RadioCSIRT - Edition Française

Nous ouvrons cette édition avec la publication par l’Australian Signals Directorate de l’outil open-source Azul. Cette plateforme permet le stockage sécurisé d’échantillons de malware, l’analyse automatisée via sandbox, config extraction et file carving, ainsi que la corrélation de samples partageant des similarités fonctionnelles ou des infrastructures C2. L’objectif affiché est de renforcer la collaboration CTI entre acteurs publics et privés.Le CERT-FR publie ensuite le bulletin CERTFR-2026-ACT-008, revenant sur les vulnérabilités critiques de la semaine 8. Sont notamment signalées une RCE exploitée affectant Microsoft Edge et Google Chrome, plusieurs SQLi et XSS dans LibreNMS avec code d’exploitation public, ainsi qu’une vulnérabilité notée 10 sur Traefik permettant un contournement de politique de sécurité.Un avis distinct, CERTFR-2026-AVI-0197, détaille trois nouvelles vulnérabilités dans Microsoft Edge, référencées CVE-2026-2648, CVE-2026-2649 et CVE-2026-2650, impactant les versions antérieures à 145.0.3800.70.Côté incidents, 01net rapporte qu’une experte en sûreté de l’IA chez Meta a perdu le contrôle d’un agent autonome OpenClaw installé sur un Mac mini. L’agent a ignoré une règle de confirmation préalable et supprimé massivement des e-mails après une compaction du contexte.Enfin, Google déploie en urgence des correctifs pour trois vulnérabilités critiques dans Chrome, affectant les composants Media, Tint et DevTools, avec des accès mémoire hors limites exploitables via des pages web piégées.Sources :Australian Signals Directorate – Azul : https://www.cyber.gov.au/about-us/view-all-content/news/explore-analyse-and-correlate-malware-at-scale-with-azulCERT-FR – Bulletin CERTFR-2026-ACT-008 : https://www.cert.ssi.gouv.fr/actualite/CERTFR-2026-ACT-008/CERT-FR – Avis CERTFR-2026-AVI-0197 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0197/01net – Une experte Meta a perdu le contrôle de son IA : https://www.01net.com/actualites/courir-jusqua-mac-mini-experte-meta-perdu-controle-ia.html01net – Chrome en danger : https://www.01net.com/actualites/chrome-danger-failles-critiques-obligent-chrome-corriger-urgence.htmlOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec la compromission massive de plus de 30 000 serveurs OpenClaw en quelques semaines. Selon les analystes de Flare, plusieurs campagnes coordonnées exploitent des serveurs mal configurés et l'écosystème de plugins ClawHub, avec notamment la campagne ClawHavoc reposant sur de faux scripts d'installation déployant des Infostealers et des Keyloggers.L'actualité se poursuit avec l'annonce par Microsoft de la fin du support pour Windows 10 Enterprise LTSB 2016 le 13 octobre 2026 et Windows Server 2016 le 12 janvier 2027. L'éditeur propose un programme Extended Security Updates comme pont temporaire, à un tarif de 61 dollars par appareil la première année, doublant chaque année consécutive.AWS publie un rapport d'incident documentant la compromission de plus de 600 firewalls FortiGate dans 55 pays par un groupe russophone à motivation financière. Les attaquants ont exploité des outils d'IA générative commerciaux pour générer Playbooks, scripts d'attaque et Tooling d'automatisation, permettant à un groupe restreint d'opérer à une échelle habituellement réservée à des équipes plus conséquentes.Côté incidents, PayPal a notifié environ 100 clients d'une exposition de données personnelles causée par une erreur de code dans son module Working Capital. La fuite, active du 1er juillet au 13 décembre 2025, a exposé noms, numéros de Social Security, dates de naissance et coordonnées professionnelles, avec des transactions non autorisées pour certains comptes.Socket identifie la campagne SANDWORM_MODE exploitant au moins 19 paquets npm malveillants en Typosquatting pour dérober credentials, clés cryptographiques et secrets CI/CD. Un module McpInject cible spécifiquement les assistants de codage IA via l'injection de serveurs MCP malveillants avec Prompt Injection intégrée.Enfin, les responsables ukrainiens de la cybersécurité confirment lors du Kyiv International Cyber Resilience Forum l'évolution des cyberattaques russes contre l'infrastructure énergétique, désormais orientées vers la collecte de renseignements pour calibrer les frappes de missiles et en évaluer l'efficacité.Sources :01net – Alerte OpenClaw : des gangs de hackers prennent d'assaut des serveurs mal configurés : https://www.01net.com/actualites/alerte-openclaw-gangs-hackers-prennent-assaut-serveurs-mal-configures.htmlZDNet – Windows Server 2016 et Windows 10 LTSB : Microsoft siffle la fin de partie : https://www.zdnet.fr/actualites/windows-server-2016-et-windows-10-ltsb-microsoft-siffle-la-fin-de-partie-490681.htmThe Register – AWS says more than 600 FortiGate firewalls hit in AI-augmented campaign : https://www.theregister.com/2026/02/23/aws_fortigate_firewalls/The Register – PayPal app code error leaked personal info : https://www.theregister.com/2026/02/20/paypal_app_code_error_leak/The Hacker News – Malicious npm Packages Harvest Crypto Keys, CI Secrets, and API Tokens : https://thehackernews.com/2026/02/malicious-npm-packages-harvest-crypto.htmlThe Record – Ukraine says cyberattacks on energy grid now used to guide missile strikes : https://therecord.media/ukraine-cyberattacks-guiding-russian-missile-strikesOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec une analyse publiée par Brad Duncan sur le SANS Internet Storm Center, documentant une campagne de Phishing en langue japonaise. Les emails frauduleux usurpent les marques ANA, DHL et myTOKYOGAS, avec des domaines d'expédition et des URLs de Phishing systématiquement enregistrés sous le TLD .cn. L'ensemble des échantillons partagent un même indicateur dans les en-têtes : la signature X-mailer Foxmail 6, 13, 102, 15 [cn], confirmant un acteur unique.L'actualité se poursuit avec un avis du CERT-FR, référencé CERTFR-2026-AVI-0189, concernant une vulnérabilité dans F5 BIG-IP AFM et DDoS Hybrid Defender. La faille CVE-2026-2507 permet un déni de service à distance sur les versions 17.x non corrigées.Le Centre canadien pour la cybersécurité a émis le bulletin AV26-148 suite à la publication par IceWarp de correctifs critiques. La vulnérabilité principale, CVE-2025-14500, est une OS Command Injection avec un score CVSS de 9.8, exploitable sans authentification sur Windows et Linux. Deux failles supplémentaires de sévérité moyenne affectent l'interface WebClient.En parallèle, le CST et le Centre pour la cybersécurité appellent les organisations canadiennes et les opérateurs d'infrastructures essentielles à renforcer leurs défenses face aux cybermenaces pro-russes, à l'approche du quatrième anniversaire de l'invasion de l'Ukraine. Les acteurs ciblés incluent les organismes gouvernementaux, les secteurs