RadioCSIRT - Edition Française

Google déploie Device Bound Session Credentials en disponibilité générale dans Chrome 146 sur Windows : les cookies de session sont cryptographiquement ancrés au terminal via le TPM, rendant les tokens exfiltrés par les Infostealers comme Lumma, Atomic ou Vidar inutilisables sans la clé privée non exportable.

Une attaque supply chain compromet le système de mise à jour de Smart Slider 3 Pro pour WordPress : la version 3.5.1.35 a distribué pendant six heures un toolkit de persistance multi-couche via le canal officiel de Nextend, avec création de comptes administrateur fantômes, Backdoor via headers HTTP personnalisés et exfiltration vers le C2 wpjs1[.]com.

Un Zero-Day non patché dans Adobe Reader est activement exploité depuis au moins novembre 2025 : exfiltration de fichiers locaux via les APIs Acrobat util.readFileIntoStream et RSS.addFeed, avec un ciblage apparent du secteur pétrolier et gazier russophone. Aucun correctif disponible.

Le Ransomware Payload cible les environnements VMware ESXi avec un binaire ELF64 combinant Curve25519 ECDH, ChaCha20 adaptatif SIMD et chiffrement exclusif des fichiers de plus de 5 Go. Vingt-six victimes revendiquées depuis février 2026 aux États-Unis, au Royaume-Uni, aux Philippines, au Mexique et en Égypte.

Le FBI récupère des messages Signal supprimés depuis un iPhone sans compromettre le chiffrement de l'application, en exploitant la base de données des notifications push d'iOS — persistante après désinstallation et non contrôlée par Signal.

Sources :

Google rolls out DBSC in Chrome 146 to block session theft on Windows : https://thehackernews.com/2026/04/google-rolls-out-dbsc-in-chrome-146-to.html

Backdoored Smart Slider 3 Pro update distributed via compromised Nextend servers : https://thehackernews.com/2026/04/backdoored-smart-slider-3-pro-update.html

Malicious PDF reveals active Adobe Reader zero-day in the wild : https://securityaffairs.com/190558/hacking/malicious-pdf-reveals-active-adobe-reader-zero-day-in-the-wild.html

Deep technical analysis of Payload Ransomware : https://0x3obad.github.io/posts/payload-ransomware-writeup/

Comment le FBI a récupéré des messages de Signal effacés par un utilisateur : https://www.clubic.com/actualite-608410-comment-le-fbi-a-recupere-des-messages-de-signal-effaces-par-un-utilisateur.html

⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #Chrome #DBSC #SessionTheft #Infostealer #TPM #SupplyChain #WordPress #SmartSlider #Backdoor #AdobeReader #ZeroDay #PDF #ESXi #VMware #Ransomware #Payload #ChaCha20 #Signal #iOS #PushNotification #ForensicIntelligence #Infosec #CyberNews

La CISA ajoute CVE-2026-1340 à son catalogue KEV : une vulnérabilité de type Code Injection activement exploitée dans Ivanti Endpoint Manager Mobile, vecteur d'attaque fréquent contre les environnements d'entreprise et gouvernementaux.

Le CERT-FR publie l'avis CERTFR-2026-AVI-0407 : plus de cinquante CVE corrigées dans Google Chrome, versions antérieures à 147.0.7727.55 sur Linux et 147.0.7727.55/56 sur Windows et macOS. L'éditeur ne précise pas la nature des impacts.

Gen Threat Labs publie l'analyse de Remus, une variante 64 bits de Lumma Stealer en campagne active depuis février 2026. Nouveauté technique majeure : résolution C2 via EtherHiding sur smart contracts Ethereum, et bypass de l'Application-Bound Encryption de Chrome par injection de shellcode dans le processus navigateur.

CVE-2025-59528 dans Flowise, plateforme open-source de construction d'agents IA, est activement exploitée. CVSS 10, injection JavaScript arbitraire via le nœud CustomMCP, entre 12 000 et 15 000 instances exposées sur Internet.

