RadioCSIRT : Edition Française

Bienvenue sur votre podcast quotidien consacré à la cybersécurité.🚨 Alerte critique SharePoint : Microsoft publie la CVE-2025-59245, une faille sévère d'élévation de privilèges qui exige une attention immédiate des administrateurs.🎧 Espionnage et Malwares : Google dévoile « BadAudio », le nouvel outil du groupe APT24, pendant que le backdoor ShadowPad refait surface dans de nouvelles campagnes ciblées.☁️ Salesforce serre la vis : Le géant du CRM coupe l'accès à des applications tierces suite à la détection d'activités suspectes, protégeant ainsi les données clients.💼 Emploi sur le Dark Web : Le crime n'attend pas le nombre des années. Une nouvelle étude révèle que l'âge médian des candidats à la cybercriminalité est de seulement 24 ans.⚡️ On ne réfléchit pas, on patch ! 🚀📚 Sources :🔗 Microsoft – SharePoint Elevation of Privilege (CVE-2025-59245) https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59245🔗 Espionnage – Google exposes BadAudio & APT24 https://www.bleepingcomputer.com/news/security/google-exposes-badaudio-malware-used-in-apt24-espionage-campaigns/🔗 Cloud Sec – Salesforce cuts off third-party access https://therecord.media/salesforce-cuts-off-access-to-third-party-unusual-activity🔗 Dark Web – Job Market Analysis 2023-2025 https://securelist.com/dark-web-job-market-2023-2025/118057/🔗 Malware – ShadowPad Overview https://cyberpress.org/shadowpad-malware/📞 Vos retours sont les bienvenus !📱 Répondeur: 07 68 72 20 09📧 Email : radiocsirt@gmail.com🌐 Site web : www.radiocsirt.org📰 Newsletter Hebdo : radiocsirt.substack.com#CyberSécurité #Microsoft #SharePoint #Salesforce #DarkWeb #APT24 #Malware #RadioCSIRT 🎧

Bienvenue sur votre podcast quotidien consacré à la cybersécurité. ✈️ Espionnage industriel par UNC1549 : des hackers iraniens déploient les backdoors DEEPROOT et TWOSTROKE contre les secteurs de l'aérospatiale et de la défense, exploitant les accès VDI et la supply chain. 🤖 Gmail entraîne son IA avec vos données : Google active par défaut l'analyse des emails et pièces jointes pour son modèle Gemini, nécessitant une désactivation manuelle complexe pour préserver la confidentialité. 🍎 Nouveau stealer macOS "DigitStealer" : un malware fileless ciblant spécifiquement les puces Apple Silicon pour exfiltrer identifiants et portefeuilles crypto en contournant les détections classiques. 🛡️ Scan massif des VPN GlobalProtect : une campagne coordonnée de 2,3 millions de sessions de scan cible les portails Palo Alto Networks, laissant présager l'exploitation imminente de vulnérabilités. ⚡️ On ne réfléchit pas, on patch ! 🚀 📚 Sources : 🔗 UNC1549 – Iranian hackers use DEEPROOT and TWOSTROKE https://thehackernews.com/2025/11/iranian-hackers-use-deeproot-and.html 🔗 Confidentialité – Gmail is reading your emails to train its AI https://www.malwarebytes.com/blog/news/2025/11/gmail-is-reading-your-emails-and-attachments-to-train-its-ai-unless-you-turn-it-off 🔗 Malware – Mac users warned about new DigitStealer https://www.malwarebytes.com/blog/news/2025/11/mac-users-warned-about-new-digitstealer-information-stealer 🔗 Infrastructures – GlobalProtect VPN portals probed with 2.3 million scan sessions https://www.bleepingcomputer.com/news/security/globalprotect-vpn-portals-probed-with-23-million-scan-sessions/ 📞 Vos retours sont les bienvenus ! 📱 07 68 72 20 09 📧 radiocsirt@gmail.com 🌐 www.radiocsirt.org 📰 radiocsirt.substack.com #CyberSécurité #Espionnage #Gmail #Privacy #MacOS #Malware #PaloAlto #VPN #RadioCSIRT 🎧

Bienvenue sur votre podcast quotidien consacré à la cybersécurité. 🛰️ Europol démantèle plusieurs services de piratage numérique après avoir retracé plus de 47 millions d’euros en crypto-actifs liés à des plateformes illégales de streaming, IPTV et contenus piratés. 🛡️ La CISA ajoute une nouvelle vulnérabilité activement exploitée à son catalogue KEV, imposant aux agences fédérales un correctif sous délai contraint afin de limiter les risques d’exploitation continue. ⚠️ Attaques supply chain PlushDaemon : des acteurs malveillants détournent les mécanismes de mise à jour logicielle pour injecter des charges malveillantes et compromettre des environnements entiers via des chaînes d’approvisionnement logicielles légitimes. 📹 Compromission massive de systèmes CCTV : des milliers de caméras connectées détournées pour mener des opérations de cybercriminalité, incluant surveillance illégale, accès interne non autorisé et exploitation pour d’autres attaques. 🎭 Nouveau kit de phishing “Browser-in-the-Browser” : un outil complet permettant de cloner des pages d’authentification, y compris MFA, et de contourner les protections modernes afin de dérober identifiants et sessions. 🏢 Intrusion confirmée chez Eurofiber : vol massif de données, extraction non autorisée et tentative d’extorsion après l’attaque du 13 novembre, avec des informations clients déjà revendues ou partagées par les assaillants. 🛰️ Implant EdgeStepper : un malware réseau avancé capable de détourner et rerouter le trafic DNS en s’appuyant sur des routeurs et équipements intermédiaires compromis, permettant manipulation, interception et redirection du flux réseau. ⚡️ On ne réfléchit pas, on patch ! 🚀 📚 Sources : 🔗 Europol – Crypto tracée pour démanteler des services de piratage https://www.europol.europa.eu/media-press/newsroom/news/eur-47-million-in-crypto-traced-to-disrupt-digital-piracy-services 🔗 CISA – Nouvelle vulnérabilité ajoutée au KEV https://www.cisa.gov/news-events/alerts/2025/11/18/cisa-adds-one-known-exploited-vulnerability-catalog 🔗 PlushDaemon – Supply chain update hijacking https://www.bleepingcomputer.com/news/security/plushdaemon-hackers-hijack-software-updates-in-supply-chain-attacks/ 🔗 CCTV compromission massive https://thecyberexpress.com/cybercrime-cctv-hack/ 🔗 Kit de phishing BitB https://cyberpress.org/bitb-phishing-kit/ 🔗 Eurofiber – Confirmation du piratage et extorsion https://securityaffairs.com/184822/data-breach/eurofiber-confirms-november-13-hack-data-theft-and-extortion-attempt.html 🔗 Implant EdgeStepper https://thehackernews.com/2025/11/edgestepper-implant-reroutes-dns.html 📞 Vos retours sont les bienvenus ! 📱 07 68 72 20 09 📧 radiocsirt@gmail.com 🌐 www.radiocsirt.org 📰 radiocsirt.substack.com #CyberSécurité #Europol #CISA #SupplyChain #PlushDaemon #CCTV #Phishing #Eurofiber #EdgeStepper #RadioCSIRT 🎧  

