RadioCSIRT - Edition Française

Une nouvelle vague de smishing aux États-Unis détourne l'image des tribunaux d'État : les messages contiennent désormais une image imitant un avis judiciaire avec QR code intégré, redirigeant via CAPTCHA vers des sites de Phishing imitant le DMV. Les domaines suivent le schéma [état].gov-[chaîne aléatoire].[tld]. Selon BleepingComputer, la technique vise à contourner les outils d'analyse automatisée.L'AhnLab Security Intelligence Center (ASEC) documente une évolution de la chaîne d'infection du groupe nord-coréen Kimsuky : l'infrastructure multi-scripts intègre des tâches planifiées XML (sch.db) et un Backdoor Python en deux variantes, dont une version interactive communiquant avec le C2 via protocole custom à taille fixe, avec auto-suppression sécurisée par écrasement aléatoire.Le Bundeskriminalamt (BKA) a publiquement identifié deux figures clés de REvil/Sodinokibi : Daniil Shchukin (alias UNKN), 31 ans, représentant du groupe depuis 2019, et Anatoly Kravchuk, 43 ans, développeur présumé. Les deux ressortissants russes sont soupçonnés de 130 attaques Ransomware en Allemagne pour un préjudice total dépassant 35,4 millions d'euros.Selon The Record, le CERT-UA documente un changement tactique des groupes russes APT28 et Void Blizzard : après une phase dominée par le "steal-and-go" en 2025, les attaquants revisitent désormais des infrastructures précédemment compromises pour vérifier la persistance des accès. Le vecteur Initial Access évolue vers l'ingénierie sociale par appel téléphonique avec numéros ukrainiens et maîtrise linguistique native, avant envoi de fichiers malveillants via messagerie instantanée.La CISA ajoute au KEV Catalog CVE-2026-35616, une vulnérabilité de contrôle d'accès inapproprié activement exploitée dans Fortinet FortiClient EMS. Sources :https://www.bleepingcomputer.com/news/security/traffic-violation-scams-switch-to-qr-codes-in-new-phishing-texts/https://cyberpress.org/kimsuky-lnks-drop-backdoor/https://thehackernews.com/2026/04/bka-identifies-revil-leaders-behind-130.htmlhttps://therecord.media/ukraine-warns-russian-hackers-revisiting-old-attacks⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com

Cisco Talos documente une campagne automatisée à grande échelle exploitant React2Shell (CVE-2025-55182) dans les applications Next.js via le framework NEXUS Listener, permettant l'extraction centralisée de tokens cloud, credentials de bases de données et clés SSH depuis des centaines d'hôtes compromis.Deux kits de Phishing sophistiqués usurpant Coca-Cola et Ferrari ciblent les chercheurs d'emploi : le kit Coca-Cola réalise un bypass MFA en temps réel via une architecture Adversary-in-the-Middle, ciblant exclusivement les comptes Google Workspace. Le kit Ferrari harvest des credentials Facebook via une fausse page OAuth.McAfee documente le ghost student scam : des identités volées via data breach sont utilisées pour inscrire frauduleusement des victimes dans des établissements universitaires américains, générant des dettes fiscalement recouvrables à leur nom.La FCC propose une amende de 4,5 millions de dollars contre l'opérateur Voxbeam Telecommunications pour avoir acheminé des dizaines de milliers de robocalls frauduleux usurpant Bank of America et Chase Bank, depuis le prestataire tchèque Axfone, absent de la Robocall Mitigation Database.Unit 42 publie une chaîne d'attaque complète contre les architectures multi-agents Amazon Bedrock, exploitant le Prompt Injection pour détecter le mode d'orchestration, découvrir les agents collaborateurs, extraire les instructions système et détourner des outils via des inputs malveillants.Trois alertes du CERT Santé : CVE-2026-35535, élévation de privilèges root dans sudo via exec_mailer() ; CVE-2026-3300, exécution de code PHP arbitraire sans authentification dans le plugin WordPress Everest Forms Pro ; CVE-2026-34982, contournement du sandbox de Vim permettant l'exécution de commandes OS à l'ouverture d'un fichier forgé.Sources :https://blog.talosintelligence.com/the-democratisation-of-business-email-compromise-fraud/https://www.malwarebytes.com/blog/threat-intel/2026/04/that-dream-job-offer-from-coca-cola-or-ferrari-its-a-trap-for-your-passwordshttps://www.mcafee.com/blogs/tips-tricks/ghost-student-scam-tax-refund-identity-theft/https://therecord.media/fcc-proposes-5-million-fine-robocallhttps://unit42.paloaltonetworks.com/amazon-bedrock-multiagent-applications/https://cyberveille.esante.gouv.fr/alertes/sudo-cve-2026-35535-2026-04-03https://cyberveille.esante.gouv.fr/alertes/wordpress-cve-2026-3300-2026-04-02https://cyberveille.esante.gouv.fr/alertes/vim-cve-2026-34982-2026-04-02⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com

Le 31 mars 2026, Anthropic expose accidentellement le code source complet de Claude Code via un fichier source map de 59,8 Mo inclus par erreur dans le package npm @anthropic-ai/claude-code. Plus de 513 000 lignes de TypeScript non obfusqué sont rendues publiques, révélant l'architecture interne de l'agent, ses mécanismes d'exécution et plus de vingt feature flags non publiés.En moins de 72 heures, des acteurs malveillants créent des dépôts GitHub frauduleux positionnés en tête des résultats Google via SEO poisoning. Le compte idbzoomh distribue une archive piégée déployant silencieusement un dropper Rust : ClaudeCode_x64.exe.Double payload : Vidar 18.7, Information Stealer ciblant credentials, tokens d'API, clés cloud et secrets CI/CD — et GhostSocks, proxy SOCKS5 Backconnect transformant le poste infecté en infrastructure réseau pour les attaquants.La campagne coïncide avec une attaque supply chain distincte sur npm, amplifiant le risque pour les environnements de développement actifs. Zscaler ThreatLabz documente l'intégralité de la chaîne.Sources : https://cybersecuritynews.com/claude-code-leak-exploited-by-hackers-to-deliver-vidar-and-ghostsocks/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com

