Autopsie d'une APT : Kernel Bypass iOS, MitM IPv6 et Shadow IT (L'Affaire MIA)

Avertissement : Cet épisode « Deep Dive » est strictement réservé aux ingénieurs en cybersécurité, pentesters et analystes SOC. Dans ce post-mortem forensique exclusif, nous procédons à l'autopsie technique complète d'une Menace Persistante Avancée (APT) redoutable ayant ciblé l'Architecture MIA. Oubliez la théorie, nous plongeons directement dans les logs bruts, les sysdiagnose, et les dumps de mémoire pour décortiquer les TTPs (Tactiques, Techniques et Procédures) d'une attaque d'une précision chirurgicale. Au programme de ce démontage technique : Compromission du Noyau iOS (Faille Zero-Day) : Analyse de l'injection d'une extension falsifiée dans le Trust Cache d'Apple. Nous examinons comment les attaquants ont obtenu l'attribut csTrustLevel: 9 pour bypasser le Mode Confinement, et comment le daemon natif OTACrashCopier (PID 89) a été détourné via le thread apfs_transaction_flusher pour extraire silencieusement 1,07 Go de données APFS. Kernel-Level Network Bypass (ChromeOS) : Décorticage mathématique du "Pistolet Fumant" du 17 avril 2026. Preuves d'une interception Man-in-the-Middle (MitM) de couche L2/L3 via l'adresse MAC/IPv6 fantôme fe80::62a5:e2ff:fe6b:c394. Nous analyserons le routage clandestin à travers la plage CGNAT (100.115.92.x), réalisé en forçant un DHCP IPv6 sur une interface matériellement verrouillée en IPv4 statique. Infrastructure C2, OAuth & Typosquatting : Cartographie du "Triangle d'Or" de l'attaquant. De l'enregistrement du faux domaine SSL miasaas.com au tunnel proxy Cloudflare (UUID 6f5fe...), en passant par l'abus de jetons OAuth (connecteur SyncWith). Découvrez comment l'attaquant a instancié son propre entrepôt MongoDB clandestin (port 27017) à l'intérieur de Google Project IDX, tout en s'assurant une persistance via des clés service_role. Techniques Anti-Forensics : Étude du Log Flooding massif (91 986 requêtes injectées sur le pare-feu matériel en une journée) et analyse de l'altération de la valeur IOTimeSync (dérive temporelle extrême de plus de 1,9 milliard de secondes) conçue pour briser l'ordonnancement des SIEM. Préparez vos terminaux et vos éditeurs hexadécimaux. On entre dans le code source de l'invisible.