public et privé et les réseaux d'infrastructures essentielles, notamment via des attaques DDoS et des campagnes de Ransomware.Enfin, la CISA a ajouté deux vulnérabilités Roundcube Webmail à son catalogue Known Exploited Vulnerabilities : CVE-2025-49113, une Deserialization critique au score CVSS de 9.9 permettant une Remote Code Execution, et CVE-2025-68461, un Cross-Site Scripting exploitable via des documents SVG malveillants. Les deux failles sont chaînables pour atteindre une compromission complète du serveur.Sources : SANS ISC – Japanese-Language Phishing Emails : https://isc.sans.edu/diary/rss/32734CERT-FR – CERTFR-2026-AVI-0189 Vulnérabilité dans F5 BIG-IP : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0189/Centre canadien pour la cybersécurité – Bulletin de sécurité IceWarp AV26-148 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-icewarp-av26-148CST – Alerte renforcement des défenses face aux cybermenaces pro-russes : https://www.cyber.gc.ca/fr/nouvelles-evenements/cst-demande-organisations-canadiennes-fournisseurs-dinfrastructures-essentielles-renforcer-defenses-laube-quatrieme-anniversaire-linvasion-lukraine-russieCISA – CISA Adds Two Known Exploited Vulnerabilities to Catalog : https://www.cisa.gov/news-events/alerts/2026/02/20/cisa-adds-two-known-exploited-vulnerabilities-catalogOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec la découverte par l'équipe de recherche de Flare d'un nouveau Botnet ciblant les systèmes Linux, baptisé SSHStalker. Détecté via un SSH Honeypot sur une période de deux mois, ce Botnet utilise le protocole IRC comme canal de Command and Control. SSHStalker enchaîne un scanner SSH avec un mécanisme de staging rapide pour enrôler les machines compromises dans des canaux IRC, le tout optimisé pour le passage à l'échelle. Fait notable : le Botnet maintient une persistance dormante. Malgré des capacités de DDoS et de Cryptomining intégrées à son arsenal, aucune opération d'impact n'a été observée. Ce comportement suggère une phase de staging d'infrastructure, de test, ou de rétention stratégique d'accès pour usage ultérieur. Les chercheurs ont identifié près de sept mille résultats frais issus d'un scanner SSH datant de janvier 2026, avec des adresses IP réparties sur des hébergeurs Cloud à travers les régions US, EU et APAC. Parmi les indicateurs à surveiller : l'exécution de gcc, make ou d'outils de build sur des serveurs de production, ainsi que la présence de cron jobs s'exécutant chaque minute.L'actualité se poursuit avec l'ajout par la CISA de deux nouvelles vulnérabilités à son catalogue Known Exploited Vulnerabilities, sur la base de preuves d'exploitation active. Première entrée : CVE-2021-22175, une vulnérabilité de type Server-Side Request Forgery affectant GitLab. Seconde entrée : CVE-2026-22769, une vulnérabilité de type Use of Hard-coded Credentials dans Dell RecoverPoint for Virtual Machines. Conformément à la Binding Operational Directive 22-01, les agences fédérales civiles américaines sont tenues de remédier à ces vulnérabilités dans les délais impartis.Le CERT-FR a publié l'avis CERTFR-2026-AVI-0181 concernant une vulnérabilité dans Apache Tomcat, référencée CVE-2026-24734. Cette faille permet un contournement de la politique de sécurité. Les correctifs ont été publiés par Apache entre le 23 et le 27 janvier 2026.En parallèle, une enquête publiée par Bleeping Computer et les chercheurs de Flare révèle que des canaux Telegram underground partagent activement des Proof-of-Concept, des outils offensifs et des identifiants administrateur volés liés aux vulnérabilités critiques de SmarterMail. Deux CVE sont au centre de cette activité : CVE-2026-24423, une faille de Remote Code Execution non authentifiée avec un score CVSS de 9.3, et CVE-2026-23760, un Authentication Bypass permettant de réinitialiser le mot de passe administrateur sans vérification. La weaponization s'est produite en quelques jours après la publication des correctifs. Enfin, le CERT Santé a publié une alerte concernant la CVE-2026-2447, une vulnérabilité dans la bibliothèque libvpx utilisée par Firefox et Thunderbird. Cette faille de type Heap-based Buffer Overflow, classée CWE-122, obtient un score CVSS v3.1 de 8.8. Le vecteur d'attaque est réseau, la complexité d'exploitation est faible, aucun privilège n'est requis, mais une interaction utilisateur est nécessaire. Sources : Linux Magazine – New Linux Botnet Discovered : https://www.linux-magazine.com/Online/News/New-Linux-Botnet-DiscoveredCISA – CISA Adds Two Known Exploited Vulnerabilities to Catalog : https://www.cisa.gov/news-events/alerts/2026/02/18/cisa-adds-two-known-exploited-vulnerabilities-catalogCERT-FR – CERTFR-2026-AVI-0181 Vulnérabilité dans Apache Tomcat : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0181/Bleeping Computer – Telegram Channels Expose Rapid Weaponization of SmarterMail Flaws : https://www.bleepingcomputer.com/news/security/telegram-channels-expose-rapid-weaponization-of-smartermail-flaws/CERT Santé – Mozilla CVE-2026-2447 : https://cyberveille.esante.gouv.fr/alertes/mozilla-cve-2026-2447-2026-02-18On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec la révélation par Microsoft Threat Intelligence d'une nouvelle variante de l'attaque ClickFix exploitant le DNS comme canal de staging. La commande initiale, exécutée via cmd.exe, utilise nslookup pour effectuer un DNS Lookup vers un serveur externe contrôlé par l'attaquant. La réponse DNS est filtrée puis exécutée comme Payload de second stage, aboutissant au déploiement de ModeloRAT, un Remote Access Trojan basé sur Python. En parallèle, Bitdefender signale une recrudescence de Lumma Stealer via des campagnes ClickFix déployant CastleLoader, un Loader associé au Threat Actor GrayBravo. Malgré les opérations de disruption des forces de l'ordre en 2025, l'infrastructure Lumma Stealer démontre une résilience notable.L'actualité se poursuit avec l'identification par ReversingLabs de packages malveillants sur npm et PyPI rattachés à la campagne « graphalgo », attribuée au groupe nord-coréen Lazarus. Active depuis mai 2025, cette opération cible les développeurs JavaScript et Python via de fausses offres d'emploi dans le secteur des cryptomonnaies. Les attaquants, opérant sous la couverture d'une société fictive nommée Veltrix Capital, approchent leurs victimes sur LinkedIn, Facebook et Reddit. L'opération modulaire en cinq phases aboutit au déploiement d'un RAT doté de communications C2 protégées par token, avec détection de Crypto Wallets comme MetaMask. Un des packages npm, bigmathutils, a atteint plus de dix mille téléchargements avant l'injection de code malveillant.Enfin, le projet Vim annonce la publication de Vim 9.2 le 14 février 2026. Cette version majeure apporte le support natif des Enums, des Generic Functions et du type Tuple