Les attaques de type device code phishing explosent : Push Security recense une multiplication par 37,5 du nombre de kits détectés depuis le début de l'année 2026. EvilTokens, opérant en Phishing-as-a-Service, est identifié comme principal vecteur, aux côtés de dix autres plateformes actives exploitant des leurres SaaS et des infrastructures cloud légitimes.Fortinet publie un hotfix d'urgence pour CVE-2026-35616, une vulnérabilité Zero-Day critique dans FortiClient EMS versions 7.4.5 et 7.4.6, avec un score CVSSv3 de 9.1. L'exploitation active in-the-wild est confirmée par le vendeur. Les versions 7.2.x ne sont pas affectées.L'association Fairlinked e.V. publie l'investigation BrowserGate, accusant LinkedIn d'exécuter un script non documenté analysant les applications installées et extensions de navigateur sur les machines des visiteurs, sans consentement ni mention dans la politique de confidentialité.OpenSSH corrige plusieurs vulnérabilités dans sa version 10.3, dont une permettant l'exécution de code arbitraire à distance. Toutes les versions antérieures sont affectées. Avis CERTFR-2026-AVI-0391 et bulletin AV26-312 publiés le 2 avril 2026.Le CERT-FR publie l'avis CERTFR-2026-AVI-0393 pour CVE-2026-5129 affectant Synology Mail Station, versions antérieures à 30000001.3.19-20332 pour DSM. Atteinte à la confidentialité et à l'intégrité des données.Le tribunal judiciaire de Paris condamne un notaire à 48 025 euros dans une affaire de Business Email Compromise immobilier. Un attaquant avait substitué un IBAN dans un e-mail intercepté, détournant 96 400 euros. Décision du 25 mars 2026.Proofpoint documente le retour de TA416 sur les cibles diplomatiques européennes depuis mi-2025, avec extension au Moyen-Orient en mars 2026. La chaîne d'infection combine OAuth redirect abuse, MSBuild, fichiers C# malveillants et déploiement du Backdoor PlugX via DLL side-loading.Sources :https://www.bleepingcomputer.com/news/security/device-code-phishing-attacks-surge-37x-as-new-kits-spread-online/https://cybersecuritynews.com/fortinet-forticlient-ems-0-day/https://cyberpress.org/linkedin-accused-of-secretly-checking-device/https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-openssh-av26-312https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0391/https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0393/https://www.clubic.com/actualite-607711-arnaque-au-faux-rib-un-pirate-intercepte-un-e-mail-et-piege-l-acheteur-le-notaire-et-les-banques-la-justice-tranche.htmlhttps://thehackernews.com/2026/04/china-linked-ta416-targets-european.html⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com

Le CERT-EU attribue avec un niveau de confiance élevé la violation de données de la Commission européenne au groupe TeamPCP, via une compromission supply chain de l'outil Trivy. 92 gigaoctets de données ont été exfiltrés depuis l'infrastructure AWS hébergeant la plateforme Europa.eu, affectant au moins 29 entités de l'Union européenne. Les données ont été publiées le 28 mars sur la plateforme dark web de ShinyHunters.La Shadowserver Foundation recense plus de 14 000 instances F5 BIG-IP APM toujours exposées sur internet et non corrigées. La vulnérabilité CVE-2025-53521, initialement classifiée Denial-of-Service, a été reclassifiée en Remote Code Execution critique et inscrite au catalogue KEV de la CISA. L'exploitation active est confirmée en environnement réel.Les incidents Ransomware à double et triple extorsion ont progressé de 49 % en glissement annuel en 2025, atteignant 1 174 incidents confirmés. 124 groupes sont actifs, dont 73 apparus dans l'année. Le secteur de la santé et les infrastructures de paiement figurent parmi les cibles prioritaires.Cisco Talos documente une campagne automatisée de credential harvesting menée par UAT-10608, ayant compromis 766 hôtes en moins de 24 heures via CVE-2025-55182, une faille RCE pre-authentication dans les React Server Components. Le framework NEXUS Listener exfiltre clés SSH, tokens AWS, credentials de bases de données et clés API Stripe. Plusieurs hôtes exposent des fichiers d'authentification à des registres npm et pip, faisant peser un risque de supply chain.Sources :https://therecord.media/european-commission-cyberattack-teampcphttps://cybersecuritynews.com/14000-f5-big-ip-apm-exposed-online/https://www.bleepingcomputer.com/news/security/evolution-of-ransomware-multi-extortion-ransomware-attacks/https://blog.talosintelligence.com/uat-10608-inside-a-large-scale-automated-credential-harvesting-operation-targeting-web-applications/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#RadioCSIRT #CyberSecurity #CERT #CSIRT #ThreatIntelligence #Ransomware #SupplyChain #F5 #CVE #KEV #CISA #CredentialHarvesting #TeamPCP #CiscoTalos #ReactJS

La CISA intègre deux nouvelles vulnérabilités à son catalogue KEV sur la base de preuves d'exploitation active : CVE-2026-5281, une faille Use-After-Free dans Google Dawn, et CVE-2026-3502, une absence de vérification d'intégrité dans le client TrueConf permettant l'injection de Payload malveillant.L'Australian Signals Directorate renouvelle son alerte haute sur le ciblage des dépôts de code en ligne. Les acteurs malveillants y mènent des opérations de supply-chain compromise en s'appuyant exclusivement sur des outils légitimes, une technique de Living Off the Land appliquée aux environnements de développement.Le CERT-FR alerte sur l'expiration imminente de trois certificats Microsoft utilisés par l'UEFI Secure Boot en juin 2026. Sans déploiement des certificats 2023, les systèmes Windows en domaine et certaines distributions Linux utilisant le chargeur Shim ne recevront plus de mises à jour de la séquence de démarrage.Cisco corrige deux vulnérabilités critiques notées 9.8 au CVSS : CVE-2026-20093 dans l'Integrated Management Controller, permettant à un attaquant non authentifié de contourner l'authentification et de prendre le contrôle de l'équipement, et CVE-2026-20160 dans le Smart Software Manager On-Prem, exposant un service interne autorisant l'exécution de commandes avec des privilèges root.GreyNoise analyse quatre milliards de sessions malveillantes sur trois mois et établit que 78% du trafic acheminé via des Residential Proxies échappe aux systèmes de réputation IP. Ces infrastructures, alimentées par des botnets IoT et des SDK intégrés dans des VPN gratuits, tournent sur 683 fournisseurs d'accès différents avec une durée de vie médiane inférieure à un mois.Sources :https://www.cisa.gov/news-events/alerts/2026/04/02/cisa-adds-one-known-exploited-vulnerability-cataloghttps://www.cisa.gov/news-events/alerts/2026/04/01/cisa-adds-one-known-exploited-vulnerability-cataloghttps://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/ongoing-targeting-of-online-code-repositorieshttps://www.cert.ssi.gouv.fr/actualite/CERTFR-2026-ACT-014/https://thehackernews.com/2026/04/cisco-patches-98-cvss-imc-and-ssm-flaws.htmlhttps://www.bleepingcomputer.com/news/security/residential-proxies-evaded-ip-reputation-checks-in-78-percent-of-4b-sessions/⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #KEV #CISA #SecureBoot #UEFI #SupplyChain #Cisco #CVE #ResidentialProxy #GreyNoise #RadioCSIRT

