RadioCSIRT - Edition Française

Bienvenue sur votre podcast quotidien de cybersécurité.Une nouvelle initiative allie des experts bénévoles de la cybersécurité pour renforcer la défense des systèmes informatiques des services d’eau face à des menaces croissantes. Des groupes de volontaires chevronnés issus de la communauté DEF CON Franklin ont été jumelés avec des services publics de distribution d’eau à travers plusieurs états américains pour effectuer des évaluations, cartographier les technologies opérationnelles (OT) et mettre en place des mesures de sécurité adaptées aux contraintes des infrastructures critiques. Ce modèle communautaire vise à compenser le manque de ressources internes et à améliorer la résilience face aux attaques industrielles ciblant ces systèmes essentiels. Une vulnérabilité d’exécution de code à distance au cœur des frameworks React et Next.js, baptisée « React2Shell », affecte les composants serveur utilisés dans des millions d’applications web. Cette faille permet à des attaquants non authentifiés d’exécuter du code arbitraire sur des serveurs exposés sans nécessiter de privilèges, exposant l’écosystème web à un risque maximal si elle n’est pas corrigée immédiatement.Une campagne de compromission massive, associée au malware PCPcat, a exploité des vulnérabilités critiques dans Next.js et React pour compromettre plus de 59 000 serveurs en moins de 48 heures. L’opération exploite des failles d’exécution de code à distance pour extraire des identifiants, des clés SSH, des variables d’environnement et établir des accès persistants via des tunnels et processus dissimulés, signifiant une industrialisation des attaques contre les piles JavaScript modernes.En France, les services en ligne de La Poste et sa branche bancaire La Banque Postale ont été perturbés par une attaque par déni de service distribué (DDoS) au plus fort de la période des fêtes, rendant indisponibles plusieurs services de suivi et de paiement. Les interruptions ont entraîné des retards significatifs dans les livraisons de colis et des perturbations des opérations bancaires en ligne, bien que les données clients n’aient pas été compromises selon les premières évaluations des autorités. Enfin, la société MongoDB met en garde les administrateurs à propos de vulnérabilités critiques dans des bibliothèques de l’écosystème (notamment Mongoose) qui pourraient permettre l’exécution de code à distance sur des serveurs Node.js. Des exploits de preuve de concept ont été publiés, et il est recommandé de mettre à jour les versions concernées immédiatement pour réduire la surface d’attaque dans les applications dépendantes de ces composants. Sources :Cyber Volunteers / Water Utility / MSSP : https://therecord.media/cyber-volunteer-water-utility-msspMongoDB – Severe RCE Patch Warning : https://www.bleepingcomputer.com/news/security/mongodb-warns-admins-to-patch-severe-rce-flaw-immediately/PCPcat – React/Next.js Servers Breach : https://thecyberexpress.com/pcpcat-react-servers-nextjs-breach/La Poste – Outage After a Cyber Attack :https://securityaffairs.com/186064/security/la-poste-outage-after-a-cyber-attack.htmlhttps://x.com/LaBanquePostale/status/2003001246698131494On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.La CISA a intégré la vulnérabilité CVE-2023-52163 à son catalogue KEV en raison de preuves d'exploitation active. Cette faille d'autorisation manquante affecte les enregistreurs vidéo réseau Digiever DS-2105 Pro, permettant à des acteurs malveillants de contourner les contrôles d'accès. Bien que la directive BOD 22-01 cible les agences fédérales, la CISA exhorte toutes les organisations à appliquer immédiatement les mises à jour de firmware. Ce type de vulnérabilité est un vecteur fréquent pour l'accès initial et les mouvements latéraux au sein des réseaux IoT et des infrastructures de surveillance.Genians Security Center détaille la campagne « Artemis » menée par le groupe APT37 contre des cibles sud-coréennes via des documents HWP malveillants. L'attaque utilise des objets OLE pour déclencher une chaîne d'exécution exploitant la technique du DLL side-loading via l'utilitaire légitime VolumeId pour charger le module RoKRAT. La campagne se distingue par l'usage de la stéganographie dans des images pour masquer la charge utile et l'utilisation de services cloud légitimes comme Yandex Cloud et pCloud pour les communications C2. L'identification est rendue complexe par l'exécution du payload dans le contexte de processus système fiables.SoundCloud confirme une intrusion via un tableau de bord de service