 Bienvenue sur votre podcast quotidien consacré à la cybersécurité. 🛰️ Exercice Cyber Arrow en Australie : un entraînement national d’envergure réunissant gouvernement, acteurs industriels et opérateurs d’infrastructures critiques des secteurs énergie, communications et finance, focalisé sur les capacités de détection, d’investigation et de réponse aux incidents majeurs. 🛡️ Vulnérabilités multiples dans les produits NetApp : plusieurs failles touchant Brocade SANnav et HCI Compute Node Bootstrap OS, permettant déni de service à distance, atteintes à la confidentialité et altération de l’intégrité des données. ⚠️ Failles critiques dans Mozilla Thunderbird : des vulnérabilités affectant les versions antérieures à 140.5 et 145, autorisant exécution de code arbitraire, contournement de politiques de sécurité et autres comportements non précisés. 🏢 Vulnérabilités dans Mattermost Server : plusieurs versions 10.11.x, 10.12.x et 11.0.x exposées à un problème de sécurité non spécifié par l’éditeur. 🔍 Chronologie contestée du vol de données Coinbase : un chercheur affirme avoir signalé dès le 7 janvier une tentative d’escroquerie contenant des données personnelles volées, remettant en cause la chronologie officielle du compromis communiqué en mai. 🌩️ Attaque DDoS record de 15,72 Tb/s : Microsoft a bloqué automatiquement une attaque massive orchestrée par le botnet AISURU et alimentée par des centaines de milliers d’équipements IoT compromis, ciblant une adresse IP publique en Australie. 🧩 Correctif Google pour une zero-day active dans Chrome : une vulnérabilité de type confusion dans le moteur V8, identifiée sous CVE-2025-13223 et exploitée dans la nature, corrigée avec une seconde faille similaire dans la dernière mise à jour du navigateur. 💥 Faille critique dans W3 Total Cache : une injection de commandes non authentifiée via commentaires WordPress, suivie sous CVE-2025-9501, exposant plus d’un million de sites à l’exécution de code à distance. 📧 Thunderbird 145 évolue : prise en charge de Microsoft Exchange via EWS, synchronisation améliorée, performances renforcées, support DNS-over-HTTPS, configuration manuelle enrichie et nombreuses corrections fonctionnelles et d’interface. ⚡️ On ne réfléchit pas, on patch ! 🚀 📚 Sources : 🔗 Exercice Cyber Arrow – Australian Cyber Security Centre https://www.cyber.gov.au/view-all-content/news/exercise-cyber-arrow 🔗 Vulnérabilités NetApp – CERTFR-2025-AVI-1015 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1015/ 🔗 Vulnérabilités Mozilla Thunderbird – CERTFR-2025-AVI-1016 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1016/ 🔗 Vulnérabilités Mattermost – CERTFR-2025-AVI-1017 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1017/ 🔗 Chronologie du vol Coinbase – The Register https://www.theregister.com/2025/11/17/coinbase_breach_timeline/ 🔗 Attaque DDoS AISURU – The Hacker News https://thehackernews.com/2025/11/microsoft-mitigates-record-572-tbps.html 🔗 Zero-day Chrome V8 – The Hacker News https://thehackernews.com/2025/11/google-issues-security-fix-for-actively.html 🔗 Faille W3 Total Cache – CyberPress https://cyberpress.org/w3-total-cache-command-injection-flaw/ 🔗 Thunderbird 145 – OMG!Ubuntu https://www.omgubuntu.co.uk/2025/11/thunderbird-145-microsoft-exchange-support-ews 📞 Vos retours sont les bienvenus ! 📱 07 68 72 20 09 📧 radiocsirt@gmail.com 🌐 www.radiocsirt.org 📰 radiocsirt.substack.com #CyberSécurité #NetApp #Thunderbird #Mattermost #Coinbase #AISURU #Chrome #WordPress #RadioCSIRT 🎧

Bienvenue sur votre podcast quotidien consacré à la cybersécurité. 🛰️ RoningLoader : de nouvelles recherches dévoilent les capacités furtives de RoningLoader, un chargeur modulaire conçu pour l’évasion, le déploiement progressif de charges malveillantes et la persistance durable au sein des environnements compromis. 🛑 Campagnes d’usurpation livrant Gh0st RAT : les dernières analyses mettent en lumière des opérations d’ingénierie sociale à large échelle, utilisant des identités usurpées et des canaux frauduleux pour distribuer Gh0st RAT et compromettre les victimes. 🎭 Radicalisation en ligne via les plateformes de jeux : Europol et plusieurs pays partenaires annoncent une action coordonnée visant les groupes extrémistes exploitant les environnements de gaming pour le recrutement, la communication clandestine et la diffusion de contenus illicites. 🏢 IBM AIX/VIOS – Vulnérabilité critique : une faille de sévérité élevée affecte les systèmes IBM AIX et VIOS, offrant à un attaquant la possibilité d’exploiter des vecteurs d’élévation de privilèges. Les recommandations de correctifs ont été publiées et doivent être appliquées rapidement. 🐧 Botnet Rondodox : extension via une faille XWiki : les opérateurs de menace exploitent activement une vulnérabilité RCE XWiki non corrigée depuis février 2025, permettant l’expansion automatisée du botnet Rondodox sur des systèmes exposés. 📱 Android : l’adoption de Rust améliore la sécurité mémoire : de nouveaux rapports confirment une baisse notable des vulnérabilités de corruption mémoire dans les composants Android réécrits en Rust, renforçant la transition vers des langages systèmes plus sûrs. 🛍️ Alerte sur les arnaques cyber liées aux achats de fin d’année : les agences de cybersécurité appellent à la vigilance face à la hausse des faux sites marchands, campagnes de phishing, fraudes de paiement et escroqueries saisonnières ciblant les consommateurs. ⚡️ On ne réfléchit pas, on patch ! 🚀 📚 Sources : 🔗 RoningLoader – Elastic Security Labs : https://www.elastic.co/security-labs/roningloader 🔗 Gh0st RAT – Campagnes d’usurpation – Unit42 : https://unit42.paloaltonetworks.com/impersonation-campaigns-deliver-gh0st-rat/ 🔗 Radicalisation sur plateformes de jeux – Europol : https://www.europol.europa.eu/media-press/newsroom/news/europol-and-partner-countries-combat-online-radicalisation-gaming-platforms 🔗 IBM AIX/VIOS – CVE-2025-36250 : https://cyberveille.esante.gouv.fr/alertes/ibm-aixvios-cve-2025-36250-2025-11-14 🔗 Botnet Rondodox & XWiki RCE – Security Affairs : https://securityaffairs.com/184702/malware/rondodox-expands-botnet-by-exploiting-xwiki-rce-bug-left-unpatched-since-february-2025.html 🔗 Rust & sécurité mémoire Android – The Hacker News : https://thehackernews.com/2025/11/rust-adoption-drives-android-memory.html 🔗 Arnaques cyber – Achats de fin d’année – NCSC : https://www.ncsc.gov.uk/news/stay-alert-to-holiday-shopping-cyber-scams 📞 Vos retours sont les bienvenus ! 📱 07 68 72 20 09 📧 radiocsirt@gmail.com 🌐 www.radiocsirt.org 📰 radiocsirt.substack.com #CyberSécurité #Malware #Gh0stRAT #Europol #IBM #Rondodox #Rust #Android #NCSC #RadioCSIRT 🎧

Bienvenue sur votre podcast quotidien sur la cybersécurité. 🛰️ DNS4EU : l’Union européenne avance vers un résolveur DNS souverain, sécurisé et entièrement opéré depuis l’UE. L’initiative vise à réduire la dépendance envers les services non-européens, apporter une meilleure résilience et intégrer nativement sécurité, filtrage et respect de la vie privée. 🛑 Ransomware – Bilan Q3 2025 : les dernières analyses montrent une hausse continue des attaques, portée par la professionnalisation des groupes, l’industrialisation du phishing et la montée des affiliés ciblant PME, infrastructures critiques et écosystèmes fournisseurs. 🎭 Faux employés IT nord-coréens : plusieurs citoyens américains plaident coupable pour avoir servi d’intermédiaires à des travailleurs nord-coréens se faisant passer pour des experts IT afin d’obtenir des emplois sensibles dans des entreprises américaines, contournant sanctions et contrôles. 🏢 Cisco Catalyst Center : découverte d’une vulnérabilité critique affectant la plateforme, permettant à un attaquant d’obtenir un accès privilégié aux environnements d’administration. Une mise à jour est disponible et doit être appliquée sans délai dans les infrastructures réseau dépendantes de Catalyst Center. 🐧 Debian : annonce officielle concernant de nouveaux correctifs de sécurité publiés par le projet Debian, incluant des mises à jour pour plusieurs composants centraux, avec un impact important pour les environnements serveurs et les systèmes intégrant des paquets sensibles. ⚡️ !On ne réfléchit pas, on patch!  🚀 📚 Sources : 🔗 DNS4EU : https://blog.marcfredericgomez.fr/dns4eu-vers-un-dns-europeen-souverain-securise-et-respectueux-de-la-vie-privee/ 🔗 Check Point – State of Ransomware Q3 2025 : https://research.checkpoint.com/2025/the-state-of-ransomware-q3-2025/ 🔗 North Korean IT Workers – The Record : https://therecord.media/multiple-us-nationals-guilty-pleas-north-korean-it-worker-scams 🔗 Cisco Catalyst Center : https://cybersecuritynews.com/cisco-catalyst-center-vulnerability/ 🔗 Debian – Security Updates : https://www.debian.org/News/2025/20251115 📞 Vos retours sont les bienvenus ! 📱 07 68 72 20 09 📧 radiocsirt@gmail.com 🌐 www.radiocsirt.org 📰 radiocsirt.substack.com #CyberSécurité #DNS4EU #Ransomware #NorthKorea #Cisco #Debian #RadioCSIRT 🎧🔥  