Selon Google Threat Intelligence Group, le package NPM axios avec plus de 100 millions de téléchargements hebdomadaires  a été compromis le 31 mars 2026 par UNC1069, acteur nord-coréen, via l'injection d'une dépendance malveillante déployant le Backdoor WAVESHAPER.V2 sur Windows, macOS et Linux.AWS annonce la disponibilité générale d'AWS Security Agent, un service de pentest autonome par agents IA combinant SAST, DAST et exploitation contextuelle, facturé 50 dollars par task-hour, disponible sur AWS, Azure, GCP et on-premises.Check Point Research documente l'opération TrueChaos : la CVE-2026-3502, Zero-Day CVSS 7.8 dans le mécanisme de mise à jour TrueConf, a été exploitée in-the-wild contre des entités gouvernementales d'Asie du Sud-Est par un acteur China-nexus, déployant le framework Havoc via DLL side-loading. Correctif disponible en version 8.5.3.Kaspersky GReAT analyse CrystalX, un RAT vendu en MaaS sur Telegram depuis janvier 2026, combinant Backdoor, Stealer, Keylogger, Clipper crypto et accès distant, sans restriction géographique et en développement actif.Le ministre roumain de la Défense confirme plus de 10 000 tentatives d'attaques quotidiennes contre les institutions gouvernementales, dans un contexte de pression hybride attribuée à des acteurs russes coïncidant avec les décisions politiques liées au soutien à l'Ukraine.Le FBI alerte via son site IC3 sur les risques posés par les applications mobiles d'origine chinoise, soumises aux lois chinoises de sécurité nationale, avec collecte de données hors session active et stockage sur serveurs en Chine.Sources :https://cloud.google.com/blog/topics/threat-intelligence/north-korea-threat-actor-targets-axios-npm-package?hl=enhttps://aws.amazon.com/fr/blogs/security/aws-security-agent-on-demand-penetration-testing-now-generally-available/https://research.checkpoint.com/2026/operation-truechaos-0-day-exploitation-against-southeast-asian-government-targets/https://securelist.com/crystalx-rat-with-prankware-features/119283/https://therecord.media/romania-cyberattacks-russia-defense-ministerhttps://unit42.paloaltonetworks.com/teampcp-supply-chain-attacks/https://www.bleepingcomputer.com/news/security/fbi-warns-against-using-chinese-mobile-apps-over-to-data-security-risks/⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #SupplyChain #NPM #axios #UNC1069 #WAVESHAPER #TrueChaos #TrueConf #ZeroDay #CrystalX #MaaS #Romania #FBI #RadioCSIRT

Le CERT-FR publie le 31 mars 2026 un bulletin d'alerte concernant la CVE-2025-53521, une vulnérabilité de Remote Code Execution affectant F5 BIG-IP Access Policy Manager dans les branches 15.1.x, 16.1.x, 17.1.x et 17.5.x. Initialement divulguée par F5 en octobre 2025, la faille permet à un attaquant non authentifié d'exécuter du code arbitraire à distance. Son exploitation active est confirmée depuis le 29 mars 2026. F5 documente plusieurs indicateurs de compromission : présence de fichiers suspects dans /run/, modification des binaires /usr/bin/umount et /usr/sbin/httpd, ainsi que des entrées spécifiques dans les journaux restjavad-audit et auditd révélant des appels iControl REST via l'utilisateur local f5hubblelcdadmin avec tentatives de désactivation de SELinux.Le NCSC britannique publie, conjointement avec des partenaires internationaux, une alerte relative au ciblage d'applications de messagerie par des acteurs affiliés à la Russie. Les individus à haut risque  responsables gouvernementaux, personnels disposant d'accès à des informations sensibles sont visés par des techniques incluant le vol de codes de vérification, l'ajout de dispositifs liés à l'insu de la victime, l'infiltration silencieuse de groupes de discussion, l'usurpation d'identité et le Phishing par QR code. Le NCSC rappelle avoir précédemment documenté des opérations similaires attribuées à APT31, à Star Blizzard du FSB russe et à l'IRGC iranien. Google et Microsoft ont publié des analyses complémentaires sur le ciblage actif de Signal par plusieurs acteurs alignés sur la Russie.OVHcloud annonce au Forum InCyber 2026 de Lille le lancement d'une offre cloud dédiée aux armées et organismes gouvernementaux européens. L'infrastructure, hébergée exclusivement en Europe et soumise au droit européen, vise à soustraire les données militaires sensibles au Cloud Act américain, qui autorise les autorités des États-Unis à accéder aux données hébergées par des entreprises américaines quel que soit le lieu physique des serveurs. L'offre intégrera des capacités d'intelligence artificielle pour l'analyse de données opérationnelles et la détection de cybermenaces, et ciblera les niveaux de classification les plus élevés, incluant les dispositifs de type secret défense.Selon Palo Alto Networks Unit 42, une faille de conception affecte la plateforme Vertex AI de Google Cloud. Le service agent associé aux agents déployés via l'Agent Development Kit — le P4SA — dispose par défaut de permissions excessives. Tout appel à un agent Vertex AI déclenche une requête vers le service de métadonnées Google, exposant les credentials du service agent ainsi que l'identité et les scopes de la machine hôte.Une mise à jour logicielle défectueuse déployée le 12 mars 2026 à 03h28 par Lloyds Banking Group a exposé les données transactionnelles de 447 936 utilisateurs de l'application mobile des enseignes Lloyds, Halifax et Bank of Scotland. La faille, corrigée à 08h08 le même jour, provoquait l'affichage des transactions d'autres clients lors d'accès simultanés à l'application. Sources :https://www.cert.ssi.gouv.fr/alerte/CERTFR-2026-ALE-004/https://www.ncsc.gov.uk/news/ncsc-warns-of-messaging-app-targetinghttps://www.clubic.com/actualite-607108-ovhcloud-veut-cibler-les-armees-europeennes-avec-une-offre-cloud-souveraine-inedite.htmlhttps://thehackernews.com/2026/03/vertex-ai-vulnerability-exposes-google.htmlhttps://securityaffairs.com/190213/data-breach/nearly-half-a-million-mobile-customers-of-lloyds-banking-group-affected-by-a-security-incident.html⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com

