Les chercheurs en cybersécurité ont documenté un cadre de porte arrière basé sur Python qui mérite l'attention pour sa combinaison de sigil, de persistance et d'espionnage : connu dans les rapports comme NOS PORTES, est installé à partir d'un compte-gouttes en lot qui désactive les contrôles de sécurité et prend une charge utile dans le temps d'exécution Python intégré, ce qui réduit considérablement les signaux de fiançailles classiques sur le disque.
La technique d'intégration de l'implant dans le script d'installation et de reconstruction en mémoire est importante car elle transforme l'attaque en une opération à faible profil : moins d'appels à des infrastructures extérieures et moins d'objets que les défenseurs peuvent analyser après coup. Le composant Python fournit des fonctionnalités complètes de Remote Access Trojan, y compris l'exécution à distance, la capture des clés, la surveillance du presse-papiers, des captures d'écran, l'accès à la webcam et au microphone, et le vol d'identifications de navigateur, de clés SSH et d'identifications dans les nuages publics tels que AWS, GCP et Azure.
Un autre élément qui augmente le risque est l'utilisation de services publics d'écoute (dans ce cas, il est communiqué avec blue.pub) pour le canal de contrôle et de contrôle, qui permet à l'opérateur d'éviter la nécessité de sa propre infrastructure et d'avoir le trafic malveillant mélangé avec le trafic légitime. Dans le même temps, malware implémente plusieurs mécanismes de persistance - dossier de démarrage, Registry Exécuter les clés, les tâches programmées et les abonnements WMI - et même un mécanisme "watch dog" qui récite les artefacts s'ils sont supprimés, compliquant la restauration.
DEEP # DOOR intègre également une large gamme de techniques d'évitement et d'anti-analyse : détection de bacs à sable et de machines virtuelles, patching AMSI et ETW, NTDLL unhook, manipulation Microsoft Defender, contournement SmartScreen, suppression de métiers PowerShell, supprimé de la commande et de l'historique des timstamps et des enregistrements. Ces mesures visent réduire la visibilité médico-légale et rendent difficile la détection par des solutions traditionnelles et par des équipes d'intervention en cas d'incident.
Les implications pour les organisations et les professionnels sont claires : ces types de cadres renforcent la tendance vers des intrusions « sans fil » ou basées sur des scripts qui exploitent des composants système natifs et des langages interprétés comme Python, ce qui force les défenses à être adaptées au-delà de la simple numérisation de fichiers. Il est recommandé de cartographier ces techniques en fonction des cadres de référence tels que MITRE ATT & CK afin de prioriser les détections et les mesures d'atténuation efficaces. https: / / attack.mitre.org /.
En termes de mesures concrètes, il est essentiel de forcer les mécanismes à limiter l'exécution de scripts non gérés et binaires (AppLocker ou Windows Defender Application Control), pour activer et protéger les fonctions anti-tamper dans les produits de fin de produit (par exemple, la Protection de manipulation de Microsoft Defender disponible à Documentation Microsoft) et de mettre en place un enregistrement et une télémétrie obligatoires pour PowerShell et d'autres interprètes afin d'éviter la suppression de connexion. Au niveau du réseau, le contrôle et le blocage des services d'écoute connus et la restriction de l'écoulement par domaine/port réduisent la capacité de l'attaquant à établir C2.
Si vous soupçonnez un engagement, la réponse doit assumer l'accès persistant et l'exfiltration des pouvoirs: isoler l'équipement, préserver la mémoire volatile pour l'analyse, examiner les tâches programmées, Exécuter les clés, le dossier de démarrage et tout chien de garde qui recrée la persistance; les référentiels des pouvoirs d'audit, les clés SSH et les comptes cloud et envisager la rotation forcée des secrets et la révocation des clés/des pouvoirs affectés. Afin de comprendre l'étendue de l'intrusion et de resserrer la position, il convient de s'appuyer sur des spécialistes de l'IR et des contrôles EDR qui détectent les techniques d'accrochage/décollage et de télémétrie.
DEEP # DOOR est un rappel que les adversaires d'aujourd'hui priorisent l'évasion et la résilience opérationnelle sur la sophistication exotique : la combinaison de scripts osfusés, d'interprètes réguliers et de services de routage public crée une menace pratique et difficile à suivre. Une défense efficace exige l'application de principes classiques - moins de privilèges, segmentation du réseau, visibilité et contrôle d'exécution - mais adaptée à l'image moderne des menaces basées sur les scripts, ainsi que l'intégration d'une surveillance et d'une réponse continues soutenues par l'intelligence de la menace et de bonnes pratiques d'hygiène numérique.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...