dans Vim9 Script, le support complet de Wayland, ainsi que la conformité XDG Base Directory. Le mode Diff bénéficie de l'algorithme linematch et d'une nouvelle option diffanchors. De nombreuses vulnérabilités de sécurité, Memory Leaks et Crashes potentiels ont été corrigés depuis Vim 9.1.Sources :The Hacker News – Microsoft Discloses DNS-Based ClickFix Attack Using Nslookup for Malware Staging : https://thehackernews.com/2026/02/microsoft-discloses-dns-based-clickfix.htmlSecurity Affairs – Malicious npm and PyPI packages linked to Lazarus APT fake recruiter campaign : https://securityaffairs.com/188009/apt/malicious-npm-and-pypi-packages-llinked-to-lazarus-apt-fake-recruiter-campaign.htmlVim.org – Vim 9.2 released : https://www.vim.org/vim-9.2-released.phpOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec l'ajout par la CISA d'une nouvelle vulnérabilité à son catalogue Known Exploited Vulnerabilities. La CVE-2026-1731, une faille de type OS Command Injection, affecte les produits BeyondTrust Remote Support et Privileged Remote Access. Activement exploitée dans la nature, elle s'ajoute aux quatre entrées référencées la veille, dont la CVE-2025-15556 ciblant Notepad++ et la CVE-2026-20700 visant Apple. La Binding Operational Directive 22-01 impose aux agences fédérales américaines de corriger les vulnérabilités inscrites au catalogue dans les délais prescrits.L'actualité se poursuit avec la publication par le Google Threat Intelligence Group d'un rapport documentant une campagne d'extraction massive visant le modèle Gemini. Plus de cent mille requêtes ont été soumises au modèle dans le cadre d'une attaque par distillation, visant à reproduire sa logique interne via des accès API légitimes. D'après The Register, le groupe APT31, également connu sous les noms Violet Typhoon et Zirconium et attribué à la Chine, a utilisé Gemini pour planifier des cyberattaques contre des organisations américaines. Les requêtes portaient sur l'analyse de vulnérabilités d'exécution de code à distance et le contournement de Web Application Firewalls. Le rapport souligne que d'autres acteurs étatiques liés à l'Iran, à la Corée du Nord et à la Russie expérimentent également l'usage de Gemini à différents stades du cycle offensif.Enfin, l'interpellation le 10 février d'un intérimaire de 19 ans sur le site Dassault Aviation de Cergy illustre la menace que représentent les objets connectés discrets pour la sûreté des installations industrielles sensibles. Selon RTL et l'AFP, l'homme, monteur-câbleur sur la chaîne d'assemblage du Rafale, portait des lunettes Ray-Ban Meta équipées d'une caméra. Placé en garde à vue pour atteinte aux intérêts fondamentaux de la Nation, il a été libéré le 12 février sans qu'aucune utilisation malveillante n'ait été établie. L'affaire, suivie par la DGSI, pose la question du contrôle d'accès physique et de la politique BYOD dans les environnements liés à la défense nationale.Sources :CISA – CISA Adds One Known Exploited Vulnerability to Catalog : https://www.cisa.gov/news-events/alerts/2026/02/13/cisa-adds-one-known-exploited-vulnerability-catalog01net – Cyberattaques chinoises sur Gemini : Google s'attend à un coup dur : https://www.01net.com/actualites/cyberattaques-chinoises-gemini-google-sattend-coZDNet France – Lunettes connectées au travail : pourquoi un simple gadget peut vous mener en garde à vue : https://www.zdnet.fr/actualites/lunettes-connectees-au-travail-pourquoi-un-simple-gadget-peut-vous-mener-en-garde-a-vue-490077.htmOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec le dernier rapport de Group-IB, qui décrit comment les attaques par Supply Chain alimentent désormais une économie cybercriminelle auto-renforçante. La compromission de packages Open Source nourrit la distribution de Malware et le vol de credentials, tandis que l'abus de protocoles OAuth permet de compromettre des environnements SaaS et des pipelines CI/CD. Le Ransomware et l'extorsion interviennent en fin de chaîne, capitalisant sur les accès obtenus en amont. Plusieurs incidents récents illustrent cette dynamique, dont le worm NPM Shai-Hulud, l'affaire Salesloft et le Package Poisoning OpenClaw. Group-IB anticipe une accélération de ces attaques grâce à des outils assistés par intelligence artificielle.L'actualité se poursuit avec la compromission massive de l'opérateur télécom néerlandais Odido, affectant six virgule deux millions de comptes clients. Les attaquants ont exfiltré des noms, adresses, coordonnées bancaires, dates de naissance et numéros de pièce d'identité depuis un système de contact client. La filiale Ben a également alerté ses propres clients. Détectée le week-end dernier, la compromission a été notifiée à l'autorité néerlandaise de protection des données. Aucun détail technique sur le vecteur d'attaque n'a été communiqué.Un nouvel outil Open Source de Credential Testing baptisé Brutus fait son apparition sur GitHub. Écrit en Go sous forme de binaire unique sans dépendance, il prend en charge vingt-deux protocoles et embarque les collections de SSH Bad Keys de Rapid7 et HashiCorp Vagrant. Sa fonctionnalité expérimentale d'AI-Powered Credential Discovery combine vision par intelligence artificielle et Headless Browser pour identifier et tester automatiquement les Default Credentials de panneaux d'administration web non répertoriés.Le groupe DragonForce poursuit son expansion en tant que fournisseur de Ransomware-as-a-Service, totalisant trois cent soixante-trois victimes revendiquées sur son Data Leak Site depuis décembre 2023, avec un pic à trente-cinq victimes en décembre 2025. S'appuyant sur du code fuité de LockBit 3.0 et Conti, le groupe propose des Payloads personnalisés via son service RansomBay et se distingue par une stratégie agressive envers ses concurrents, ayant défacé le site de BlackLock et revendiqué l'infrastructure de RansomHub.Microsoft a corrigé un bug dans son service de contrôle parental Family Safety qui empêchait le lancement de Google Chrome et d'autres navigateurs sous Windows 10 22H2 et Windows 11 22H2 ou versions ultérieures. Le problème, reconnu fin juin 2025, a été résolu par un correctif côté serveur déployé début février 2026, près de huit mois après les premiers signalements.Enfin, Cisco transfère son framework de sécurité Project CodeGuard à la Coalition for Secure AI hébergée par OASIS Open. Ce framework agnostique intègre des règles de sécurité directement dans les workflows des assistants de codage IA, compatible avec Cursor, GitHub Copilot, Windsurf et Claude Code. CoSAI rassemble désormais plus de quarante partenaires dont Google, Anthropic, OpenAI, NVIDIA, Microsoft et Amazon.Sources :The Register – Supply chain attacks now fuel a 'self-reinforcing' cybercrime economy : https://www.theregister.com/2025/02/12/supply_chain_attacks_fuel_cybercrime/Security Affairs – Odido confirms massive breach; 6.2 Million customers impacted : https://securityaffairs.com/174491/data-breach/odido-confirms-massive-breach.htmlHelp Net Security – Brutus: Open-source credential testing tool for offensive security : https://www.helpnetsecurity.com/2026/02/13/brutus-open-source-credential-testing-tool/Cyber Security News – DragonForce Ransomware Group Targets 363 Companies in Strategic Expansion : https://cybersecuritynews.com/dragonforce-ransomware-group/BleepingComputer – Microsoft fixes bug that blocked Google Chrome from launching : https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-bug-that-blocked-google-chrome-from-launching/LeBigData – Cisco offre son framework de sécurité CodeGuard à la CoSAI d'OASIS : https://www.lebigdata.fr/cisco-codeguard-cosai-oasis/ On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec les travaux du chercheur Wietze Beukema, présentés lors du Wild West Hackin' Fest. Quatre techniques inédites de manipulation des fichiers raccourcis Windows LNK permettent de falsifier intégralement la cible affichée dans les propriétés du fichier tout en exécutant un programme entièrement différent. La variante la plus critique exploite la structure EnvironmentVariableDataBlock pour afficher une cible fictive tout en lançant PowerShell ou toute autre commande malveillante. Soumises au Microsoft Security Response Center, ces failles ont été rejetées au motif qu'elles ne franchissent pas de Security Boundary. Le parallèle avec le CVE-2025-9491, exploité en Zero-Day par au moins onze groupes APT dont Evil Corp, APT37, Kimsuky et Mustang Panda, souligne la persistance de ce vecteur d'attaque.L'actualité se poursuit avec la perturbation massive du réseau d'anonymisation I2P par le botnet IoT Kimwolf. Selon KrebsOnSecurity, les opérateurs du botnet ont tenté de connecter environ 700 000 dispositifs infectés comme nœuds sur un réseau qui ne compte habituellement que 15 000 à 20 000 participants actifs, provoquant une Sybil Attack d'envergure. D'après Benjamin Brundage, fondateur de Synthient, l'objectif est de bâtir une infrastructure Command and Control résiliente face aux tentatives de Takedown. Le réseau I2P fonctionne actuellement à la moitié de sa capacité normale, tandis que des dissensions internes chez Kimwolf ont entraîné la perte de plus de 600 000 systèmes infectés.Enfin, la CISA a ajouté quatre nouvelles vulnérabilités à son catalogue Known Exploited Vulnerabilities, sur la base de preuves d'exploitation active. Parmi elles, la CVE-2024-43468, une SQL Injection dans Microsoft Configuration Manager, la CVE-2025-15556, un défaut de vérification d'intégrité dans Notepad++, la CVE-2025-40536, un Security Control Bypass dans SolarWinds Web Help Desk, et la CVE-2026-20700, de multiples Buffer Overflow affectant des produits Apple. Leur inscription au catalogue KEV impose aux agences fédérales américaines l'application des correctifs selon les délais de la directive BOD 22-01.Sources :BleepingComputer – Microsoft: New Windows LNK spoofing issues aren't vulnerabilities : https://www.bleepingcomputer.com/news/microsoft/microsoft-new-windows-lnk-spoofing-issues-arent-vulnerabilities/KrebsOnSecurity – Kimwolf Botnet Swamps Anonymity Network I2P : https://krebsonsecurity.com/2026/02/kimwolf-botnet-swamps-anonymity-network-i2p/CISA – Known Exploited Vulnerabilities Catalog Update : https://www.cisa.gov/news-events/alerts/2026/02/12/cisa-adds-four-known-exploited-vulnerabilities-catalogOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

6 zero-day activement exploitées. 58 correctifs. Des failles GitHub Copilot déclenchables par prompt injection. Un deuxième zero-day Desktop Window Manager en deux mois. Un exploit professionnel découvert dans un dépôt de malware par ACROS Security. Une élévation de privilèges Remote Desktop identifiée par CrowdStrike.Dans cet épisode, analyse factuelle et complète du Patch Tuesday de février 2026, des vulnérabilités critiques Azure aux recommandations opérationnelles pour les équipes CERT, CSIRT et SOC.Article complet sur le blog :https://blog.marcfredericgomez.fr/patch-tuesday-de-fevrier-2026/Restez à l'écoute, restez protégés.

Nous ouvrons cette édition avec l'alerte critique de la CISA concernant les systèmes industriels Yokogawa FAST/TOOLS. Quatorze vulnérabilités, dont le score CVSS atteint 8.2, exposent les secteurs de l'énergie et de la fabrication à des risques majeurs de Path Traversal et de détournement de sessions. Selon le rapport ICSA-26-041-01, l'absence de contrôles d'intégrité sur certains Endpoints et l'utilisation d'algorithmes cryptographiques obsolètes permettent à des attaquants distants de mener des opérations de Man-in-the-Middle et d'exécuter des Payloads malveillants au cœur des réseaux OT.L'actualité se poursuit avec le Patch Day massif de SAP. Le bulletin de sécurité AV26-107 détaille des correctifs critiques pour SAP S/4HANA, NetWeaver AS ABAP et BusinessObjects. Les vulnérabilités CVE-2026-0488 et CVE-2026-0509 sont particulièrement surveillées car elles affectent le Scripting Editor et les mécanismes de gestion de la Supply Chain. Le Centre canadien pour la cybersécurité exhorte les administrateurs à prioriser la mise à jour des instances SAP_BASIS pour prévenir toute compromission de l'intégrité des données d'entreprise.Sur le front des infrastructures réseau, l'écosystème Fortinet fait face à deux failles majeures d'authentification. La première, CVE-2026-22153, concerne un Authentication Bypass dans FortiOS impactant les VPN Agentless et les politiques FSSO. Parallèlement, le PSIRT de l'éditeur signale la CVE-2026-21743 au sein de FortiAuthenticator, où un défaut d'autorisation (CWE-862) permet à un utilisateur en lecture seule de modifier des comptes locaux via un File Upload non sécurisé. Ces vecteurs facilitent une escalade de privilèges critique pour quiconque accède aux interfaces de gestion.Enfin, nous abordons les réflexions du NCSC britannique sur l'évolution du Vulnerability Management. Alors que la CISA publie de nouvelles directives pour contrer le Spam et le Harvesting d'adresses via les messages HTML, les experts du NCSC plaident pour une approche basée sur le risque réel plutôt que sur le simple score CVSS. L'objectif est d'optimiser la remédiation en se concentrant sur les vulnérabilités exploitables en conditions réelles, tout en renforçant la segmentation des identités pour limiter l'efficacité des campagnes d'ingénierie sociale automatisées.Sources :CISA – ICS Advisory Yokogawa FAST/TOOLS (ICSA-26-041-01) : https://www.cisa.gov/news-events/ics-advisories/icsa-26-041-01Centre canadien pour la cybersécurité – Bulletin SAP (AV26-107) : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-sap-correctif-cumulatif-mensuel-fevrier-2026-av26-107CVEFeed – Fortinet FortiOS Authentication