La CISA ajoute le 30 mars 2026 la CVE-2026-3055 à son catalogue Known Exploited Vulnerabilities. La faille, de type Out-of-Bounds Read, affecte Citrix NetScaler et fait l'objet d'une exploitation active confirmée. Les agences fédérales civiles américaines sont soumises à une obligation de remédiation dans les délais fixés par la Binding Operational Directive 22-01.Selon ANY.RUN, une campagne Magecart active depuis au moins vingt-quatre mois cible des sites e-commerce WooCommerce, avec une concentration notable en Espagne, en France et aux États-Unis. Les attaquants déploient un framework de checkout hijacking en plusieurs étapes : un Loader JavaScript obfusqué injecté dans le site compromis charge dynamiquement un payload principal via une infrastructure de plus de cent domaines avec mécanisme de fallback. L'exfiltration des données de carte — numéro complet, date d'expiration, CVV — s'effectue via WebSocket vers un serveur C2 déguisé en domaine Redsys, contournant les outils de surveillance HTTP traditionnels. Le même payload distribue également un APK Android malveillant via ingénierie sociale.Selon Synthient Research, le botnet proxy Socks5Systemz, actif depuis 2013 et précédemment commercialisé sous la bannière PROXY[.]AM, opère désormais sous le nom ProxyBox après le sinkholing de son infrastructure en 2024. Le service maintient entre 32 000 et 35 000 adresses IP actives quotidiennement, concentrées en Russie, au Brésil et en Inde. La chaîne d'infection repose sur des sites de logiciels piratés distribuant un Loader en plusieurs étapes : auto-écrasement en mémoire, extraction d'une DLL chiffrée en RC4 depuis la section ressource, et persistance via service Windows ou clé de registre. La communication C2 utilise un User-Agent MSIE 9.0 falsifié et alterne HTTPS et HTTP avec mécanisme de fallback.Sources :https://www.cisa.gov/news-events/alerts/2026/03/30/cisa-adds-one-known-exploited-vulnerability-cataloghttps://any.run/cybersecurity-blog/banks-magecart-campaign/https://synthient.com/blog/proxybox-socks5systemz-lives-on⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com

Selon le bulletin de sécurité Docker publié le 30 mars 2026, une vulnérabilité de type Server-Side Request Forgery, référencée CVE-2026-33990, affecte Docker Desktop dans toutes les versions antérieures à la 4.67.0. La faille permet à un attaquant de forger des requêtes côté serveur, ouvrant potentiellement l'accès à des ressources internes normalement non exposées. Le CERT-FR a relayé cet avis le jour même. La version 4.67.0 de Docker Desktop intègre le correctif associé.Le projet Tails a publié le 26 mars 2026 la version 7.6 de son système d'exploitation orienté anonymat. La mise à jour introduit une fonctionnalité de bridges Tor automatiques directement intégrée à l'assistant de connexion : en cas de blocage du réseau Tor, le système interroge l'API Moat du Tor Project pour obtenir un bridge adapté à la région de l'utilisateur, en utilisant du domain fronting pour contourner la censure. Le gestionnaire de mots de passe KeePassXC est remplacé par GNOME Secrets, compatible avec le format de base existant. Les mises à jour embarquent également Tor Browser 15.0.8 et Thunderbird 140.8.0.Le CERT-UA a documenté fin mars 2026 une campagne d'ingénierie sociale conduite par le groupe UAC-0255, identifié sous le nom Cyber Serp. Des e-mails usurpant l'identité du CERT-UA invitaient les destinataires à télécharger depuis Files.fm un archive protégé par mot de passe contenant un outil présenté comme un logiciel de protection. Le payload déployé, un RAT développé en Go classifié AGEWHEEZE, communique via WebSockets avec son serveur C2 hébergé chez OVH sur le port 8443/tcp. Il supporte le contrôle d'écran, l'émulation clavier/souris, la gestion de fichiers et de processus, ainsi que la persistance via registre et tâches planifiées. Un site frauduleux cert-ua[.]tech reproduisait le contenu officiel du CERT-UA pour crédibiliser l'attaque. Selon le CERT-UA, la campagne n'a pas atteint ses objectifs, seuls quelques appareils personnels d'employés du secteur éducatif ayant été compromis.Selon SecurityScorecard et plusieurs médias dont TechCrunch, le groupe Handala, affilié à l'Iran et associé par le Département de Justice américain au ministère iranien du Renseignement, revendique la compromission du compte Gmail personnel du directeur du FBI Kash Patel. Des e-mails et fichiers exfiltrés, datant majoritairement de 2019, ont été rendus publics. TechCrunch a authentifié une partie des messages via l'analyse des en-têtes SMTP. Le FBI confirme l'incident, précisant qu'aucune donnée gouvernementale ou classifiée n'est concernée. Le vecteur d'intrusion et la présence éventuelle d'une authentification multifacteur sur le compte ne sont pas établis à ce stade. Le FBI offre jusqu'à dix millions de dollars pour toute information sur les membres du groupe Handala.Le FIRST Technical Colloquium organisé à Paris par Group-IB a réuni des équipes de CERT, CSIRT et opérateurs de sécurité pour examiner les limites actuelles de la défense collective. Les échanges ont mis en évidence un constat convergent : le partage de renseignement entre organisations est techniquement mature — MISP, STIX, TAXII sont opérationnels — mais la synchronisation opérationnelle en cas d'incident transfrontalier reste déficiente. Comme l'a formulé Manos Athanatos du FORTH, la Threat Intelligence circule à la vitesse de la lumière, mais la réponse coordonnée avance encore à la vitesse d'un fil de messagerie. Le signal structurant de l'événement : le défi de 2026 n'est plus la collecte de renseignement, mais la synchronisation opérationnelle entre organisations défensives.Sources :https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0374/https://tails.net/news/version_7.6/https://cert.gov.ua/article/6288047https://securityaffairs.com/190088/intelligence/iran-linked-group-handala-hacked-fbi-director-kash-patels-personal-email-account.htmlhttps://www.first.org/blog/20260323-Paris-TC ⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com