Le SANS ISC documente une chaîne d'infection Phishing complète : JavaScript obfusqué de 10 Mo aboutissant au déploiement de Formbook via injection dans MSBuild, avec patching mémoire d'AMSI et ETW en chemin.

Sources : 

CISA Known Exploited Vulnerabilities - CVE-2026-1340 : https://www.cisa.gov/news-events/alerts/2026/04/08/cisa-adds-one-known-exploited-vulnerability-catalog
CERTFR-2026-AVI-0407 - Multiples vulnérabilités dans Google Chrome : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0407/
Remus: Unmasking The 64-bit Variant of the Infamous Lumma Stealer : https://www.gendigital.com/blog/insights/research/remus-64bit-variant-of-lumma-stealer
Max severity Flowise RCE vulnerability now exploited in attacks : https://www.bleepingcomputer.com/news/security/max-severity-flowise-rce-vulnerability-now-exploited-in-attacks/
Obfuscated JavaScript or Nothing - SANS ISC : https://isc.sans.edu/diary/rss/32884

⚡️ On ne réfléchit pas, on patch ! 

📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #IvantiEPMM #KEV #CISA #CVE #Chrome #CERTFR #LummaStealer #Remus #Infostealer #EtherHiding #AppBoundEncryption #Flowise #RCE #MCP #LLM #AIAgent #Formbook #Phishing #JavaScript #AMSI #ETW #MSBuild #Infosec #CyberNews

Des acteurs APT affiliés à l'Iran exploitent des automates industriels Rockwell Allen-Bradley exposés sur internet pour manipuler les fichiers projet et altérer les affichages HMI et SCADA dans les secteurs de l'eau, de l'énergie et des services gouvernementaux américains. Alerte conjointe FBI, CISA et NSA publiée ce 7 avril, avec IOCs STIX disponibles.

Le Centre canadien pour la cybersécurité, le FBI et la NSA publient un bulletin conjoint sur la campagne du GRU russe exploitant des routeurs vulnérables pour intercepter des informations sensibles d'organisations militaires et gouvernementales via détournement DNS. Des partenaires étrangers ont récemment démantelé le réseau de routeurs SOHO utilisé comme infrastructure de relais.

Le Centre canadien pour la cybersécurité publie le document ITSAP.10.071, un cadre de référence en sept axes pour l'évaluation des risques liés à l'intégrité de la chaîne d'approvisionnement TIC dans les infrastructures gouvernementales, applicable à toute organisation.

Le CERT-FR publie l'avis CERTFR-2026-AVI-0403 : sept CVE affectant toutes les branches actives d'OpenSSL, dont CVE-2026-31790 avec condition d'exploitation spécifique sur modules FIPS et architectures x86-64 AVX-512. Mise à jour immédiate requise.

Le CERT-FR publie l'avis CERTFR-2026-AVI-0404 : cinq CVE affectant Firefox et Thunderbird, couvrant l'exécution de code arbitraire à distance. Cinq bulletins Mozilla publiés simultanément hors cycle habituel le 7 avril 2026.

Le NCSC britannique expose les opérations de DNS hijacking d'APT28, unité 26165 du GRU, via exploitation de routeurs TP-Link et MikroTik. Le groupe déploie des serveurs DNS malveillants sur VPS pour conduire des attaques Adversary-in-the-Middle et voler credentials et tokens OAuth Microsoft 365.