⚡️Bienvenue sur votre podcast quotidien sur la cybersécurité. 🧩 AMD Zen 5 : confirmation d’une vulnérabilité critique dans l’instruction rdseed, provoquant une forte réduction d’entropie et compromettant la robustesse cryptographique des clés générées sur les processeurs Zen 5 avant correctif. 🛡️ Akira : CISA, FBI et plusieurs partenaires internationaux publient des mises à jour majeures sur les TTP et les nouveaux IOC du groupe, avec une visibilité élargie sur les campagnes visant les PME et les secteurs critiques. 🌐 FortiWeb : exploitation active de la vulnérabilité CVE-2025-64446, un path traversal permettant l’exécution de commandes administratives via des requêtes HTTP(S) spécialement construites. 🏨 Faux sites de réservation : un acteur russophone a créé plus de 4 300 domaines imitant Booking, Airbnb, Expedia ou Agoda pour voler les données de paiement des voyageurs via un kit de phishing multi-langues. 🧬 FormBook : nouvelle campagne basée sur des archives ZIP piégées, enchaînant VBS obfusqué, PowerShell multi-couches et injection dans msiexec.exe pour déployer une variante du stealer. 💼 Logitech : la société confirme une exfiltration de données via l’exploitation d’un zero-day tiers, revendiquée par Clop, avec près de 1,8 To de données publiées sur leur site d’extorsion. ⚡️ On ne réfléchit pas, on patch ! 🚀 📚 Sources : 🔗 AMD Zen 5 RNG : https://www.tomshardware.com/pc-components/cpus/amd-confirms-zen-5-rng-flaw-when-random-isnt-random-enough 🔗 Akira – CISA/FBI : https://www.cisa.gov/news-events/alerts/2025/11/13/cisa-fbi-and-partners-unveil-critical-guidance-protect-against-akira-ransomware-threat 🔗 FortiWeb CVE-2025-64446 : https://www.cisa.gov/news-events/alerts/2025/11/14/fortinet-releases-security-advisory-relative-path-traversal-vulnerability-affecting-fortiweb-products 🔗 Fake Travel Sites : https://thehackernews.com/2025/11/russian-hackers-create-4300-fake-travel.html 🔗 FormBook : https://cybersecuritynews.com/weaponized-zip-archives-and-multi-script-chains-used-to-deploy-formbook-malware 🔗 Logitech / Clop : https://www.bleepingcomputer.com/news/security/logitech-confirms-data-breach-after-clop-extortion-attack 📞 Vos retours sont les bienvenus ! 📱 07 68 72 20 09 📧 radiocsirt@gmail.com 🌐 www.radiocsirt.org 📰 radiocsirt.substack.com #CyberSécurité #AMD #Akira #Fortinet #FormBook #Phishing #Logitech #Clop #Ransomware #RadioCSIRT 🎧🔥

Bienvenue sur votre podcast quotidien sur la cybersécurité. 🤖 Anthropic : controverse autour des affirmations selon lesquelles Claude aurait permis d’automatiser des cyberattaques complètes. Plusieurs spécialistes remettent en question la validité technique et l’absence de preuves concrètes. 🛡️ Fortinet confirme avoir discrètement corrigé une vulnérabilité zero-day critique affectant FortiWeb, déjà exploitée activement. Le correctif silencieux visait à éviter d’alerter les attaquants surveillant les mises à jour. 📞 Cisco Unified CCX : plusieurs failles critiques mettent en danger les environnements de centres d’appels, permettant une compromission avec exécution de code et accès non autorisé à des systèmes sensibles. 🐉 Google engage une action judiciaire pour démanteler une triade chinoise spécialisée dans le SMS phishing. L’opération vise une infrastructure structurée opérant à l’international. 📡 ASUS – CVE-2025-59367 : une faille critique permet un accès distant sans authentification aux routeurs ASUS DSL, offrant un contrôle total de l’appareil. 🇰🇵 Opérations nord-coréennes : les acteurs APT détournent désormais des services JSON pour contourner les détections classiques et renforcer la furtivité de leurs infrastructures C2. 🔍 CERT-FR – Opération EndGame : le CERT-FR publie une analyse CTI approfondie concernant une campagne avancée reposant sur des tactiques modulaires et une infrastructure distribuée ciblant des entités stratégiques. ⚡️ On ne réfléchit pas, on patch ! 🚀 📚 Sources : 🔗 Anthropic : https://www.bleepingcomputer.com/news/security/anthropic-claims-of-claude-ai-automated-cyberattacks-met-with-doubt/ 🔗 Fortinet (FortiWeb Zero-Day) : https://www.bleepingcomputer.com/news/security/fortinet-confirms-silent-patch-for-fortiweb-zero-day-exploited-in-attacks/ 🔗 Cisco Unified CCX : https://cyberpress.org/cisco-unified-ccx-flaws/ 🔗 Google – SMS Phishing Triad : https://krebsonsecurity.com/2025/11/google-sues-to-disrupt-chinese-sms-phishing-triad/ 🔗 ASUS – CVE-2025-59367 : https://securityaffairs.com/184636/security/critical-cve-2025-59367-flaw-lets-hackers-access-asus-dsl-routers-remotely.html 🔗 North Korean JSON Abuse : https://thehackernews.com/2025/11/north-korean-hackers-turn-json-services.html 🔗 CERT-FR – Opération EndGame : https://www.cert.ssi.gouv.fr/cti/CERTFR-2025-CTI-011/ 📞 Vos retours sont les bienvenus ! 📱 07 68 72 20 09 📧 radiocsirt@gmail.com 🌐 www.radiocsirt.org 📰 radiocsirt.substack.com #CyberSécurité #Anthropic #Fortinet #Cisco #Google #ASUS #NorthKorea #CERTFR #Menaces #RadioCSIRT 🎧🔥

Bienvenue sur votre podcast quotidien sur la cybersécurité. 🌐 Google TAG : bulletin du troisième trimestre 2025 — plus de 18 000 chaînes YouTube, 120 domaines et plusieurs réseaux coordonnés démantelés. Activités massives provenant de Chine, de Russie, d’Azerbaïdjan, d’Iran et de Turquie, ainsi que sept opérations distinctes visant la Moldavie. 🛡️ La CISA alerte sur des menaces persistantes ciblant les équipements Cisco ASA et Firepower. Exploitations actives, compromissions confirmées et recommandation d’appliquer immédiatement les correctifs et mesures d’atténuation. 📊 Nagios (CERT-FR) : publication d’un avis de sécurité concernant plusieurs vulnérabilités affectant Nagios XI et ses composants. Risques de compromission, exécution de code et élévation de privilèges — mises à jour urgentes nécessaires pour tous les environnements de supervision. ⚡️ On ne réfléchit pas, on patch ! 🚀 📚 Sources : 🔗 Google TAG – https://blog.google/threat-analysis-group/tag-bulletin-q3-2025/ 🔗 CISA – https://www.cisa.gov/news-events/news/cisa-identifies-ongoing-cyber-threats-cisco-asa-and-firepower-devices 🔗 CERT-FR (Nagios) – https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0989/ 📞 Vos retours sont les bienvenus ! 📱 07 68 72 20 09 📧 radiocsirt@gmail.com 🌐 www.radiocsirt.org 📰 radiocsirt.substack.com #CyberSécurité #GoogleTAG #CISA #Cisco #Nagios #CERTFR #Supervision #Menaces #RadioCSIRT 🎧🔥