Quatre semaines après le déclenchement d'Operation Epic Fury et Operation Roaring Lion, le volet cyber du conflit entre les États-Unis, Israël et l'Iran entre dans une phase de consolidation institutionnelle et forensique. Cette édition spéciale couvre la semaine du 23 au 28 mars, avec la clôture forensique de l'affaire Stryker documentée par Unit 42, l'activation documentée de la dimension russe via NoName057(16) et la fourniture de renseignement militaire à Téhéran confirmée par le Washington Post, la création du Bureau of Emerging Threats par le Département d'État américain, le second incident AWS Bahreïn lié à une activité de drones, et le témoignage du directeur par intérim de la CISA devant le Congrès révélant que l'agence opère à 40 % de sa capacité normale alors que la menace iranienne s'intensifie.Sources :Update 28 Mars 2026 – Situation au Moyen-Orient – Blog de Marc Frédéric GOMEZhttps://unit42.paloaltonetworks.com/iranian-cyberattacks-2026/https://flare.io/learn/resources/blog/cyberattacks-us-israel-iran-military-conflicthttps://www.securityweek.com/stryker-says-malicious-file-found-during-probe-into-iran-linked-attack/https://www.justice.gov/opa/pr/justice-department-disrupts-iranian-cyber-enabled-psychological-operationshttps://www.ic3.gov/CSA/2026/260320.pdfhttps://www.thenationalnews.com/future/2026/03/26/iran-hack-handala-fbi-breach/https://www.fdd.org/analysis/2026/03/27/iranian-cyber-operations-take-advantage-of-weakened-u-s-defenses/https://www.halcyon.ai/ransomware-alerts/iranian-use-of-cybercriminal-tactics-in-destructive-cyber-attacks-2026-updateshttps://www.nextgov.com/cybersecurity/2026/03/russia-linked-hackers-appear-iran-wars-cyber-front-their-impact-murky/412011/https://www.cybersecuritydive.com/news/pro-russia-actors-support-iran-nexus-hackers/813647/https://www.washingtonpost.com/national-security/2026/03/06/russia-iran-intelligence-us-targets/https://thesoufancenter.org/intelbrief-2026-march-17/https://www.centripetal.ai/threat-research/pre-positioned-access-cyber-threat-iran-conflicthttps://stackcyber.com/posts/cyber-dashboardhttps://unit42.paloaltonetworks.com/evolution-of-iran-cyber-threats/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com

Un consortium européen composé d'IONOS, Nextcloud, Proton, XWiki et Abilian lance Euro-Office, fork open source d'ONLYOFFICE publié sous licence AGPLv3, en réponse à la fermeture de l'offre cloud d'ONLYOFFICE et à des constats documentés de code obfusqué, de blobs binaires et de contributions systématiquement bloquées — le projet propose un composant d'édition web intégrable supportant les formats DOCX, PPTX, XLSX et ODT avec coédition en temps réel, avec une version stable attendue pour l'été 2026.La CISA ajoute la CVE-2025-53521 à son catalogue Known Exploited Vulnerabilities le 27 mars 2026 — une vulnérabilité de Remote Code Execution affectant F5 BIG-IP dont l'exploitation active est confirmée, exposant des équipements de périphérie réseau massivement déployés en environnement load balancer, proxy et WAF.Le Centre canadien pour la cybersécurité publie le bulletin AV26-291 couvrant quatre CVE affectant les branches FreeBSD 13.5, 14.x et 15.0 — dont la CVE-2026-4747 permettant une Remote Code Execution via validation défaillante de paquets RPCSEC_GSS, deux vecteurs de Denial of Service distants et la CVE-2026-4748 exposant une faille silencieuse dans le pare-feu pf.Le CERT-FR publie les avis CERTFR-2026-AVI-0367 et CERTFR-2026-AVI-0363 couvrant respectivement trois vulnérabilités dans Zabbix 7.0.22 — dont un Denial of Service distant et un contournement de politique de sécurité — et trois CVE affectant NetApp ONTAP 9 et Active IQ Unified Manager, exposant les baies de stockage à des atteintes à la confidentialité et à l'intégrité des données.Intoxalock, fournisseur américain d'éthylotests antidémarrage présent dans 46 États et revendiquant 150 000 utilisateurs, subit le 14 mars 2026 une attaque DDoS entraînant six jours d'indisponibilité — le blocage des opérations d'étalonnage provoque l'immobilisation physique de milliers de véhicules à travers les États-Unis, dans le premier cas documenté d'impact opérationnel direct d'une cyberattaque sur des dispositifs antidémarrage à caractère judiciaire.Push Security documente une campagne de Phishing de type AITM ciblant les comptes TikTok for Business — les attaquants utilisent des domaines fraîchement enregistrés hébergés derrière Cloudflare avec protection Turnstile, une redirection silencieuse depuis Google Storage, et exploitent le Single Sign-On pour compromettre simultanément les comptes TikTok et Google, détournés ensuite à des fins de malvertising et de fraude publicitaire.Sources :https://goodtech.info/euro-office-ionos-nextcloud-et-proton-lancent-le-fork-europeen-donlyoffice-qui-veut-en-finir-avec-microsoft-office/https://www.cisa.gov/news-events/alerts/2026/03/27/cisa-adds-one-known-exploited-vulnerability-cataloghttps://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-freebsd-av26-291https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0367/https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0363/https://www.01net.com/actualites/milliers-voitures-paralysees-cyberattaque.htmlhttps://securityaffairs.com/190058/security/new-aitm-phishing-wave-hijacks-tiktok-business-accounts.html⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site :https://www.radiocsirt.org📰 Newsletter :https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #EuroOffice #BIGIP #FreeBSD #Zabbix #NetApp #Intoxalock #AITM #TikTok #Malvertising #RadioCSIRT