Sources :

Alerte AA26-097A — Exploitation de PLCs par des acteurs affiliés à l'Iran : https://www.cisa.gov/news-events/cybersecurity-advisories/aa26-097a
Bulletin conjoint — Campagne d'exploitation de routeurs vulnérables par le GRU russe : https://www.cyber.gc.ca/fr/nouvelles-evenements/bulletin-conjoint-campagne-dexploitation-routeurs-vulnerables-menee-gru-russe-afin-voler-linformation-sensible
ITSAP.10.071 — Évaluations des risques liés à l'intégrité de la chaîne d'approvisionnement : https://www.cyber.gc.ca/fr/orientation/evaluations-risques-lies-lintegrite-chaine-dapprovisionnement-criteres-devaluation-itsap10071
CERTFR-2026-AVI-0403 — Multiples vulnérabilités dans OpenSSL : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0403/
CERTFR-2026-AVI-0404 — Multiples vulnérabilités dans les produits Mozilla : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0404/
NCSC — Le Royaume-Uni expose les opérations de détournement de routeurs par le renseignement militaire russe : https://www.ncsc.gov.uk/news/uk-exposes-russian-military-intelligence-hijacking-vulnerable-routers-for-cyber-attacks
NCSC — APT28 exploite des routeurs pour des opérations de DNS hijacking : https://www.ncsc.gov.uk/news/apt28-exploit-routers-to-enable-dns-hijacking-operations

⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #Iran #IRGC #PLC #OT #SCADA #HMI #RockwellAutomation #GRU #APT28 #FancyBear #DNSHijacking #RouterSOHO #ChaineDApprovisionnement #OpenSSL #CVE #Mozilla #Firefox #Thunderbird #CERTFR #MicrosoftOutlook #OAuthToken #AitM #NCSC #Infosec #CyberNews

Une campagne active cible plus de mille instances ComfyUI exposées sur internet : un scanner Python analyse en continu les plages IP cloud, installe des nodes malveillants via ComfyUI-Manager et déploie XMRig et lolMiner pour le cryptomining Monero et Conflux, ainsi que le botnet Hysteria V2, le tout piloté via un C2 Flask hébergé chez le bulletproof provider Aeza Group. Selon Censys, le script ghost.sh verrouille les binaires via chattr +i et redirige le output d'un botnet concurrent vers ses propres wallets.
Un chercheur sous l'alias Nightmare-Eclipse a divulgué le 3 avril le zero-day Windows BlueHammer, une élévation de privilèges locale combinant TOCTOU et path confusion permettant d'atteindre le niveau SYSTEM via la base SAM. Aucun patch n'est disponible. L'expert Will Dormann a confirmé la validité de l'exploit. Selon Security Affairs, l'auteur reconnaît avoir introduit intentionnellement des bugs dans le PoC.
Deux vulnérabilités critiques affectant CUPS, le système d'impression Linux, ont été découvertes et documentées par GBHackers : CVE-2026-34980, exécution de code à distance via injection de caractère newline dans une queue PostScript non authentifiée, et CVE-2026-34990, élévation de privilèges root par race condition. Chaînées, elles permettent une compromission complète sans authentification. Aucune release patchée n'est disponible à ce jour.
Des chercheurs de l'Université de Toronto ont développé GPUBreach, une attaque exploitant des bit-flips Rowhammer sur mémoires GDDR6 pour corrompre les GPU page tables et obtenir un root shell sans désactivation de l'IOMMU. Selon BleepingComputer, les GPU grand public sans ECC restent entièrement exposés. Les détails techniques complets seront publiés le 13 avril à l'IEEE Symposium on Security and Privacy.
Unit 42 de Palo Alto Networks documente une hausse de 282% des opérations malveillantes ciblant les environnements Kubernetes sur un an, avec 78% des alertes concentrées sur le secteur IT. Deux cas réels sont analysés : vol de service account tokens lié au groupe nord-coréen Slow Pisces, et exploitation de CVE-2025-55182 React2Shell dès le 5 décembre 2025, deux jours après sa divulgation, pour déployer backdoors et exfiltrer des credentials cloud.
Une attaque DDoS de grande ampleur a ciblé lundi soir l'infrastructure de Rostelecom, perturbant les services internet dans une trentaine de villes russes. Selon The Record, le portail gouvernemental Gosuslugi, Rutube, Steam et plusieurs services bancaires sont devenus inaccessibles. Des perturbations persistaient mardi. L'incident survient une semaine après une panne distincte ayant paralysé les systèmes de paiement bancaires dans plusieurs régions russes.
Cisco Talos documente une technique baptisée Platform-as-a-Proxy : des campagnes de phishing injectent des leurres malveillants dans les pipelines de notification de GitHub et Atlassian Jira. Les emails générés satisfont intégralement les contrôles SPF, DKIM et DMARC, contournant les passerelles de sécurité traditionnelles. Sur cinq jours d'observation, 2,89% du trafic journalier issu de [email protected] contenait un leurre de type facture au pic du 17 février 2026.
Sources :
https://thehackernews.com/2026/04/over-1000-exposed-comfyui-instances.html
https://securityaffairs.com/190400/breaking-news/experts-published-unpatched-windows-zero-day-bluehammer.html
https://gbhackers.com/cups-vulnerabilities-root-level-code-execution/
https://www.bleepingcomputer.com/news/security/new-gpubreach-attack-enables-system-takeover-via-gpu-rowhammer/
https://unit42.paloaltonetworks.com/modern-kubernetes-threats/
https://therecord.media/rostelecom-cyberattack-disrupts-russian-internet-access
https://blog.talosintelligence.com/weaponizing-saas-notification-pipelines/
⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #ComfyUI #Cryptomining #Botnet #XMRig #BlueHammer #ZeroDay #Windows #LPE #CUPS #Linux #RCE #GPUBreach #Rowhammer #GDDR6 #GPU #Kubernetes #SlowPisces #Lazarus #React2Shell #CVE202555182 #Rostelecom #DDoS #Russia #Phishing #GitHub #Jira #SaaS #PaaP #CiscoTalos #Infosec #CyberNews