8 actus essentielles à ne pas manquer ! 🐧 Curly COMrade : un groupe russe exploite Hyper-V pour dissimuler un malware Linux dans une VM Alpine, contournant les détections EDR. 🇦🇺 ASIO alerte sur le risque de cyber-sabotage à fort impact : des États autoritaires prépareraient des attaques contre l’énergie, l’eau et les télécoms. 💻 OWASP 2025 : le Broken Access Control reste la première vulnérabilité applicative, suivi des erreurs de configuration et des défaillances de la chaîne d’approvisionnement. ☁️ Google Private AI Compute : traitement IA confidentiel dans le cloud, combinant vitesse et chiffrement matériel pour une confidentialité totale des données. 🧰 Synology BeeStation (CVE-2025-12686) : faille critique RCE corrigée après sa démonstration à Pwn2Own Ireland 2025 – mise à jour immédiate conseillée. 🧩 SAP SQL Anywhere Monitor (CVE-2025-42890) : identifiants codés en dur, vulnérabilité notée CVSS 10/10 – arrêt du module et suppression des instances recommandés. 📶 TP-Link : les États-Unis envisagent d’interdire la marque pour motifs de sécurité nationale, sur fond de soupçons d’influence chinoise et de failles récurrentes. 🕵️ Rhadamanthys Infostealer : l’opération est neutralisée, plusieurs cybercriminels ont perdu l’accès à leurs serveurs, possiblement suite à l’opération Endgame. 💻 Windows 11 : bug du Gestionnaire des tâches corrigé dans la mise à jour KB5068861, les processus fantômes causaient des ralentissements notables. ⚡️ On ne réfléchit pas, on patch ! 🚀 📚 Sources : 🔗 Linux Magazine – https://www.linux-magazine.com/Online/News/Another-Linux-Malware-Discovered 🔗 The Register (ASIO) – https://www.theregister.com/2025/11/12/asio_cyber_sabotage_warnings/ 🔗 The Register (OWASP) – https://www.theregister.com/2025/11/11/new_owasp_top_ten_broken/ 🔗 The Hacker News (Google) – https://thehackernews.com/2025/11/google-launches-private-ai-compute.html 🔗 Security Affairs (Synology) – https://securityaffairs.com/184528/security/synology-patches-critical-beestation-rce-flaw-shown-at-pwn2own-ireland-2025.html 🔗 Security Affairs (SAP) – https://securityaffairs.com/184500/security/sap-fixed-a-maximum-severity-flaw-in-sql-anywhere-monitor.html 🔗 KrebsOnSecurity – https://krebsonsecurity.com/2025/11/drilling-down-on-uncle-sams-proposed-tp-link-ban/ 🔗 BleepingComputer (Rhadamanthys) – https://www.bleepingcomputer.com/news/security/rhadamanthys-infostealer-disrupted-as-cybercriminals-lose-server-access/ 🔗 BleepingComputer (Microsoft) – https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-windows-task-manager-bug-affecting-performance/ 📞 Vos retours sont les bienvenus ! 📱 07 68 72 20 09 📧 radiocsirt@gmail.com 🌐 www.radiocsirt.org 📰 radiocsirt.substack.com #CyberSécurité #Linux #ASIO #OWASP #Google #Synology #SAP #TPLINK #Rhadamanthys #Windows11 #RadioCSIRT 🎧🔥

Bienvenue dans cette édition spéciale consacrée au Patch Tuesday de Microsoft 🕵️‍♂️🔥 📌 Microsoft – Patch Tuesday Novembre 2025 : 63 vulnérabilités corrigées, dont une zero-day Microsoft a publié ce mois-ci des correctifs pour 63 failles, dont une vulnérabilité zero-day activement exploitée — CVE-2025-62215, affectant le noyau Windows. Parmi les vulnérabilités critiques figurent plusieurs exécutions de code à distance (RCE) dans GDI+ (CVE-2025-60724), Microsoft Office (CVE-2025-62199) et Visual Studio (CVE-2025-62214), ainsi qu’une élévation de privilèges dans le DirectX Graphics Kernel (CVE-2025-60716). Les vulnérabilités marquées comme “Exploitation More Likely” concernent notamment CEIP (CVE-2025-59512), le Client-Side Caching Service (CVE-2025-60705) et plusieurs failles du pilote WinSock (CVE-2025-60719, CVE-2025-62217, CVE-2025-62213). 🔧 Les priorités : Corrigez immédiatement la zero-day, déployez sans délai les mises à jour critiques, et traitez les élévations de privilèges importantes à haut risque. Intégrez également les correctifs des autres éditeurs du mois : Adobe, Cisco, SAP, QNAP, Google/Android, et Samsung. 📚 Sources : 🔗 Blog de Marc Frédéric GOMEZ : https://blog.marcfredericgomez.fr/patch-tuesday-microsoft-novembre-2025/ 🔗 Bleeping Computer – Microsoft November 2025 Patch Tuesday fixes 1 zero-day, 63 flaws : https://www.bleepingcomputer.com/news/microsoft/microsoft-november-2025-patch-tuesday-fixes-1-zero-day-63-flaws/ 🔗 Talos Intelligence Blog – Microsoft Patch Tuesday November 2025 : https://blog.talosintelligence.com/microsoft-patch-tuesday-november-2025/ 🔗 Microsoft Security Update Guide – November 2025 : https://msrc.microsoft.com/update-guide 📞 Partagez vos retours : 📧 radiocsirt@gmail.com 🌐 www.radiocsirt.org 📰 radiocsirt.substack.com

🎙️ ⚡️7 actus essentielles à ne pas manquer ! 🔐 KeePassXC : transparence totale sur l’usage de l’IA dans le développement — aucune fonction IA intégrée, toutes les contributions restent soumises à une revue humaine complète. 🏢 NCSC (UK) : lancement du Cyber Action Toolkit, un outil gratuit et interactif pour aider les petites entreprises à renforcer leur cybersécurité de manière simple et concrète. 💥 Triofox (CVE-2025-12480) : exploitation active d’une faille critique (CVSS 9.1) permettant exécution de code via la fonction antivirus intégrée. Mandiant appelle à patcher sans délai. 📱 APT37 : le groupe nord-coréen détourne Google Find Hub pour géolocaliser et effacer à distance les smartphones Android de victimes sud-coréennes. 💾 3CX : scans massifs ciblant les serveurs FTP de sauvegarde — rappel : éviter FTP pour les données sensibles et vérifier les comptes partagés SSH/Telnet. 🕵️ Fantasy Hub : un nouveau spyware “as-a-service” en location, avec fausses apps Android, kits de personnalisation et support client. 🦊 Mozilla Firefox : nouvelles défenses intégrées contre le fingerprinting, réduisant le pistage en ligne sans nuire à la compatibilité web. ⚡️ On ne réfléchit pas, on patch ! 🚀 📚 Sources : 🔗 Malwarebytes – https://www.malwarebytes.com/blog/news/2025/11/fantasy-hub-is-spyware-for-rent-complete-with-fake-app-kits-and-support 🔗 SANS ISC – https://isc.sans.edu/diary/rss/32464 🔗 BleepingComputer (Firefox) – https://www.bleepingcomputer.com/news/security/mozilla-firefox-gets-new-anti-fingerprinting-defenses/ 🔗 BleepingComputer (APT37) – https://www.bleepingcomputer.com/news/security/apt37-hackers-abuse-google-find-hub-in-android-data-wiping-attacks/ 🔗 The Hacker News – https://thehackernews.com/2025/11/hackers-exploiting-triofox-flaw-to.html 🔗 NCSC – https://www.ncsc.gov.uk/blog-post/cat-breaking-down-resilience-barriers 🔗 KeePassXC – https://keepassxc.org/blog/2025-11-09-about-keepassxcs-code-quality-control/ 📞 Vos retours sont les bienvenus ! 📱 07 68 72 20 09 📧 radiocsirt@gmail.com 🌐 www.radiocsirt.org 📰 radiocsirt.substack.com #CyberSécurité #KeePassXC #NCSC #Triofox #APT37 #3CX #Firefox #Spyware #RadioCSIRT 🎧🔥