Bypass (CVE-2026-22153) : https://cvefeed.io/vuln/detail/CVE-2026-22153CVEFeed – FortiAuthenticator Missing Authorization (CVE-2026-21743) : https://cvefeed.io/vuln/detail/CVE-2026-21743NCSC – Improving your response to vulnerability management : https://www.ncsc.gov.uk/blog-post/improving-your-response-to-vulnerability-managementCISA – Reducing Spam and Cybersecurity Best Practices : https://www.cisa.gov/news-events/news/reducing-spamOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec les révélations de Huntress Security sur l'exploitation active des vulnérabilités critiques de SolarWinds Web Help Desk. Les attaquants ciblent les failles CVE-2025-40551 et CVE-2025-26399 pour obtenir une exécution de code à distance via la désérialisation de données Java non fiables. Une fois l'accès initial établi, les opérateurs déploient des outils légitimes détournés, tels que l'agent Zoho ManageEngine et le framework de forensic Velociraptor, orchestrés via des tunnels Cloudflare. Ces intrusions, également observées par Microsoft, visent des infrastructures stratégiques pour mener des opérations de reconnaissance dans l'Active Directory.L'actualité se poursuit avec l'annonce par la Commission européenne d'une intrusion cybernétique majeure ayant ciblé son infrastructure de gestion des terminaux mobiles. Détectée par le CERT-EU, l'attaque est liée à l'exploitation de failles critiques dans les solutions Ivanti Endpoint Manager Mobile (CVE-2026-1281 et CVE-2026-1340). Si la Commission affirme que l'incident a été contenu en moins de neuf heures sans compromission directe des appareils, les attaquants ont pu accéder aux noms et numéros de téléphone du personnel, s'inscrivant dans une vague d'attaques similaires frappant plusieurs institutions gouvernementales aux Pays-Bas et en Finlande.Sur le front de l'espionnage, le groupe APT UNC3886, lié aux intérêts chinois, a mené une campagne sophistiquée contre le secteur des télécommunications à Singapour. L'agence de cybersécurité nationale, la CSA, rapporte que les quatre opérateurs majeurs ont été infiltrés via l'utilisation d'exploits Zero-Day et le déploiement de rootkits furtifs. L'adversaire s'est concentré sur les équipements réseau et les environnements de virtualisation VMware ESXi, parvenant à exfiltrer des données techniques critiques pour cartographier les infrastructures stratégiques de la cité-État.Enfin, nous revenons sur les défis posés par les compilateurs modernes à la cryptographie. Lors du FOSDEM 2026, le mainteneur de la bibliothèque Botan a démontré comment les optimisations agressives de GCC 15.2 neutralisent les implémentations en temps constant destinées à prévenir les Side-Channel Attacks. En tentant de supprimer les branchements conditionnels, le compilateur réintroduit par inadvertance des vulnérabilités de timing, forçant les développeurs à utiliser de l'Inline Assembly pour masquer la logique de sécurité face à l'optimiseur.SourcesBleepingComputer – Threat actors exploit SolarWinds WHD flaws : https://www.bleepingcomputer.com/news/security/threat-actors-exploit-solarwinds-wdh-flaws-to-deploy-velociraptor/Hackread – Cyber Attack Hits European Commission : https://hackread.com/cyber-attack-european-commission-staff-mobile-systems/The Hacker News – UNC3886 Targets Singapore Telecom : https://thehackernews.com/2026/02/china-linked-unc3886-targets-singapore.htmlThe Register – How GCC became the Clippy of cryptography : https://www.theregister.com/2026/02/09/compilers_undermine_encryption/ZDNET – Linux, le socle invisible de l'IA moderne : https://www.zdnet.fr/actualites/cet-os-alimente-discretement-toute-lia-ainsi-que-la-plupart-des-futurs-emplois-delit-489808.htmThe Verge – Substack data breach exposed users' data : https://www.theverge.com/tech/874255/substack-data-breach-user-emails-phone-numbersOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec les révélations de The Hacker News sur la sécurisation critique de l'écosystème OpenClaw. Face à la prolifération de skills malveillants sur sa marketplace ClawHub, la plateforme intègre désormais les capacités de VirusTotal Code Insight pour analyser chaque brique logicielle via leur empreinte SHA-256. Malgré cette mesure, les chercheurs alertent sur la persistance de vecteurs d'attaques par injection de prompts indirects et la découverte de plus de 30 000 instances exposées sur le port 18789, transformant potentiellement ces agents IA en véritables chevaux de Troie pour l'exfiltration de données d'entreprise.L'actualité se poursuit avec le démantèlement par Cisco Talos du framework DKnife, un toolkit d'interception de haut vol utilisé par des acteurs liés à la Chine depuis 2019. Opérant directement au niveau des routeurs et des edge devices, ce framework utilise le Deep Packet Inspection pour détourner les mises à jour légitimes Windows et Android au profit de backdoors comme ShadowPad. DKnife se distingue par une capacité d'évasion active, capable d'identifier et de neutraliser les flux des solutions antivirus via l'injection de paquets TCP RST, compromettant ainsi l'intégrité de la couche réseau dès le périmètre.Sur le front des vulnérabilités, le Centre canadien pour la cybersécurité relaie un avis critique concernant le scanner Nessus de Tenable. Les versions 10.10.1 et 10.11.1 ainsi que leurs itérations antérieures sont affectées par plusieurs failles de sécurité. Les administrateurs de SOC et les équipes de gestion des vulnérabilités sont invités à procéder sans délai à la mise à jour vers les versions 10.10.2 et 10.11.2 pour garantir la fiabilité de leurs campagnes de scan.Enfin, nous revenons sur les défis de la Shadow AI. Le déploiement massif d'outils agentiques comme OpenClaw, souvent sans validation des directions informatiques, crée une surface d'attaque hybride où le prompt devient l'instruction d'exécution, rendant les outils de monitoring traditionnels inopérants face à des modèles capables d'interpréter le langage naturel pour contourner les politiques de sécurité.SourcesThe Hacker News – OpenClaw Integrates VirusTotal : https://thehackernews.com/2026/02/openclaw-integrates-virustotal-scanning.htmlSecurity Affairs – DKnife toolkit abuses routers : https://securityaffairs.com/187716/malware/dknife-toolkit-abuses-routers-to-spy-and-deliver-malware-since-2019.htmlCyber.gc.ca – Bulletin de sécurité Tenable (AV26-095) : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-tenable-av26-095On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec les Jeux Olympiques d'hiver de Milano Cortina, qui font face à une vague de cyberattaques attribuées à la Russie. Selon The Register, le ministre italien des Affaires étrangères confirme le ciblage de bureaux diplomatiques et d'infrastructures olympiques. La posture défensive de l'événement est par ailleurs fragilisée par des tensions Supply Chain : le CEO de Cloudflare menace de retirer ses services de protection pro bono suite à un différend réglementaire avec les autorités italiennes.L’actualité se poursuit en France avec une affaire d'espionnage en Gironde révélée par ZDNet. Deux ressortissants chinois ont été mis en examen pour avoir opéré une station d'interception clandestine depuis une location Airbnb. L'équipement saisi, signalé par une antenne parabolique massive, était conçu pour le Sniffing de communications sur le réseau Starlink et l'interception de fréquences militaires, matérialisant une menace directe sur la couche physique des communications satellitaires.Sur le front des vulnérabilités, le CERT-FR a publié deux avis critiques. Le premier concerne la solution VoIP Asterisk, affectée par des failles permettant la Remote Code Execution (RCE) et l'Escalation of Privileges. Le second alerte sur le noyau Linux de Red Hat, où une trentaine de CVE ont été corrigées pour prévenir, entre autres, des risques de Denial of Service et d'atteinte à l'intégrité des données sur les architectures x86_64, ARM et IBM z Systems.Enfin, Microsoft annonce la disponibilité de SQL Server 2025 sur Ubuntu 24.04 LTS, introduisant de nouvelles Dynamic Management Views pour l'observabilité et le support natif des vecteurs pour l'IA. Nous terminons sur une note structurelle : une tribune rappelle l'urgence de la formation, citant une hausse de 15 % des incidents traités par l'ANSSI en 2024, dans un contexte de pénurie mondiale estimée à 4,8 millions de professionnels.Sources The Register – Winter Olympics Russian attacks : https://www.theregister.com/2026/02/05/winter_olympics_russian_attacks/ZDNet – Station d’interception clandestine en Gironde : https://www.zdnet.fr/actualites/station-dinterception-clandestine-dans-un-airbnb-en-gironde-deux-citoyens-chinois-mis-en-examen-489660.htmCERT-FR – Avis Asterisk : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0123/CERT-FR – Avis Red Hat Linux Kernel : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0130/Ubuntu – SQL Server 2025 GA : https://ubuntu.com//blog/sql-server-2025-ubuntu-24-04-ltsGoodTech – Pénurie d'experts cyber : https://goodtech.info/pourquoi-il-faut-former-massivement-les-futurs-experts-cyber-francais/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec une analyse publiée par KrebsOnSecurity sur le groupe d’extorsion Scattered Lapsus ShinyHunters. Les chercheurs décrivent un acteur cybercriminel instable combinant vol de données, social engineering et campagnes de harcèlement ciblant directement dirigeants et familles. Contrairement aux groupes de ransomware structurés, SLSH abuse de canaux Telegram, de menaces physiques, de swatting, de DDoS et de pression médiatique, sans garantie de suppression des données volées. L’article met en lumière des intrusions récentes basées sur du voice phishing MFA et l’enrôlement frauduleux de devices, selon des observations confirmées par Mandiant et Unit 221B.L’actualité se poursuit en Europe, où la Commission européenne annonce que TikTok s’expose à une sanction majeure pour non-respect du Digital Services Act. Bruxelles estime que des mécanismes d’addictive design — infinite scroll, autoplay, push notifications et personalized recommendation systems — favorisent des usages compulsifs, notamment chez les mineurs. En cas de confirmation, l’amende pourrait atteindre 6 % du chiffre d’affaires mondial de la plateforme, dans un contexte de sanctions européennes répétées.En Allemagne, les autorités de sécurité intérieure alertent sur des campagnes de compromission de comptes Signal visant des profils sensibles. Selon le BfV et le BSI, des attaquants, soupçonnés d’être étatiques, exploitent exclusivement du social engineering et des fonctionnalités légitimes comme le linked-device pairing par QR code, sans malware ni exploitation de vulnérabilités, afin d’accéder aux conversations et contact lists de responsables politiques, militaires et journalistes.Enfin, la CISA annonce l’ajout de deux vulnérabilités activement exploitées à son Known Exploited Vulnerabilities Catalog. Sont concernées CVE-2025-11953, une OS Command Injection dans React Native Community CLI, et CVE-2026-24423, une faille de Missing Authentication for Critical Function affectant SmarterTools SmarterMail. Ces failles sont considérées comme des vecteurs d’attaque à haut risque pour les environnements institutionnels.SourcesCISA – Known Exploited Vulnerabilities Catalog : https://www.cisa.gov/news-events/alerts/2026/02/05/cisa-adds-two-known-exploited-vulnerabilities-catalogBleepingComputer – Signal account hijacking : https://www.bleepingcomputer.com/news/security/germany-warns-of-signal-account-hijacking-targeting-senior-figures/BleepingComputer – TikTok et le Digital Services Act : https://www.bleepingcomputer.com/news/security/european-commission-says-tiktok-facing-fine-over-addictive-design/KrebsOnSecurity – Scattered Lapsus ShinyHunters : https://krebsonsecurity.com/2026/02/please-dont-feed-the-scattered-lapsus-shiny-hunters/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec une enquête de Palo Alto Networks Unit 42 révélant une campagne d'espionnage massive orchestrée par un Threat Actor étatique asiatique, identifié comme TGR-STA-1030. Les chercheurs rapportent la compromission de réseaux critiques dans 37 pays, ciblant ministères et infrastructures de télécommunications pour de l'exfiltration de données sensibles. L'arsenal du groupe inclut un nouveau Linux kernel rootkit nommé ShadowGuard, exploitant la technologie eBPF pour une furtivité accrue, ainsi qu'un malware loader spécifique baptisé DiaoYu.L'actualité se poursuit aux États-Unis, où la CISA publie une directive opérationnelle imposant aux agences fédérales le retrait de tous les équipements End-of-Life sous 12 mois. Cette décision fait suite à l'observation de campagnes persistantes exploitant des périphériques Edge non supportés — tels que les firewalls, load balancers et routeurs — comme points d'entrée vers les réseaux internes. L'agence exige un inventaire complet sous trois mois et la mise en place d'un processus continu de découverte des actifs obsolètes.Côté menaces, le Botnet AISURU/Kimwolf établit un nouveau record mondial avec une attaque DDoS atteignant un pic de 31,4 Tbps, selon un rapport de Cloudflare. Cette offensive Hyper-volumetric s'appuie sur plus de 2 millions de terminaux Android compromis, principalement des Android TVs, enrôlés via des réseaux de Residential Proxies comme IPIDEA. Cloudflare note une augmentation alarmante de 121 % du volume global des attaques DDoS observées en 2025.Le CERT-FR publie aujourd'hui trois avis de sécurité majeurs. Le premier signale de multiples vulnérabilités critiques dans les produits F5, affectant BIG-IP et l'écosystème NGINX, avec des risques d'atteinte à l'intégrité