Les systèmes d'IA agentique introduisent une surface d'attaque émergente dans les environnements financiers — selon AWS, les vecteurs identifiés incluent le privilege escalation via des agents mal scopés, la manipulation de contexte dans les workflows multi-agents et le behavior drift silencieux, dans un contexte réglementaire SR 11-7, SS1/23 et BCE imposant désormais une traçabilité complète des décisions automatisées.Elastic Security Labs publie une analyse technique du rootkit Linux VoidLink, attribué à un acteur sinophone — architecture hybride LKM-eBPF, quatre générations de développement itératif assisté par LLM, canal C2 covert en ICMP avec rotation de clé à la volée et masquage des connexions réseau via manipulation des buffers Netlink par bpf_probe_write_user.Selon Group-IB, des acteurs cybercriminels exploitent des cloud phones — dispositifs Android virtuels hébergés en datacenter — pour neutraliser les mécanismes de device fingerprinting des applications bancaires mobiles, en combinant social engineering, pré-chauffe comportementale et Authorized Push Payment fraud vers des comptes mules, pour un coût d'infrastructure inférieur à 0,50 dollar par heure.Le ministère de la Défense letton documente une campagne de désinformation russe coordonnée ciblant les trois États baltes, amplifiée par des bots ciblant les audiences russophones et les jeunes utilisateurs, avec pour objectifs le discrédit de l'OTAN et l'érosion de la confiance institutionnelle.La Commission européenne enquête sur une compromission de son infrastructure cloud Amazon — un acteur malveillant revendique l'exfiltration de 350 Go de données incluant bases de données et accès à un serveur mail, et annonce une publication ultérieure sans intention d'extorsion, deux mois après une première brèche liée à des vulnérabilités Ivanti EPMM.Selon Rapid7 Labs, le groupe APT Red Menshen, lié à la Chine, déploie des implants BPFDoor évolutifs dans des réseaux télécoms au Moyen-Orient et en Asie — les variants récents dissimulent les magic packets dans du trafic HTTPS légitime, intègrent un chiffrement RC4-MD5 et inspectent le trafic SCTP pour accéder aux systèmes de signalisation SS7 et Diameter.Sources :https://aws.amazon.com/fr/blogs/security/preparing-for-agentic-ai-a-financial-services-approach/https://www.elastic.co/security-labs/illuminating-voidlinkhttps://www.malwarebytes.com/blog/news/2026/03/criminals-are-renting-virtual-phones-to-bypass-bank-securityhttps://therecord.media/latvia-accuses-russia-of-disinformation-campaign-ukraine-warhttps://www.bleepingcomputer.com/news/security/european-commission-investigating-breach-after-amazon-cloud-hack/https://securityaffairs.com/190029/malware/china-linked-red-menshen-apt-deploys-stealthy-bpfdoor-implants-in-telecom-networks.htmlOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