⚡️Bienvenue dans votre bulletin cybersécurité du jour 🕵️‍♂️🔥 📱 Samsung – Nouvelle faille critique ajoutée au catalogue KEV (CVE-2025-21042) La CISA a inscrit une vulnérabilité de type Out-of-Bounds Write affectant certains appareils mobiles Samsung dans son catalogue des vulnérabilités activement exploitées. Ce type de faille permet d’écrire des données en dehors des zones mémoire prévues, compromettant potentiellement la confidentialité et l’intégrité des systèmes. Les agences fédérales américaines doivent appliquer le correctif selon la directive BOD 22-01. La CISA recommande à toutes les organisations, publiques comme privées, de patcher sans délai. 💬 LinkedIn – Explosion des campagnes de phishing ciblant les dirigeants 34 % des attaques de phishing se déroulent désormais hors du canal e-mail, notamment sur LinkedIn. Les attaquants utilisent des comptes compromis ou légitimes sans MFA pour diffuser des messages personnalisés via IA. Ces DMs contournent les outils de sécurité classiques, rendant la détection complexe. La plateforme devient ainsi un vecteur privilégié de spear-phishing dans les secteurs financier et technologique. 🏢 Allianz UK – Victime du groupe Clop via Oracle E-Business Suite L’assureur britannique a confirmé une compromission liée à l’exploitation d’une faille zero-day dans Oracle EBS (CVE-2025-61882, CVSS 9.8). Les données de 80 clients actuels et 670 anciens clients ont été exposées. Cette attaque s’inscrit dans une campagne plus large du groupe Clop, déjà responsable de l’incident MOVEit Transfer en 2023. Les autorités britanniques ont été informées, et des mesures de remédiation sont en cours. 🕵️‍♂️ NSO Group – David Friedman nommé président exécutif L’ancien ambassadeur des États-Unis en Israël, David Friedman, prend la tête du groupe israélien NSO, connu pour le spyware Pegasus. Ce changement suit le rachat de l’entreprise par un consortium d’investisseurs mené par Robert Simonds. NSO, toujours sous la supervision du ministère israélien de la Défense, reste confronté à plusieurs actions judiciaires concernant l’usage abusif de Pegasus. Un tribunal fédéral américain lui interdit désormais d’utiliser WhatsApp comme vecteur d’attaque, décision jugée par Friedman comme un « revers significatif ». ⚡️ On ne réfléchit pas, on patch ! 🚀 📚 Sources : 🔗 CISA – Samsung : https://www.cisa.gov/news-events/alerts/2025/11/10/cisa-adds-one-known-exploited-vulnerability-catalog 🔗 Bleeping Computer – LinkedIn : https://www.bleepingcomputer.com/news/security/5-reasons-why-attackers-are-phishing-over-linkedin/ 🔗 The Register – Allianz UK : https://www.theregister.com/2025/11/10/allianz_uk_joins_growing_list/ 🔗 The Record – NSO Group : https://therecord.media/former-trump-official-named-nso-group-chairman 📞 Partagez vos retours : 📱 07 68 72 20 09 📧 radiocsirt@gmail.com 🌐 www.radiocsirt.org 📰 radiocsirt.substack.com #CyberSécurité #Samsung #LinkedIn #Clop #Allianz #NSO #Pegasus #RadioCSIRT 🎧🔥

Bienvenue dans votre bulletin cybersécurité du week-end 🕵️‍♂️🔥 🐧 Samba — Exécution de commandes à distance (CVE-2025-10230) Une vulnérabilité critique touche Samba dans la gestion du module WINS. Un attaquant non authentifié peut injecter des commandes via des noms NetBIOS non filtrés et exécuter du code arbitraire sur le serveur. Score CVSS : 10.0. La faille permet une compromission complète du système. Mise à jour immédiate recommandée. 🧩 SuiteCRM — Maintien d’accès après désactivation de compte (CVE-2025-64489) Les versions jusqu’à 7.14.7 et 8.9.0 ne révoquent pas les sessions des comptes désactivés. Un utilisateur inactif peut donc conserver l’accès et se réactiver lui-même. Vulnérabilité de gravité élevée : CVSS 8.3. Correctif disponible à partir des versions 7.14.8 et 8.9.1. 🔐 SuiteCRM — Contournement des contrôles RBAC (CVE-2025-64490) Un défaut d’application des rôles permet à des utilisateurs à privilèges restreints d’accéder ou de créer des éléments dans les modules désactivés. Ce défaut d’autorisation expose des données sensibles. Patch disponible depuis la version 8.9.1. 💣 NuGet — Malware destructeur à retardement dans des paquets .NET Des chercheurs ont découvert neuf paquets malveillants publiés entre 2023 et 2024, conçus pour déclencher leur charge utile entre 2027 et 2028. Parmi eux, Sharp7Extend ciblait les automates industriels Siemens S7 via du code corrompant les communications PLC. Ces extensions ont été retirées, mais les systèmes les ayant utilisées doivent être considérés comme compromis. 🧠 Whisper Leak — Espionnage par analyse du trafic chiffré des IA Microsoft révèle une attaque par canal auxiliaire permettant de déduire le sujet d’une conversation avec un chatbot, même sous chiffrement HTTPS. En analysant la taille et la fréquence des paquets, un attaquant peut identifier des thématiques sensibles. Des contre-mesures sont désormais déployées par OpenAI, Microsoft et Mistral, notamment l’ajout de texte aléatoire pour masquer les séquences. 🐉 Espionnage chinois — Intrusion dans une ONG américaine Un groupe lié à la Chine a compromis en avril 2025 une organisation américaine impliquée dans les affaires politiques internationales. Exploitant plusieurs failles publiques et un sideloading de DLL via vetysafe.exe, les attaquants ont maintenu un accès furtif plusieurs semaines. Objectif : espionnage de politiques américaines et exfiltration via un RAT associé à APT41. 🧱 QNAP — Sept zero-day critiques corrigés après Pwn2Own 2025 Sept vulnérabilités critiques ont été exploitées sur les NAS QNAP, permettant RCE et élévation de privilèges. Les failles touchaient QTS 5.2.x et QuTS hero h5.2.x / h5.3.x. Des correctifs ont été publiés le 24 octobre 2025 : QTS 5.2.7.3297 et QuTS hero 5.3.1.3292. QNAP recommande la mise à jour immédiate, la rotation des mots de passe et la segmentation du réseau NAS. ⚡️ On ne réfléchit pas, on patch ! 🚀 📚 Sources : 🔗 Samba : https://cvefeed.io/vuln/detail/CVE-2025-10230 🔗 SuiteCRM (CVE-2025-64489) : https://cvefeed.io/vuln/detail/CVE-2025-64489 🔗 SuiteCRM (CVE-2025-64490) : https://cvefeed.io/vuln/detail/CVE-2025-64490 🔗 The Register – NuGet : https://www.theregister.com/2025/11/07/cybercriminals_plant_destructive_time_bomb/ 🔗 The Hacker News – Whisper Leak : https://thehackernews.com/2025/11/microsoft-uncovers-whisper-leak-attack.html 🔗 Security Affairs – Espionnage Chine : https://securityaffairs.com/184351/apt/china-linked-hackers-target-u-s-non-profit-in-long-term-espionage-campaign.html 🔗 Cybersecurity News – QNAP : https://cybersecuritynews.com/qnap-zero-day-vulnerabilities-exploited/ 📞 Partagez vos retours : 📱 07 68 72 20 09 📧 radiocsirt@gmail.com 🌐 www.radiocsirt.org 📰 radiocsirt.substack.com #CyberSécurité #Samba #SuiteCRM #NuGet #WhisperLeak #APT41 #QNAP #RadioCSIRT 🎧🔥