Une nouvelle vague de smishing aux États-Unis détourne l'image des tribunaux d'État : les messages contiennent désormais une image imitant un avis judiciaire avec QR code intégré, redirigeant via CAPTCHA vers des sites de Phishing imitant le DMV. Les domaines suivent le schéma [état].gov-[chaîne aléatoire].[tld]. Selon BleepingComputer, la technique vise à contourner les outils d'analyse automatisée.
L'AhnLab Security Intelligence Center (ASEC) documente une évolution de la chaîne d'infection du groupe nord-coréen Kimsuky : l'infrastructure multi-scripts intègre des tâches planifiées XML (sch.db) et un Backdoor Python en deux variantes, dont une version interactive communiquant avec le C2 via protocole custom à taille fixe, avec auto-suppression sécurisée par écrasement aléatoire.
Le Bundeskriminalamt (BKA) a publiquement identifié deux figures clés de REvil/Sodinokibi : Daniil Shchukin (alias UNKN), 31 ans, représentant du groupe depuis 2019, et Anatoly Kravchuk, 43 ans, développeur présumé. Les deux ressortissants russes sont soupçonnés de 130 attaques Ransomware en Allemagne pour un préjudice total dépassant 35,4 millions d'euros.
Selon The Record, le CERT-UA documente un changement tactique des groupes russes APT28 et Void Blizzard : après une phase dominée par le "steal-and-go" en 2025, les attaquants revisitent désormais des infrastructures précédemment compromises pour vérifier la persistance des accès. Le vecteur Initial Access évolue vers l'ingénierie sociale par appel téléphonique avec numéros ukrainiens et maîtrise linguistique native, avant envoi de fichiers malveillants via messagerie instantanée.
La CISA ajoute au KEV Catalog CVE-2026-35616, une vulnérabilité de contrôle d'accès inapproprié activement exploitée dans Fortinet FortiClient EMS. 
Sources :
https://www.bleepingcomputer.com/news/security/traffic-violation-scams-switch-to-qr-codes-in-new-phishing-texts/
https://cyberpress.org/kimsuky-lnks-drop-backdoor/
https://thehackernews.com/2026/04/bka-identifies-revil-leaders-behind-130.html
https://therecord.media/ukraine-warns-russian-hackers-revisiting-old-attacks
⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com