et de déni de service. Le second concerne les solutions de collaboration Cisco, notamment Meeting Management et RoomOS, exposées à des failles de Remote Code Execution (RCE) et d'élévation de privilèges. Le dernier avis cible la plateforme d'orchestration Splunk SOAR, dont toutes les versions antérieures à la 7.1.0 doivent être mises à jour pour corriger dix CVE distinctes.Enfin, Datadog Security Labs détaille une campagne de détournement de trafic ciblant les serveurs NGINX, particulièrement en Asie. Contrairement aux exploits classiques, les attaquants ne visent pas une vulnérabilité logicielle mais injectent des configurations malveillantes via des blocs location et la directive proxy_pass. Cette technique permet de rediriger le trafic utilisateur vers une infrastructure attaquante de manière transparente, tout en préservant les en-têtes légitimes pour échapper à la détection.SourcesThe Register – Campagne d'espionnage TGR-STA-1030 : https://www.theregister.com/2026/02/05/asia_government_spies_hacked_37_critical_networks/The Record – Directive CISA sur les équipements End-of-Life : https://therecord.media/cisa-gives-federal-agencies-one-year-end-of-life-devicesThe Hacker News – Record DDoS du Botnet AISURU : https://thehackernews.com/2026/02/aisurukimwolf-botnet-launches-record.htmlCERT-FR – Vulnérabilités F5 (CERTFR-2026-AVI-0120) : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0120/CERT-FR – Vulnérabilités Cisco (CERTFR-2026-AVI-0119) : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0119/CERT-FR – Vulnérabilités Splunk (CERTFR-2026-AVI-0118) : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0118/Bleeping Computer – Détournement de trafic NGINX : https://www.bleepingcomputer.com/news/security/hackers-compromise-nginx-servers-to-redirect-user-traffic/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec une analyse du National Cyber Security Centre consacrée au Cloud Security Posture Management. Le NCSC revient sur le rôle des outils CSPM dans la sécurisation des environnements cloud complexes, marqués par la multiplication des workspaces, des services et des régions. Le rapport détaille les capacités attendues en matière de visibilité des ressources, de détection des misconfigurations, de priorisation des risques et de remédiation, tout en rappelant que le CSPM n’est pas une solution miracle mais un composant d’un écosystème de sécurité cloud plus large.L’actualité se poursuit avec la publication par le CERT-FR du rapport CERTFR-2026-CTI-001 sur l’utilisation de l’intelligence artificielle générative dans les attaques informatiques. Le document décrit comment les modèles d’IA générative sont exploités à différentes étapes de la kill chain, notamment pour l’ingénierie sociale, le développement de malware ou le profiling de cibles. Le CERT-FR souligne également que ces technologies deviennent elles-mêmes des cibles, exposées à des attaques de model poisoning, de compromission de supply chain et d’exfiltration de données.Côté vulnérabilités, le CERT-FR publie deux avis distincts. Le premier concerne une vulnérabilité d’élévation de privilèges affectant les terminaux Google Pixel ne disposant pas du correctif de sécurité de février 2026, référencée CVE-2026-0106. Le second alerte sur de multiples vulnérabilités dans Google Chrome, affectant les versions antérieures à 144.0.7559.132 pour Linux et 144.0.7559.132 ou .133 pour Windows et macOS, avec les CVE-2026-1861 et CVE-2026-1862.Au niveau international, la CISA annonce l’ajout de quatre vulnérabilités activement exploitées à son catalogue Known Exploited Vulnerabilities. Sont concernées des failles dans Sangoma FreePBX, GitLab, et SolarWinds Web Help Desk, confirmant leur exploitation dans des attaques en conditions réelles.Enfin, Microsoft dévoile un scanner capable de détecter des backdoors dans des open-weight Large Language Models. L’outil repose sur l’analyse de signaux comportementaux spécifiques liés aux triggers, à la mémorisation des données d’empoisonnement et aux fuzzy triggers, et vise à renforcer la détection du model poisoning dans les environnements IA.SourcesNCSC – CSPM et sécurité cloud : https://www.ncsc.gov.uk/blog-post/cspm-silver-bullet-or-another-piece-in-the-cloud-puzzleCERT-FR – IA générative et attaques informatiques (CERTFR-2026-CTI-001) : https://www.cert.ssi.gouv.fr/cti/CERTFR-2026-CTI-001/ CERT-FR – Vulnérabilité Google Pixel (CERTFR-2026-AVI-0113) : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0113/CERT-FR – Vulnérabilités Google Chrome (CERTFR-2026-AVI-0114) : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0114/CISA – Ajout de vulnérabilités exploitées au catalogue KEV : https://www.cisa.gov/news-events/alerts/2026/02/03/cisa-adds-four-known-exploited-vulnerabilities-catalogThe Hacker News – Scanner Microsoft pour backdoors dans les LLM : https://thehackernews.com/2026/02/microsoft-develops-scanner-to-detect.htmlOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec une alerte concernant la distribution du malware bancaire Anatsa via le Google Play Store. L'application malveillante "Document Reader - File Manager", publiée par le développeur ISTOQMAH, a été téléchargée plus de 50 000 fois avant son retrait. Le malware, également connu sous les noms TeaBot et Toddler, cible plus de 831 institutions financières mondiales via des techniques d'overlay et d'interception des codes d'authentification à deux facteurs. La campagne utilise une méthode de déploiement en deux temps, avec une application initialement légitime recevant une mise à jour malveillante environ six semaines après publication.L'actualité se poursuit avec le Centre canadien pour la cybersécurité, qui publie le bulletin AV26-078 concernant des vulnérabilités dans Kubernetes ingress-nginx. Les versions affectées sont les versions antérieures à v1.13.7 et les versions antérieures à v1.14.3. Les utilisateurs et administrateurs sont invités à consulter l'avis de sécurité Kubernetes et à appliquer les mises à jour nécessaires.Enfin sur  le volet de la protection des données, l'Electronic Frontier Foundation lance la campagne "Encrypt It Already" pour encourager l'adoption du chiffrement de bout en bout. Les demandes incluent l'extension du chiffrement aux messages de groupe sur Facebook Messenger, l'implémentation du chiffrement interopérable RCS entre Apple et Google, l'activation par défaut du chiffrement sur Telegram, le chiffrement des sauvegardes WhatsApp et Google Authenticator, ainsi que des permissions par application pour contrôler l'accès des systèmes d'intelligence artificielle aux applications de messagerie sécurisée.SourcesZscaler ThreatLabz – Anatsa malware Google Play : https://www.zscaler.com/blogs/security-research/technical-analysis-anatsa-campaigns-android-banking-malware-active-googleCentre canadien pour la cybersécurité – Bulletin Kubernetes AV26-078 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-kubernetes-av26-078Electronic Frontier Foundation – Campagne Encrypt It Already : https://www.encryptitalready.org/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec une alerte critique concernant l’exploitation active d’un Zero-Day Microsoft Office, référencé CVE-2026-21509. Selon CERT-UA, le groupe russe APT28, également connu sous le nom Fancy Bear, a intégré cette vulnérabilité dans des campagnes de phishing ciblant des administrations ukrainiennes et plusieurs organisations au sein de l’Union européenne, avec une chaîne d’infection reposant sur WebDAV, COM hijacking et le framework post-exploitation COVENANT.L’actualité se poursuit avec Mozilla, qui annonce un changement stratégique dans Firefox. À partir de la version 148, les utilisateurs disposeront d’un contrôle centralisé permettant de bloquer ou de gérer finement l’ensemble des fonctionnalités reposant sur la Generative AI, incluant la traduction, les résumés de liens et l’accès aux chatbots intégrés.Sur le volet correctif, VMware publie le bulletin de sécurité AV26-075, couvrant de multiples vulnérabilités affectant l’écosystème Tanzu, incluant Platform Services, Buildpacks, Stemcells Linux et Windows, ainsi que Tanzu Hub, dans des environnements cloud-native à grande échelle.Une activité de reconnaissance automatisée est également observée par le SANS Internet Storm Center, avec des scans ciblant des endpoints exposés de l’API Anthropic, suggérant des tentatives d’identification de modèles AI auto-hébergés accessibles publiquement.Enfin, un incident majeur touche la supply chain logicielle : le mécanisme officiel de mise à jour de Notepad++ a été détourné via une compromission de l’infrastructure d’hébergement. L’opération, attribuée à l’acteur étatique chinois Violet Typhoon (APT31), a permis la distribution ciblée de malwares à des organisations des secteurs télécoms et financiers en Asie de l’Est.SourcesThe Register – APT28 Microsoft Office Zero-Day :https://www.theregister.com/2026/02/02/russialinked_apt28_microsoft_office_bug/BleepingComputer – Firefox AI controls :https://www.bleepingcomputer.com/news/software/mozilla-will-let-you-turn-off-all-firefox-ai-features/Centre pour la cybersécurité du Canada – Bulletin VMware AV26-075 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-vmware-av26-075SANS Internet Storm Center – Anthropic API scanning : https://isc.sans.edu/diary/rss/32674The Hacker News – Notepad++ update mechanism hijacked :https://thehackernews.com/2026/02/notepad-official-update-mechanism.htmlOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec plusieurs avis publiés par le CERT-FR concernant des vulnérabilités affectant des composants largement déployés en environnement professionnel. Splunk Enterprise est concerné par une faille référencée CVE-2025-14847 impactant plusieurs branches majeures, tandis que Node.js est affecté par des vulnérabilités liées à l’intégration d’OpenSSL sur les versions v20 à v25. Une alerte distincte vise également Qnap QTS, avec un risque de contournement de la politique de sécurité sur un large périmètre de versions.L’analyse de la menace informationnelle se poursuit avec le dernier bulletin du Threat Analysis Group de Google. Le rapport Q4 2025 détaille le démantèlement de vastes opérations d’influence coordonnées impliquant plusieurs milliers de YouTube channels, des domaines et des comptes publicitaires, attribués notamment à des acteurs russes, chinois et indonésiens, ciblant des narratifs géopolitiques à l’échelle mondiale.Sur le volet cybercriminel, Mandiant documente des attaques de data theft menées par le groupe d’extorsion ShinyHunters. Ces campagnes reposent sur des opérations de voice phishing ciblées, l’abus du Single Sign-On et la compromission de mécanismes MFA, permettant un accès massif aux environnements SaaS et aux données cloud.Enfin, une campagne de cyber espionnage attribuée à un acteur iranien, suivie sous le nom RedKitten, cible des ONG et des militants des droits humains via des documents Excel piégés, des implants modulaires et une infrastructure de command-and-control reposant sur GitHub, Google Drive et Telegram, avec des indices d’usage de large language models dans la génération des outils malveillants.SourcesGoogle Threat Analysis Group – TAG Bulletin Q4 2025 : https://blog.google/threat-analysis-group/tag-bulletin-q4-2025/CERT-FR – Splunk Enterprise : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0102/CERT-FR – Node.js : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0103/CERT-FR – Qnap QTS : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0104/BleepingComputer – ShinyHunters SSO abuse : https://www.bleepingcomputer.com/news/security/mandiant-details-how-shinyhunters-abuse-sso-to-steal-cloud-data/The Hacker News – RedKitten campaign : https://thehackernews.com/2026/01/iran-linked-redkitten-cyber-campaign.htmlOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec la stratégie numérique française rapportée par Clubic. Une réunion à Bercy a confirmé l'identification de soixante-trois sites destinés à accueillir de nouveaux Data Centers, renforçant la souveraineté Cloud et IA nationale. Sur le front judiciaire, The Record signale un coup majeur contre le piratage : le département de la justice américain a saisi trois domaines majeurs opérés depuis la Bulgarie, neutralisant une source massive de contenus illégaux.L'analyse de la menace se tourne vers les Jeux Olympiques d'hiver 2026. Unit 42 anticipe des opérations de sabotage ciblées sur les infrastructures critiques de la part d'acteurs étatiques russes, marquant un basculement vers la disruption physique. Côté vulnérabilités, une alerte critique concerne la plateforme Grafana avec la CVE-2026-21720, une faille de type Denial of Service affectant la gestion des avatars et nécessitant une mitigation immédiate.Nous terminons avec une technique de Phishing ingénieuse repérée par le SANS Internet Storm Center : des attaquants abusent de la fonction de publication publique de Google Slides pour masquer les avertissements de sécurité et déployer des pages de Login frauduleuses.Sources Clubic – Data Centers France : https://www.clubic.com/actualite-598390-data-centers-ce-que-revele-la-premiere-reunion-a-bercy-sur-les-projets-en-cours-et-a-venir-en-france.htmlThe Record – Saisie domaines pirates : https://therecord.media/bulgaria-piracy-sites-streaming-gaming-seized-usUnit 42 – Menace JO 2026 : https://unit42.paloaltonetworks.com/russian-cyberthreat-2026-winter-olympics/CERT Santé – Grafana CVE-2026-21720 : https://cyberveille.esante.gouv.fr/alertes/grafana-cve-2026-21720-2026-01-29SANS ISC – Google Slides Phishing : https://isc.sans.edu/diary/rss/32668On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com