La CISA ajoute la CVE-2026-33017 à son catalogue KEV — une vulnérabilité de type Code Injection affectant Langflow, plateforme open source de création de workflows IA, dont l'exploitation active dans la nature est confirmée et qui constitue un vecteur d'intrusion à portée étendue au-delà du périmètre fédéral américain.Le CERT-FR publie un avis sur quatre vulnérabilités affectant ISC BIND — CVE-2026-1519, CVE-2026-3104, CVE-2026-3119 et CVE-2026-3591 — exposant les branches 9.18.x, 9.20.x et 9.21.x à des dénis de service à distance, des atteintes à la confidentialité et des contournements de politique de sécurité sur des infrastructures DNS critiques.L'extinction progressive du réseau 2G en France, initiée par Orange dès le 31 mars 2026, soulève une problématique de continuité opérationnelle pour les équipements IoT industriels, systèmes d'alarme, terminaux M2M et dispositifs SCADA encore dépendants de cette technologie, dont la déconnexion non anticipée crée une surface d'exposition opérationnelle.Le propriétaire présumé de LeakBase est arrêté en Russie dans la région de Rostov, dans le prolongement de l'opération internationale « Operation Leak » coordonnée par Europol et le FBI en mars 2026 — la saisie du domaine et l'exploitation de la base de données du forum, incluant logs IP et messages privés, alimentent les procédures judiciaires en cours dans quinze pays.Sources :https://www.cisa.gov/news-events/alerts/2026/03/25/cisa-adds-one-known-exploited-vulnerability-cataloghttps://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0360/https://www.clubic.com/actualite-606448-orange-commence-l-arret-du-reseau-2g-a-partir-de-ce-coin-de-la-france.htmlhttps://www.bleepingcomputer.com/news/security/russia-arrests-suspected-owner-and-admin-of-leakbase-cybercrime-forum/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Le ressortissant russe Aleksei Volkov, Initial Access Broker de 26 ans, est condamné à 81 mois de prison aux États-Unis après avoir revendu des accès à au moins sept organisations américaines sur des forums criminels — dont au groupe Yanluowang — en touchant jusqu'à 20 % des rançons versées, pour 9 millions de dollars de pertes réelles documentées.Spamhaus recense plus de 21 000 serveurs C2 Mirai actifs au second semestre 2025, avec une croissance de 50 % sur l'année — la famille Aisuru-Kimwolf est liée à une attaque DDoS record à 31,4 Tbps et exploite des proxies résidentiels via IPIDEA pour infecter smart TVs et mobiles Android à des fins de credential stuffing et de fraude.La FCC intègre l'ensemble des routeurs grand public fabriqués à l'étranger à sa Covered List, les soumettant à une interdiction d'importation et de commercialisation sur le territoire américain — les campagnes Volt Typhoon, Flax Typhoon et Salt Typhoon sont explicitement citées comme cas documentés d'exploitation de ces équipements à des fins d'espionnage.TP-Link publie des correctifs pour sa gamme Archer NX — CVE-2025-15517 (CVSS 8.6) permet à un attaquant non authentifié d'uploader un firmware ou de modifier la configuration via des endpoints CGI exposés ; CVE-2025-15605 documente la présence d'une clé cryptographique codée en dur permettant le déchiffrement et la modification des fichiers de configuration.Kali Linux 2026.1 est disponible avec un kernel 6.18 et huit nouveaux outils dont AdaptixC2, MetasploitMCP, SSTImap et XSStrike — Kali NetHunter reçoit un premier patch d'injection sans fil pour chipsets Qualcomm QCACLD 3.0 ; l'écosystème GNU Radio est actuellement défaillant dans cette version.La NSA, le Centre canadien pour la cybersécurité, l'ACSC australienne et le NCSC néo-zélandais publient un guide conjoint sur la cybersécurité des systèmes LEO SATCOM, structuré autour de quatre segments de risque — spatial, terrestre, utilisateur final et liaisons RF — et identifiant le brouillage, le spoofing et l'interception comme vecteurs principaux sur des constellations dont la surface d'attaque croît avec le nombre de satellites déployés.Sources :https://www.theregister.com/2026/03/24/russian_iab_sentenced/https://gbhackers.com/mirai-botnets/https://securityaffairs.com/189959/security/fcc-targets-foreign-router-imports-amid-rising-cybersecurity-concerns.htmlhttps://www.bleepingcomputer.com/news/security/tp-link-warns-users-to-patch-critical-router-auth-bypass-flaw/https://www.bleepingcomputer.com/news/linux/kali-linux-20261-released-with-8-new-tools-new-backtrack-mode/https://www.cyber.gc.ca/fr/nouvelles-evenements/guide-conjoint-securite-spatiale-cybersecurite-telecommunications-satellite-orbite-terrestre-basseOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Le groupe iranien Pay2Key cible une organisation de santé américaine fin février avec un ransomware amélioré, sans exfiltration de données, compromettant un compte administrateur plusieurs jours avant chiffrement et effaçant les journaux post-intrusion — pattern cohérent avec une opération à finalité stratégique conduite en parallèle des hostilités militaires avec les États-Unis.Le CERT Esanté publie l'avis CVE-2026-30911 signalant une vulnérabilité Missing Authorization dans l'Execution API d'Apache Airflow sur les endpoints Human-in-the-Loop, permettant à tout utilisateur authentifié de lire, approuver ou rejeter des workflows d'autres instances sans vérification d'appartenance, affectant les versions 3.1.0 à 3.1.7, corrigée en 3.1.8.Le SANS Internet Storm Center documente deux méthodes de détection des IP KVM sur Linux — analyse USB via lsusb et interrogation des données EDID transmises par HDMI — et souligne qu'aucune solution de protection endpoint ne vérifie actuellement les chaînes EDID, vecteur exploité notamment par des acteurs nord-coréens pour accès furtif à distance.Microsoft résout un incident de synchronisation dans Classic Outlook affectant les comptes Gmail et Yahoo depuis le 26 février 2026, générant les codes d'erreur 0x800CCC0F et 0x80070057 sans prompt de reconnexion OAuth — deux incidents restent ouverts : erreurs EWS lors de création de groupes et disparition du curseur souris.Le ministère néerlandais des Finances confirme une intrusion détectée le 19 mars 2026 ciblant des systèmes du département politique, sans impact sur l'administration fiscale ni les douanes — nombre d'employés concernés, données potentiellement exfiltrées et durée de présence des attaquants non communiqués, aucune revendication à ce stade.Sources :https://therecord.media/iran-linked-ransomware-gang-targeted-us-healthcare-orghttps://cyberveille.esante.gouv.fr/alertes/apache-cve-2026-30911-2026-03-24https://isc.sans.edu/diary/rss/32824https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-bug-causing-outlook-sync-issues-for-gmail-users/https://www.bleepingcomputer.com/news/security/dutch-ministry-of-finance-discloses-breach-affecting-employees/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Microsoft détecte une campagne de Phishing massive usurpant l'IRS ayant frappé 29 000 utilisateurs dans 10 000 organisations le 10 février 2026, distribuant via Amazon SES un ScreenConnect malveillant protégé par Cloudflare contre l'analyse automatisée.Le groupe TeamPCP déploie CanisterWorm, un Wiper ciblant les systèmes configurés sur le fuseau horaire iranien, propagé via Docker APIs et clusters Kubernetes exposés, avec une infrastructure C2 basée sur des canisters ICP blockchain, après avoir compromis les scanners Trivy et KICS via des supply chain attacks sur GitHub Actions.La Shadowserver Foundation identifie 511 000 instances Microsoft IIS en fin de vie exposées sur Internet, dont 227 000 en état End-of-Support complet sans aucun correctif disponible, majoritairement concentrées en Chine et aux États-Unis.Le CERT-FR publie l'avis CERTFR-2026-AVI-0338 signalant la CVE-2026-32746, permettant une exécution de code arbitraire à distance sur plusieurs branches DSM de Synology, sans correctif disponible pour DSMUC 3.1.Le CERT-FR publie l'avis CERTFR-2026-AVI-0337 concernant les CVE-2026-3055 et CVE-2026-4368 affectant NetScaler ADC et Gateway, permettant atteinte à la confidentialité et contournement de politique de sécurité.Le CERT-FR publie l'avis CERTFR-2026-AVI-0336 signalant douze CVE dans les composants QNAP — QuFTP Service, QuNetSwitch, QuRouter et QVR Pro — couvrant exécution de code arbitraire à distance, déni de service et injections XSS.Qualys révèle CrackArmor, neuf vulnérabilités dans le code AppArmor du noyau Linux permettant élévation de privilèges locale vers root et théoriquement une container escape dans les environnements conteneurisés, affectant toutes les versions Ubuntu supportées, avec correctifs disponibles pour le noyau, sudo et util-linux.Sources :https://thehackernews.com/2026/03/microsoft-warns-irs-phishing-hits-29000.htmlhttps://krebsonsecurity.com/2026/03/canisterworm-springs-wiper-attack-targeting-iran/https://gbhackers.com/511000-end-of-life-iis-instances-found-online/https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0338/https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0337/https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0336/https://canonical.com/blog/apparmor-vulnerability-fixes-availableOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

VoidStealer, infostealer distribué en Malware-as-a-Service depuis décembre 2025, contourne la protection Application-Bound Encryption de Chrome en exploitant des hardware breakpoints pour extraire la v20_master_key directement depuis la mémoire du navigateur, sans élévation de privilèges ni injection de code.Proton Mail a transmis aux autorités suisses des métadonnées de facturation associées à un compte anonyme, relayées au FBI pour identifier un militant du mouvement Stop Cop City à Atlanta, illustrant les limites opérationnelles des services de messagerie chiffrée face aux réquisitions légales.Une opération internationale coordonnée par Europol et Eurojust démantèle un service de proxy IP criminel actif dans 102 pays, ayant compromis 369 000 équipements via un malware installé sur des routeurs et modems, avec 24 serveurs neutralisés et 3,5 millions d'euros en cryptomonnaies saisis.L'analyse forensique de deux téléphones saisis en Suède déclenche le démantèlement d'un réseau criminel international de trafic de stupéfiants et de blanchiment, aboutissant à 15 arrestations dans quatre pays et la saisie de 1,2 tonne de drogues synthétiques.Une campagne active exploite Google Forms pour distribuer le RAT PureHVNC via des leurres professionnels diffusés sur LinkedIn, avec une chaîne d'infection en plusieurs étapes reposant sur le DLL hijacking, un shellcode Donut et l'injection dans SearchUI.exe.Un ressortissant américain plaide coupable pour une fraude au streaming musical ayant détourné plus de 8 millions de dollars en royalties entre 2017 et 2024, via le déploiement de 10 000 comptes bot simultanés générant artificiellement des milliards de streams sur les principales plateformes.Sources :https://www.bleepingcomputer.com/news/security/voidstealer-malware-steals-chrome-master-key-via-debugger-trick/https://www.schneier.com/blog/archives/2026/03/proton-mail-shared-user-information-with-the-police.htmlhttps://www.eurojust.europa.eu/news/servers-used-cybercrime-around-world-taken-downhttps://www.eurojust.europa.eu/news/seized-phones-small-swedish-town-expose-major-international-criminal-networkhttps://www.malwarebytes.com/blog/threat-intel/2026/03/that-job-brief-on-google-forms-could-infect-your-devicehttps://therecord.media/man-pleads-guilty-8-million-ai-music-scheme On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