🎧🛡️ ⚡️ Bienvenue dans votre bulletin cybersécurité du week-end 🕵️‍♂️🔥 💰 Microsoft alerte sur des attaques ciblant les services de paie Microsoft met en garde contre une campagne de phishing sophistiquée surnommée Payroll Pirates. Les attaquants imitent des services RH légitimes pour dérober les identifiants Microsoft 365 et détourner des virements de salaires. La campagne exploite des domaines usurpés et des formulaires Microsoft authentiques pour contourner les filtres de sécurité. 🎓 Iran — Espionnage académique ciblé par un APT Un groupe affilié à l’Iran, identifié comme APT42, mène une campagne contre des chercheurs et universitaires en Europe et en Amérique du Nord. Les attaquants utilisent des emails de contact universitaire falsifiés et des liens vers de faux portails d’instituts pour collecter des données personnelles et des identifiants institutionnels. 🎥 ClickFix — Les faux sites CAPTCHA passent à la vidéo Les opérateurs de la campagne ClickFix innovent en ajoutant des tutoriels vidéo sur leurs faux sites CAPTCHA. Ces pages malveillantes copient automatiquement du code dans le presse-papiers des visiteurs pour leur faire exécuter un stealer, comme Lumma ou Atomic Stealer. Une technique d’ingénierie sociale renforcée par un compte à rebours pour pousser à l’exécution. 🛡️ États-Unis — Nouvelle stratégie cyber pour le Pentagone Le département américain de la Défense présente une refonte complète de sa doctrine numérique. Ce modèle, successeur du projet Cyber Command 2.0, vise à structurer la formation et l’innovation cyber sur dix ans. Le Centre d’entraînement avancé n’atteindra sa capacité minimale qu’en 2028 et complète en 2031, illustrant la lenteur de mise en œuvre. 🇪🇺 Union européenne — Vers une extension des pouvoirs d’Europol Le comité LIBE du Parlement européen approuve une proposition renforçant la collecte et le partage de données biométriques par Europol, dans la lutte contre le trafic d’êtres humains. Les défenseurs de la vie privée dénoncent une dérive vers la surveillance de masse. Le texte doit encore être voté en plénière. 🧩 Drupal — Nouvelles vulnérabilités dans les modules communautaires Deux modules sont touchés : Simple multi step form (XSS, CVE-2025-12761) et Email TFA (contournement d’accès, CVE-2025-12760). Les deux failles sont jugées modérément critiques et nécessitent une mise à jour immédiate. 📱 LANDFALL — Nouveau spyware Android ciblant Samsung Les chercheurs de Unit 42 révèlent LANDFALL, un spyware sophistiqué diffusé via des images DNG malveillantes. Exploitant une faille zero-day dans la bibliothèque libimagecodec.quram.so de Samsung, il permet d’exécuter du code et d’espionner appels, micro et géolocalisation. 🐧 Red Hat — 24 vulnérabilités corrigées dans le noyau Linux L’avis CERTFR-2025-AVI-0978 recense 24 CVE affectant les noyaux des versions 8, 9 et 10 de Red Hat Enterprise Linux. Les risques incluent exécution de code arbitraire, fuite de données et déni de service. Des correctifs sont disponibles via les bulletins RHSA publiés début novembre. 🏦 Banque d’Angleterre — Incident cyber touchant un prestataire automobile La Banque d’Angleterre indique suivre de près une cyberattaque ayant paralysé les systèmes de Jaguar Land Rover. L’incident, lié à un fournisseur, provoque des perturbations logistiques majeures et met en évidence les risques liés à la dépendance de la supply chain industrielle. 🐧 Ubuntu — 261 vulnérabilités corrigées dans le noyau Linux L’avis CERTFR-2025-AVI-0977 signale 261 CVE affectant les noyaux Linux d’Ubuntu 14.04 à 25.04, dont plusieurs critiques. Les correctifs sont disponibles via les bulletins USN publiés cette semaine. Un redémarrage complet des systèmes est requis après mise à jour. ⚡️ On ne réfléchit pas, on patch ! 🚀 📚 Sources : 🔗 https://thehackernews.com/2025/10/microsoft-warns-of-payroll-pirates.html 🔗 https://cyberpress.org/iranian-apt-targeting-academics/ 🔗 https://www.malwarebytes.com/blog/news/2025/11/fake-captcha-sites-now-have-tutorial-videos-to-help-victims-install-malware 🔗 https://therecord.media/revised-cyber-command-master-plan-dod-pentagon 🔗 https://therecord.media/eu-parliament-committee-votes-europol-data-sharing-agreement 🔗 https://www.drupal.org/security 🔗 https://unit42.paloaltonetworks.com/landfall-is-new-commercial-grade-android-spyware/ 🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0978/ 🔗 https://www.theregister.com/2025/11/07/bank_of_england_says_jlrs/ 🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0977/ 📞 Partagez vos retours : 📱 07 68 72 20 09 📧 radiocsirt@gmail.com 🌐 www.radiocsirt.org 📰 radiocsirt.substack.com #CyberSécurité #Microsoft #APT42 #ClickFix #Pentagone #Europol #Drupal #Android #LANDFALL #RedHat #Ubuntu #RadioCSIRT 🎧🔥

Bienvenue dans votre bulletin cybersécurité du jour 🕵️‍♂️🔥 🧩 Suricata — Multiples vulnérabilités dans le moteur IDS/IPS open source Plusieurs failles ont été découvertes dans Suricata, affectant les versions 8.0.x avant 8.0.2 et 7.0.x avant 7.0.13. Ces vulnérabilités permettent à un attaquant de provoquer des comportements indéterminés ou des corruptions mémoire. Les versions corrigées intègrent des mécanismes renforcés de gestion des flux et de décodage. 💬 Mattermost — Failles de sécurité dans le serveur collaboratif Une vulnérabilité affecte plusieurs branches de Mattermost Server, notamment les versions 10.11.x avant 10.11.5 et 11.0.x avant 11.0.3. L’éditeur évoque un problème de sécurité pouvant être exploité à distance, incitant les administrateurs à mettre à jour sans délai leurs instances et à redémarrer les services pour appliquer les correctifs. 🌐 Cisco — Exécution de code et déni de service à distance Deux bulletins de sécurité corrigent des failles critiques dans Cisco ISE (jusqu’à la 3.4 Patch 3) et Unified CCX (jusqu’à 12.5 SU3 ES07). L’exploitation de ces vulnérabilités permet une exécution de code arbitraire ou un déni de service via des paquets spécialement forgés. Les correctifs sont disponibles sur le portail sécurité Cisco. ⚙️ Google Chrome — Vulnérabilités multiples sur toutes les plateformes Google publie une mise à jour pour Chrome (version 142.0.7444.134/.135) corrigeant plusieurs failles de type use-after-free et out-of-bounds write dans les composants Blink et V8. Certaines vulnérabilités auraient été exploitées avant la mise à jour ; une actualisation immédiate est recommandée sur Windows, macOS et Linux. 🏗️ VMware — Série de correctifs massifs sur Tanzu Platform et produits associés Des dizaines de bulletins couvrent des failles affectant les modules Tanzu, Cloud Foundry, Stemcells, Spring Cloud et les buildpacks de langages. Les risques incluent fuites de données, élévation de privilèges et exécution de code. Les administrateurs doivent mettre à jour vers Tanzu Platform 10.3.0 et les dernières versions de Stemcells. 🤖 Gemini AI détourné — L’IA utilisée pour créer un malware auto-évolutif Google Threat Intelligence Group alerte sur un usage détourné de Gemini par des acteurs étatiques. L’Iranien APT42 a tenté de créer un agent de traitement de données capable d’analyser des PII via des requêtes SQL. Un malware expérimental, PromptFlux, réécrit son propre code à l’aide de Gemini pour échapper à la détection. 🎯 Ukraine — Fausse mise à jour ESET et backdoor Kalambur Une campagne attribuée au cluster russe InedibleOchotense diffuse de faux installateurs ESET contenant un backdoor Kalambur utilisant le réseau Tor pour son C2. L’opération cible des entités ukrainiennes via des e-mails et messages Signal, exploitant la notoriété d’ESET pour légitimer les fichiers piégés. 📰 Clop Ransomware — The Washington Post revendiqué sur le dark web Le groupe Clop (Cl0p), issu de TA505, prétend avoir compromis The Washington Post. Spécialiste de la double extorsion, Clop a déjà exploité MOVEit Transfer, GoAnywhere MFT et Accellion FTA pour attaquer des centaines d’entreprises. Le groupe annonce la publication prochaine des données volées. ⚡️ On ne réfléchit pas, on patch ! 🚀 📚 Sources : 🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0972/ 🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0971/ 🔗 http://cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0968/ 🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0973/ 🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0969/ 🔗 https://www.theregister.com/2025/11/05/attackers_experiment_with_gemini_ai/ 🔗 https://thehackernews.com/2025/11/trojanized-eset-installers-drop.html 🔗 https://securityaffairs.com/184304/cyber-crime/clop-ransomware-group-claims-the-breach-of-the-washington-post.html 📞 Partagez vos retours : 📱 07 68 72 20 09 📧 radiocsirt@gmail.com 🌐 www.radiocsirt.org 📰 radiocsirt.substack.com #CyberSécurité #Suricata #VMware #Cisco #Chrome #Mattermost #GeminiAI #ESET #Clop #Ukraine #CERT #SOC #CTI #RadioCSIRT 🎧🔥

