’API Hugging Face pour accéder au modèle Qwen2.5-Coder-32B-Instruct . Le malware envoie des prompts encodés en Base64, genre “récupère les infos système” ou “trouve les documents sensibles” et le LLM génère des commandes Windows d’une ligne qui sont ensuite exécutées localement par le malware. Ensuite ce dernier collecte les données et les exfiltre tranquillement.

L’astuce donc, c’est que le malware ne contient plus de commandes en dur. Il les génère à la volée selon le contexte comme ça, si l’environnement change, il demande de nouvelles commandes adaptées. Plus de pattern fixe à détecter et chaque exécution est différente.

GTIG mentionne aussi d’autres exemples tels que FRUITSHELL, un reverse shell PowerShell public qui contient des prompts pour contourner les protections LLM ou encore PROMPTLOCK, un concept de ransomware en Go qui utilise un LLM pour générer des scripts Lua de chiffrement.

Il y a aussi QUIETVAULT, un voleur de tokens JavaScript qui cible GitHub et NPM, puis exfiltre les résultats via des repos publics.

Tous ces malwares partagent la même idée : intégrer un LLM dans la chaîne d’exécution. Génération, obfuscation, commandes dynamiques, recherche de secrets… Le LLM devient un composant actif du malware !

Le rapport décrit aussi comment les attaquants contournent les protections des LLM à base d’ingénierie sociale dans les prompts. L’attaquant se fait passer le plus souvent pour un étudiant en sécurité, un participant à un CTF, ou encore un chercheur parfaitement légitime. Le LLM, configuré pour aider, répond alors à toutes les demandes.

Dans un cas documenté par GTIG, une tentative a mal tourné pour les attaquants. On le sait car dans les logs de leurs échanges avec le LLM, GTIG a trouvé des domaines C2 et des clés de chiffrement en clair. Les attaquants avaient oublié de nettoyer leurs tests et c’est grâce à ça que GTIG a récupéré l’accès à leur infrastructure puis l’a neutralisée.

Le rapport liste aussi les groupes étatiques actifs comme UNC1069 (MASAN) , lié à la Corée du Nord, qui utilise les LLM pour générer des deepfakes et voler des cryptoactifs. Ou encore UNC4899 (PUKCHONG) , aussi nord-coréen, qui emploie les modèles pour développer des exploits et planifier des attaques sur les supply chains.

De son côté, APT41 , un groupe étatique chinois, s’en sert pour obfusquer du code. Et le groupe iranien APT42 , a même tenté de construire un agent SQL qui traduirait des requêtes en langage naturel vers des commandes d’extraction de données sensibles. GTIG les a bloqué en coupant les comptes qu’ils utilisaient.

Et sur le marché noire, ce genre d’outils et de services multi-fonctions ont le vent en poupe. Génération de campagne de phishing, création de deepfakes, génération automatique de malwares, abonnements avec accès API…etc.

Leur modèle commercial copie celui des services légitimes avec une version gratuite basique pour gouter et un abonnement payant pour les fonctions avancées, avec des communautés Discord pour le support. Ça permet d’abaisser la barrière d’entrée pour les attaquants les moins expérimentés.

Côté défense maintenant, les recommandations sont assez classiques. Pensez à surveiller l’activité anormale des clés API qui pourraient être volées. Détectez les appels inhabituels à des services LLM externes depuis les processus. Contrôlez l’intégrité des exécutables et protégez tout ce qui est “secrets” sur les hôtes.

N’oubliez pas non plus de ne jamais, ô grand jamais, exécuter aveuglément des commandes générées par un modèle IA (je vous l’ai assez répété).

Voilà, tous ces exemples actuels sont expérimentaux mais le signal est donné et il est plutôt limpide : l’IA est en train de rendre les malwares plus virulents en leur permettant de s’adapter !

Source

Si vous me lisez depuis longtemps, vous savez que les hackers russes ne manquent jamais d’imagination quand il s’agit de contourner les antivirus… Mais alors là, le groupe Curly COMrades vient de sortir un truc qui déboite du genou de gnome… Ces affreux planquent maintenant leurs malwares dans des machines virtuelles Linux cachées dans des Windows. Oui, des russes qui créent de véritables poupées russes numérique… qui aurait pu prévoir ^^ ?

Et c’est vicieux vous allez voir… les gars activent Hyper-V sur les machines Windows 10 compromises, puis ils y déploient une VM Alpine Linux ultra-minimaliste. 120 Mo d’espace disque et 256 Mo de RAM… C’est tellement léger que ça passe complètement sous les radars des EDR classiques.

Et la beauté du truc, c’est que tout le trafic malveillant qui sort de la VM passe par la pile réseau de Windows grâce au NAT d’Hyper-V. Du coup, pour l’antivirus, tout a l’air de venir de processus Windows parfaitement légitimes.