auxiliaire, exposant les données de 20 % de ses utilisateurs, soit environ 26 millions de comptes. Les informations compromises incluent les adresses e-mail et les données publiques des profils, sans impact sur les mots de passe ou données financières. L'incident a été suivi d'attaques DDoS perturbant la disponibilité du site. Les mesures de remédiation, incluant le renforcement des contrôles IAM, ont causé des problèmes de connectivité temporaires pour les utilisateurs sous VPN.Socket Security a découvert deux extensions Chrome malveillantes, Phantom Shuttle, détournant le trafic de plus de 170 domaines d'entreprise dont AWS, GitHub et Azure. Ces extensions injectent silencieusement des identifiants de proxy via l'écouteur chrome.webRequest.onAuthRequired pour capturer les flux de données en position de Man-in-the-Middle. Les attaquants utilisent des scripts PAC pour rediriger le trafic sensible et exfiltrer identifiants, cookies de session et clés API en texte clair vers le serveur C2 phantomshuttle[.]space.Le collectif Anna’s Archive a publié une base de données massive contenant 86 millions de titres et les métadonnées de 256 millions de morceaux extraits de Spotify. L'opération de scraping, totalisant 300 téraoctets, a été réalisée via l'automatisation de comptes tiers sur plusieurs mois par stream-ripping. Spotify a désactivé les comptes impliqués et déployé de nouveaux mécanismes de surveillance pour détecter les comportements de lecture automatisés. L'ampleur de cette exfiltration pose des risques majeurs pour la protection des droits des créateurs et la propriété intellectuelle.Sources :CISA KEV Digiever : https://www.cisa.gov/news-events/alerts/2025/12/22/cisa-adds-one-known-exploited-vulnerability-catalogAPT37 Artemis : https://www.genians.co.kr/en/blog/threat_intelligence/dllSoundCloud Breach : https://www.theregister.com/2025/12/16/soundcloud_cyberattack_data_leak/Chrome Phantom Shuttle : https://thehackernews.com/2025/12/two-chrome-extensions-caught-secretly.htmlSpotify Scraping : https://therecord.media/spotify-disables-scraping-annasOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Pornhub alerte ses abonnés Premium suite à une exposition de données le 8 novembre 2025 via le prestataire d'analytics Mixpanel. Les cybercriminels menacent de contacter directement les utilisateurs impactés par email. Mixpanel conteste que les données proviennent de son incident de sécurité du 8 novembre, indiquant aucune preuve d'exfiltration depuis ses systèmes. Pornhub confirme que les mots de passe, détails de paiement et informations financières ne sont pas compromis, l'exposition concernant un ensemble limité d'événements analytiques. Les attaquants exploitent ces données pour des campagnes de sextortion ciblant spécifiquement les utilisateurs Premium identifiés.Intezer documente une campagne du groupe Goffee ciblant le personnel militaire russe et les organisations de défense. L'attaque initiale identifiée en octobre utilise un fichier XLL malveillant uploadé depuis l'Ukraine puis la Russie sur VirusTotal, titré "enemy's planned targets". Le fichier déploie le backdoor EchoGather pour collecter des informations système, exécuter des commandes et exfiltrer des fichiers vers un serveur C2 déguisé en site de livraison de nourriture. Les leurres de phishing incluent une fausse invitation à un concert pour officiers supérieurs et une lettre imitant le Ministère de l'Industrie et du Commerce russe demandant des documents de justification tarifaire pour contrats de défense.CISA et NIST publient le draft de l'Interagency Report 8597 sur la protection des tokens et assertions d'identité contre falsification, vol et usage malveillant. Le document répond aux incidents récents chez les fournisseurs cloud majeurs ciblant le vol, la modification ou la falsification de tokens d'identité pour accéder aux ressources protégées. Le rapport couvre les contrôles IAM pour systèmes utilisant assertions et tokens signés numériquement dans les décisions d'accès. NIST demande aux CSPs d'appliquer les principes Secure by Design, priorisant transparence, configurabilité et interopérabilité. Les agences fédérales doivent comprendre l'architecture et modèles de déploiement de leurs CSPs pour aligner posture de risque et environnement de menace. Sources :Pornhub sextortion : https://www.malwarebytes.com/blog/news/2025/12/pornhub-tells-users-to-expect-sextortion-emails-after-data-exposureGoffee APT : https://therecord.media/cyber-spies-fake-new-year-concert-russian-phishingNIST/CISA tokens : https://www.cisa.gov/news-events/alerts/2025/12/22/nist-and-cisa-release-draft-interagency-report-protecting-tokens-and-assertions-tampering-theft-andOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Une majorité de domaines récemment enregistrés et stationnés diffusent désormais du contenu malveillant. L’analyse montre une bascule progressive des services de domain parking vers l’hébergement de pages de phishing, de fausses mises à jour logicielles et de redirections vers des kits de scams. Ces domaines sont fréquemment utilisés comme infrastructure éphémère pour contourner les mécanismes de réputation et accélérer les campagnes de fraude et de malware delivery.Le groupe APT iranien Infy refait surface avec une nouvelle campagne ciblée. Les attaques reposent sur des documents piégés diffusés par spear-phishing, utilisant des leurres politiques et diplomatiques. Les charges malveillantes intègrent des backdoors mises à jour, des mécanismes de persistance via le registre Windows et des canaux C2 HTTP(S) dissimulés, indiquant une reprise opérationnelle structurée après une période de faible activité.Le NIST publie de nouvelles recommandations de sécurité pour l’usage des smart speakers dans les environnements de télé-santé à domicile. Les risques identifiés incluent l’interception de flux vocaux non chiffrés, la compromission de données de santé et l’utilisation de ces appareils comme points de pivot vers les systèmes hospitaliers. Les mesures préconisées portent sur le chiffrement des communications, la segmentation réseau et le contrôle strict des accès aux dispositifs et aux plateformes cloud associées.Sources :Domain parking malveillant : https://krebsonsecurity.com/2025/12/most-parked-domains-now-serving-malicious-content/APT Infy : https://thehackernews.com/2025/12/iranian-infy-apt-resurfaces-with-new.htmlNIST smart speakers : https://www.nist.gov/news-events/news/2025/12/securing-smart-speakers-home-health-care-nist-offers-new-guidelinesOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Amazon révèle avoir identifié une infiltration liée à la Corée du Nord lors d’un recrutement IT. Un administrateur système déclaré comme basé aux États-Unis a été détecté via une latence de frappe clavier supérieure à 110 millisecondes vers les serveurs de Seattle, indiquant un pilotage distant intercontinental. L’infrastructure de contrôle a été tracée jusqu’en Chine. Amazon indique avoir bloqué plus de 1 800 tentatives de recrutement frauduleux associées à la Corée du Nord depuis avril 2024, avec une hausse trimestrielle de 27 %.Un acteur APT russe mène une campagne de phishing ciblant des entités gouvernementales des Balkans et de la région baltique. Les attaques reposent sur des pièces jointes HTML déguisées en PDF, intégrant des leurres institutionnels et des formulaires d’authentification factices. Les identifiants sont exfiltrés via formcarry.com, avec réutilisation de code JavaScript et de regex observée depuis au moins 2023.Microsoft confirme une panne globale de Microsoft Teams ayant affecté l’envoi et la réception des messages sur l’ensemble des régions et des clients. L’incident débute à 14h30 heure de la côte Est et est entièrement résolu une heure plus tard. Aucun indicateur d’activité malveillante n’est communiqué.Une campagne malware exploite des documents Microsoft Office, des fichiers SVG et des archives compressées pour compromettre des systèmes Windows. Les attaquants exploitent CVE-2017-11882, utilisent la stéganographie PNG et du process hollowing via RegAsm.exe pour livrer RATs et stealers, dont AsyncRAT, Remcos et PureLog Stealer.Aux États-Unis, des attaques d’ATM jackpotting sont attribuées à un groupe criminel déployant le malware Ploutus via accès physique aux distributeurs automatiques. La compromission repose sur la modification ou le remplacement des disques durs des ATM, permettant le contrôle du module de distribution de billets. Les pertes sont estimées à plus de 40 millions de dollars depuis 2020.On ne réfléchit pas, on patch !Sources :Amazon : https://www.clubic.com/actualite-592366-amazon-infiltre-par-un-espion-nord-coreen-finalement-repere-a-cause-de-sa-frappe-clavier.htmlAPT russe : https://strikeready.com/blog/russian-apt-actor-phishes-the-baltics-and-the-balkans/Microsoft Teams : https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-teams-is-down-and-messages-are-delayed/SVG / Office : https://cybersecuritynews.com/hackers-weaponize-svg-files-and-office-documents/ATM Ploutus : https://www.theregister.com/2025/12/19/tren_de_aragua_atm/Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com