🎧🛡️ ⚡️Bienvenue dans votre bulletin cybersécurité du jour 🕵️‍♂️🔥 💬 Microsoft Teams — Vulnérabilités d’usurpation et de spoofing Check Point Research révèle quatre failles critiques dans Microsoft Teams permettant d’usurper des identités, manipuler des messages et falsifier des notifications. Ces vulnérabilités, désormais corrigées, pouvaient être exploitées par des invités externes ou des initiés malveillants. 🌐 Google Chrome — Données d’identité dans l’autoremplissage Chrome introduit la fonction Enhanced Autofill, capable de stocker passeports et permis de conduire. Une commodité risquée : ces données hautement sensibles exposent les utilisateurs à un risque accru en cas de compromission du navigateur. ⚖️ Chine — Peine de mort pour les barons du scam birman Cinq membres d’un vaste réseau de cyberescroquerie opérant à la frontière sino-birmane ont été condamnés à mort. Leur empire criminel, impliqué dans la fraude en ligne et le trafic d’êtres humains, aurait généré plus de 4 milliards de dollars. 💼 Japon — Fuite de données chez Nikkei via Slack Le groupe de presse Nikkei confirme une compromission de son espace Slack interne après l’infection d’un poste de travail. Les noms, e-mails et historiques de chat de plus de 17 000 employés et partenaires auraient été exposés. 🧩 Palo Alto Networks — Asset Management, le héros discret de la cybersécurité Bradley Duncan rappelle que la threat intelligence n’est efficace qu’adossée à une gestion rigoureuse des actifs. Sans inventaire ni supervision des postes, les défenses face à des menaces comme Qakbot ou Emotet restent fragiles. 🕵️ Gootloader — Retour d’un loader JavaScript sophistiqué Après sept mois d’absence, Gootloader revient avec des techniques inédites : SEO poisoning, polices truquées pour masquer le code malveillant et archives ZIP malformées. Il distribue notamment le backdoor Supper SOCKS5, lié au groupe Vanilla Tempest. ⚙️ Django — Faille critique d’injection SQL (CVE-2025-64459) La Django Software Foundation corrige une injection SQL affectant les méthodes QuerySet et une vulnérabilité DoS sous Windows. Les mises à jour 4.2.26, 5.1.14 et 5.2.8 sont disponibles et doivent être déployées sans délai. 📤 NCSC UK — Fin de Mail Check et Web Check en 2026 Le NCSC annonce la fin de ses services Mail Check et Web Check le 31 mars 2026, remplacés par des solutions commerciales d’External Attack Surface Management (EASM). Un guide d’achat officiel aide les organisations à préparer la transition. ⚡️ On ne réfléchit pas, on patch ! 🚀 📚 Sources : https://research.checkpoint.com/2025/microsoft-teams-impersonation-and-spoofing-vulnerabilities-exposed/ https://www.malwarebytes.com/blog/news/2025/11/should-you-let-chrome-store-your-drivers-license-and-passport https://therecord.media/china-sentences-5-myanmar-scam-kingpins-to-death https://therecord.media/japan-nikkei-slack-breach https://unit42.paloaltonetworks.com/asset-management/ https://www.bleepingcomputer.com/news/security/gootloader-malware-is-back-with-new-tricks-after-7-month-break/ https://securityonline.info/django-team-patches-high-severity-sql-injection-flaw-cve-2025-64459-and-dos-bug-cve-2025-64458-in-latest-security-update/ https://www.ncsc.gov.uk/blog-post/retiring-mail-check-web-check 📞 Partagez vos retours : 📱 07 68 72 20 09 📧 radiocsirt@gmail.com 🌐 www.radiocsirt.org 📰 radiocsirt.substack.com #CyberSécurité #MicrosoftTeams #Chrome #Nikkei #China #Django #Gootloader #PaloAlto #NCSC #CERT #SOC #CTI #RadioCSIRT 🎧🔥

Bienvenue dans votre bulletin cybersécurité du jour 🕵️‍♂️🔥 🌐 CPI — openDesk remplace Microsoft Office La Cour pénale internationale annonce son basculement vers la suite open source openDesk, développée sous l’impulsion de ZenDiS en Allemagne. L’objectif est de renforcer la souveraineté numérique et de réduire la dépendance aux solutions Microsoft. 🐧 Linux — Les failles noyau les plus critiques de 2025 Le noyau Linux fait face à plusieurs vulnérabilités critiques cette année, notamment des failles permettant une élévation de privilèges au niveau du kernel. Les systèmes virtualisés et isolés sont particulièrement concernés, avec une recommandation forte de mise à jour immédiate. 🛡️ CISA — Deux vulnérabilités ajoutées au catalogue KEV La CISA ajoute deux nouvelles vulnérabilités à son catalogue Known Exploited Vulnerabilities, signalant leur exploitation active. Les agences fédérales américaines sont tenues d’appliquer les correctifs sans délai, une mesure qui s’étend aux infrastructures critiques. 📦 cURL — Contournement de politique de sécurité Une vulnérabilité majeure affecte cURL, permettant le contournement de politiques de sécurité sur certaines versions 7.69 à 8.x. Le CERT-FR recommande de mettre à jour immédiatement vers la version 8.17.0 ou supérieure. 🧰 MISP — Multiples vulnérabilités avant la version 2.5.24 Plusieurs failles de sécurité, incluant des vulnérabilités XSS et de contournement de politique de sécurité, ont été corrigées dans la version 2.5.24. Les instances MISP non à jour peuvent exposer des données sensibles. 🔒 Absolute Secure Access — Déni de service (CVE-2025-59595) Une faille critique peut provoquer un crash du serveur via un paquet spécialement forgé dans certaines configurations. Le correctif est disponible dans la version 14.12 et suivantes. 📵 Royaume-Uni — Fin du spoofing d’appel d’ici 2026 Les opérateurs britanniques annoncent le blocage automatique des appels téléphoniques usurpés grâce au Telecoms Charter. Ce plan vise à limiter les fraudes et à renforcer le traçage des communications suspectes. 💳 Eurojust — 18 arrestations dans une fraude mondiale à la carte bancaire Une opération coordonnée dans 19 pays a permis le démantèlement d’un réseau ayant blanchi plus de 300 millions d’euros. Les autorités européennes ont identifié plusieurs passerelles de paiement frauduleuses utilisées pour détourner les fonds. ⚡️ On ne réfléchit pas, on patch ! 🚀 📚 Sources : https://goodtech.info/cpi-abandonne-microsoft-opendesk/ https://www.linuxjournal.com/content/most-critical-linux-kernel-breaches-2025-so-far https://www.cisa.gov/news-events/alerts/2025/11/04/cisa-adds-two-known-exploited-vulnerabilities-catalog https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0964/ http://cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0965/ https://cvefeed.io/vuln/detail/CVE-2025-59595 https://www.bleepingcomputer.com/news/security/uk-carriers-to-block-spoofed-phone-numbers-in-fraud-crackdown/ https://www.eurojust.europa.eu/news/eurojust-coordinates-major-operation-against-eur-300-million-global-credit-card-fraud-18 📞 Partagez vos retours : 📱 07 68 72 20 09 📧 radiocsirt@gmail.com 🌐 www.radiocsirt.org 📰 radiocsirt.substack.com #CyberSécurité #openDesk #Linux #CISA #cURL #MISP #Absolute #TelecomsCharter #Eurojust #CERT #SOC #CTI #RadioCSIRT 🎧🔥