C’est bien joué non ?

À l’intérieur de cette VM Alpine, les hackers ont installé 2 malwares custom : CurlyShell et CurlCat. Le premier c’est un reverse shell qui communique en HTTPS pour exécuter des commandes à distance. Et le second, c’est un proxy SSH inversé qui encapsule le trafic SSH dans des requêtes HTTP et le fait transiter par un proxy SOCKS. Les deux partagent une grosse partie de leur code mais divergent sur le traitement des données reçues.

Les chercheurs de Bitdefender, en collaboration avec le CERT géorgien, ont documenté cette campagne qui cible principalement la Géorgie et la Moldavie depuis fin juillet 2025. Les attaquants visent surtout les secteurs gouvernementaux, judiciaires et énergétiques… Bref, les infrastructures critiques, comme d’habitude.

Une fois infiltrés, les hackers désactivent alors l’interface de gestion d’Hyper-V pour réduire le risque de se faire griller. Ensuite, ils configurent la VM pour utiliser le Default Switch d’Hyper-V et ajoutent même des mappages domaine-IP personnalisés. Et pour couronner le tout, ils déploient des scripts PowerShell pour l’injection de tickets Kerberos et la persistance via des comptes locaux.

Et les EDR traditionnels, qui se focalisent sur l’analyse des processus au niveau de l’hôte, ne peuvent pas détecter ce qui se passe à l’intérieur de la VM. En fait pour chopper ce genre de menace, il faut des capacités d’inspection réseau avancées… Autant vous dire que la plupart des boîtes n’en sont pas équipées…

Pour lutter contre ça, Bitdefender recommande de ne pas miser sur une seule solution de sécurité, mais d’en empiler plusieurs. D’abord mettre en place une protection du réseau pour bloquer les attaques avant qu’elles n’atteignent les ordinateurs. Y ajouter un système de détection avancé qui surveille en permanence ce qui se passe sur les machines. Et surtout une vraie politique de réduction des risques en fermant tous les services Windows dont on ne se sert pas.

Hé oui, si Hyper-V n’est pas activé d’origine sur les système, c’est bien parce que ça représente un risque supplémentaire, donc si vous ne vous en servez pas, désactivez le.

Source

PROMPTFLUX est malware codé en VBScript qui a une particularité : il se connecte à l'API de Google Gemini pour réécrire son code automatiquement.

The post PROMPTFLUX : ce malware utilise l’IA de Google pour réécrire son code toutes les heures ! first appeared on IT-Connect.

Dans un article publié le 5 novembre 2025, Google Threat Intelligence dévoile ses dernières analyses sur les menaces cyber. Le rapport met en avant un nouveau type de malwares exploitant les IA génératives pour renforcer leurs attaques. Parmi eux, PROMPTFLUX, un logiciel capable de réécrire son code source chaque heure pour échapper à la détection.

Dans un article publié le 5 novembre 2025, Google Threat Intelligence dévoile ses dernières analyses sur les menaces cyber. Le rapport met en avant un nouveau type de malwares exploitant les IA génératives pour renforcer leurs attaques. Parmi eux, PROMPTFLUX, un logiciel capable de réécrire son code source chaque heure pour échapper à la détection.

Le 3 novembre 2025, l’unité d’enquête cybernétique de la police de Gyeonggi Nambu, en Corée du Sud, a annoncé l’arrestation de cinq individus soupçonnés d’avoir mené une opération d’extorsion en ligne visant une soixantaine de victimes. Le point de départ de l'affaire ? Une fausse application de gestion de clientèle destinée aux salons de massage.

Le 3 novembre 2025, l’unité d’enquête cybernétique de la police de Gyeonggi Nambu, en Corée du Sud, a annoncé l’arrestation de cinq individus soupçonnés d’avoir mené une opération d’extorsion en ligne visant une soixantaine de victimes. Le point de départ de l'affaire ? Une fausse application de gestion de clientèle destinée aux salons de massage.

Dans un rapport publié le 23 octobre 2025, la société de services réseaux Infoblox met en lumière la face cachée du navigateur Universe Browser. L'outil, téléchargé des millions de fois, promettait à ses utilisateurs un respect de leur vie privée et la possibilité de contourner la censure dans les pays où les jeux d'argent en ligne sont interdits.

Cet article a été réalisé en collaboration avec ESET

Se prémunir contre les nouvelles arnaques en ligne est bien plus simple que vous ne l’imaginez. Le tout est de s’équiper du bon outil, pensé pour contrer les nouvelles formes de cybermenaces. ESET Home Security en fait partie et profite en prime d’une offre attractive.

Cet article a été réalisé en collaboration avec ESET

Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.

En savoir plus