La CISA et le FBI alertent sur des campagnes de phishing menées par des acteurs liés aux services de renseignement russes visant Signal, WhatsApp et autres CMA, avec compromission de comptes utilisateurs pour accéder aux messages, contacts et propager des attaques sans casser le chiffrement.La CISA ajoute CVE-2026-20963 au KEV Catalog : une vulnérabilité critique de désérialisation dans Microsoft SharePoint permettant une Remote Code Execution sans authentification ni interaction, activement exploitée par des acteurs inconnus.Sansec révèle la vulnérabilité PolyShell dans Magento et Adobe Commerce : upload de fichiers non authentifié via API REST, exposant à Remote Code Execution ou stored XSS selon la configuration serveur, sans patch disponible pour les versions en production.Oracle publie une alerte critique sur CVE-2026-21992 affectant Identity Manager et Web Services Manager, permettant une Remote Code Execution sans authentification via requêtes réseau, avec impact direct sur les infrastructures d’identité et de services web.Sources :https://www.cisa.gov/resources-tools/resources/russian-intelligence-services-target-commercial-messaging-application-accountshttps://www.theregister.com/2026/03/19/unknown_attackers_exploit_yet_another/https://securityaffairs.com/189744/security/polyshell-flaw-exposes-magento-and-adobe-commerce-to-file-upload-attacks.htmlhttps://cyberpress.org/oracle-releases-urgent-patch-for-critical-rce-flaw/ On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Mandiant publie l'Exfiltration Framework, un modèle de détection comportementale documentant l'abus d'outils légitimes — PowerShell, rclone, AWS CLI, AzCopy — pour l'exfiltration de données, face à l'inefficacité croissante des IOCs statiques et des stratégies de blocage par liste blanche.Google identifie DarkSword, une chaîne d'exploitation iOS en six vulnérabilités ciblant les versions 18.4 à 18.7, utilisée par des acteurs étatiques et des éditeurs de spyware commercial dans des campagnes observées en Ukraine, Arabie Saoudite, Turquie et Malaisie. Le payload Ghostblade exfiltre l'intégralité des données personnelles et cible les applications de cryptomonnaies.McAfee Labs documente une campagne de faux téléchargements intégrant du code généré par LLM : 443 fichiers ZIP malveillants, 17 kill chains distinctes, distribution via Discord et SourceForge, avec déploiement de cryptomineurs et d'infostealers.Le FBI saisit quatre domaines opérés par le groupe Handala, attribué au MOIS iranien, en lien avec l'attaque wiper contre Stryker — plus de 200 000 appareils effacés via Microsoft Intune — et des opérations contre l'Albanie et des responsables israéliens.L'Opération Alice, coordonnée par Europol avec 23 pays, aboutit au démantèlement de plus de 373 000 sites dark web opérés par un unique individu basé en Chine, proposant du CSAM et des offres de Cybercrime-as-a-Service.Le SANS ISC publie l'analyse d'un script Bash déployant un backdoor GSocket multi-plateforme, combinant persistance via cron et .profile avec une technique anti-forensique de restauration de timestamps.Une analyse des TTPs du cluster Handala / Void Manticore détaille les vecteurs de Lateral Movement utilisés dans les campagnes wiper iraniennes et les stratégies de containment applicables.Un chercheur indépendant publie les détails d'une vulnérabilité critique dans les chipsets UNISOC T612, T616, T606 et T7250, permettant une Remote Code Execution unauthenticated via un simple appel cellulaire SIP/SDP — aucun patch disponible à ce jour.Le Département de Justice américain, avec le Canada et l'Allemagne, démantèle l'infrastructure de quatre botnets IoT — Aisuru, Kimwolf, JackSkid et Mossad — responsables de plus de 300 000 commandes d'attaque DDoS sur plus de trois millions d'appareils compromis.Office.eu est officiellement lancée à La Haye : une suite bureautique souveraine européenne basée sur Nextcloud, compatible avec les formats Microsoft et LibreOffice, avec déploiement grand public prévu au deuxième trimestre 2026.La CISA ajoute cinq vulnérabilités activement exploitées au KEV Catalog : trois affectant des produits Apple (CVE-2025-31277, CVE-2025-43510, CVE-2025-43520), une dans Craft CMS (CVE-2025-32432) et une dans Laravel Livewire (CVE-2025-54068).Sources :Talos Intelligence — Exfiltration Framework : https://blog.talosintelligence.com/everyday-tools-extraordinary-crimes-the-ransomware-exfiltration-playbook/Malwarebytes — DarkSword iOS : https://www.malwarebytes.com/blog/mobile/2026/03/a-darksword-hangs-over-unpatched-iphonesMcAfee — AI-written malware : https://www.mcafee.com/blogs/internet-security/new-research-hackers-are-using-ai-written-code-to-spread-malware/The Record — FBI / Handala / MOIS : https://therecord.media/fbi-takes-down-leak-sites-iran-moisEuropol — Opération Alice : https://www.europol.europa.eu/media-press/newsroom/news/global-cybercrime-crackdown-over-373-000-dark-web-sites-shut-downSANS ISC — GSocket backdoor : https://isc.sans.edu/diary/rss/32816BleepingComputer — Wiper iraniens / CISOs : https://www.bleepingcomputer.com/news/security/how-cisos-can-survive-the-era-of-geopolitical-cyberattacks/GBHackers — UNISOC T612 RCE : https://gbhackers.com/critical-unisoc-t612-modem-flaw/KrebsOnSecurity — Botnets IoT DDoS : https://krebsonsecurity.com/2026/03/feds-disrupt-iot-botnets-behind-huge-ddos-attacks/GoodTech — Office.eu : https://goodtech.info/office-eu-suite-bureautique-souveraine-europeenne-nextcloud-alternative-microsoft-365/CISA — KEV 5 vulnérabilités : https://www.cisa.gov/news-events/alerts/2026/03/20/cisa-adds-five-known-exploited-vulnerabilities-catalogOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com