Bienvenue dans votre bulletin cybersécurité du jour 🕵️‍♂️🔥 🌐 Tor Browser 15.0 — Nouvelle version basée sur Firefox ESR 140 Tor Project publie la version 15.0 intégrant un an de correctifs de sécurité et la gestion des onglets verticaux. Le WebAssembly est désormais géré par NoScript et reste bloqué dans les niveaux Safer et Safest. Dernière version compatible Android 5 à 7 et architectures x86. 🧩 MariaDB — Multiples vulnérabilités corrigées Le CERT-FR signale plusieurs failles affectant les versions antérieures à 11.7.2. Les vulnérabilités CVE-2024-21096, CVE-2025-21490, CVE-2025-30693 et CVE-2025-30722 sont corrigées depuis le bulletin du 7 mai 2025. 💀 Wazuh — Détection avancée de ransomwares La plateforme open source Wazuh détecte les ransomwares DOGE Big Balls et Gunra via les règles MITRE T1486 et T1562. Elle combine surveillance d’intégrité, signatures YARA et intégration VirusTotal pour bloquer et supprimer les fichiers malveillants. ⚖️ États-Unis — Inculpation liée au ransomware BlackCat Trois anciens employés du secteur cyber sont accusés d’avoir mené des attaques BlackCat / ALPHV contre cinq entreprises américaines. Les rançons demandées atteignaient jusqu’à 10 millions de dollars. ⚠️ JobMonster — Faille critique d’authentification La vulnérabilité CVE-2025-5397 (score 9.8) permet la prise de contrôle d’administrateurs sur les sites WordPress utilisant le thème JobMonster. Corrigée en version 4.8.2 ; la désactivation du social login limite le risque. 💶 Eurojust — Réseau crypto criminel démantelé Neuf arrestations dans une opération conjointe France–Belgique–Chypre–Allemagne–Espagne. Le réseau blanchissait plus de 600 millions d’euros via de fausses plateformes d’investissement en cryptomonnaies. ⚡️ On ne réfléchit pas, on patch ! 🚀 📚 Sources : https://blog.torproject.org/new-release-tor-browser-150/ https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0956/ https://thehackernews.com/2025/11/ransomware-defense-using-wazuh-open.html https://thehackernews.com/2025/11/us-prosecutors-indict-cybersecurity.html https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-auth-bypass-flaw-in-jobmonster-wordpress-theme/ https://www.eurojust.europa.eu/news/decisive-actions-against-cryptocurrency-scammers-earning-over-eur-600-million 📞 Partagez vos retours : 📱 07 68 72 20 09 📧 radiocsirt@gmail.com 🌐 www.radiocsirt.org 📰 radiocsirt.substack.com #CyberSécurité #TorBrowser #MariaDB #Wazuh #BlackCat #JobMonster #Eurojust #Ransomware #CERT #SOC #CTI #RadioCSIRT 🎧🔥

Bienvenue dans votre bulletin cybersécurité du jour 🕵️‍♂️🔥 🐚 Rhysida — Campagne malvertising et abuse de certificats signés Le gang Rhysida poursuit sa campagne en utilisant OysterLoader, un outil d’accès initial distribué via des publicités malveillantes imitant Microsoft Teams et PuTTy.L’analyse d’Expel recense plus de 40 certificats de signature de code abusés depuis juin 2025, dont certains émis par Microsoft Trusted Signing. Les certificats compromis permettent de signer des binaires malveillants avec un faible taux de détection. 🌐 BIND 9 — Deux failles critiques non corrigées La Shadowserver Foundation alerte sur plus de 8 200 serveurs DNS vulnérables aux failles CVE-2025-40778 et CVE-2025-40780, dont une centaine situés aux Pays-Bas. Ces vulnérabilités permettent des attaques de type cache poisoning, redirigeant les utilisateurs vers de fausses adresses IP. Le NCSC néerlandais anticipe une exploitation active de ces failles. 🧩 Open VSX Registry — Jetons exposés et extensions piégées L’Eclipse Foundation a confirmé un incident lié à la fuite de jetons de publication de développeurs. Des extensions malveillantes ont été diffusées sur la plateforme via ces jetons. Toutes les extensions identifiées ont été retirées, et de nouvelles mesures de sécurité ont été instaurées : durée de vie limitée des jetons, révocation accélérée et scans automatisés lors de la publication. 🎯 Campagne d’espionnage — Cibles militaires russes et biélorusses Cyble et Seqrite ont identifié une opération de spear-phishing utilisant de faux documents militaires au format LNK. Les scripts exécutés installent un service OpenSSH local sur le port 20321 et un service caché Tor, permettant exfiltration et accès distant. La campagne présente des similarités avec les tactiques du groupe Sandworm, sans attribution confirmée à ce stade. 💻 Jabber Zeus — Arrestation de “MrICQ” aux États-Unis Yuriy Igorevich Rybtsov, alias MrICQ, développeur du groupe Jabber Zeus, a été extradé d’Italie vers les États-Unis. Inculpé en 2012, il est accusé d’avoir participé au vol de plusieurs dizaines de millions de dollars via le trojan bancaire Zeus. Son ancien complice Vyacheslav “Tank” Penchukov purge une peine de 18 ans de prison. 🧠 Kimsuky — Nouveau backdoor HttpTroy Gen Digital a révélé une campagne ciblant la Corée du Sud via un fichier ZIP piégé se présentant comme une facture VPN. Le malware HttpTroy, implant final de la chaîne, permet capture d’écran, transfert de fichiers et exécution de commandes. L’attaque, attribuée au groupe nord-coréen Kimsuky, emploie de multiples couches d’obfuscation pour contourner l’analyse. ⚡️ On ne réfléchit pas, on patch ! 🚀 📚 Sources : https://expel.com/blog/certified-oysterloader-tracking-rhysida-ransomware-gang-activity-via-code-signing-certificates/ https://www.security.nl/posting/911521/'Duizenden+dns-servers+missen+belangrijke+update+voor+BIND+9-lekken?channel=rss https://cyberpress.org/open-vsx-registry/ https://www.helpnetsecurity.com/2025/11/03/russian-belarusian-military-spear-phishing/ https://krebsonsecurity.com/2025/11/alleged-jabber-zeus-coder-mricq-in-u-s-custody/ https://thehackernews.com/2025/11/new-httptroy-backdoor-poses-as-vpn.html 📞 Partagez vos retours : 📱 07 68 72 20 09 📧 radiocsirt@gmail.com 🌐 www.radiocsirt.org 📰 radiocsirt.substack.com #CyberSécurité #Rhysida #OysterLoader #BIND9 #OpenVSX #Kimsuky #HttpTroy #JabberZeus #APT #DNS #CERT #SOC #CTI #RadioCSIRT 🎧🔥