RadioCSIRT - Edition Française

Le ressortissant russe Aleksei Volkov, Initial Access Broker de 26 ans, est condamné à 81 mois de prison aux États-Unis après avoir revendu des accès à au moins sept organisations américaines sur des forums criminels — dont au groupe Yanluowang — en touchant jusqu'à 20 % des rançons versées, pour 9 millions de dollars de pertes réelles documentées.
Spamhaus recense plus de 21 000 serveurs C2 Mirai actifs au second semestre 2025, avec une croissance de 50 % sur l'année — la famille Aisuru-Kimwolf est liée à une attaque DDoS record à 31,4 Tbps et exploite des proxies résidentiels via IPIDEA pour infecter smart TVs et mobiles Android à des fins de credential stuffing et de fraude.
La FCC intègre l'ensemble des routeurs grand public fabriqués à l'étranger à sa Covered List, les soumettant à une interdiction d'importation et de commercialisation sur le territoire américain — les campagnes Volt Typhoon, Flax Typhoon et Salt Typhoon sont explicitement citées comme cas documentés d'exploitation de ces équipements à des fins d'espionnage.
TP-Link publie des correctifs pour sa gamme Archer NX — CVE-2025-15517 (CVSS 8.6) permet à un attaquant non authentifié d'uploader un firmware ou de modifier la configuration via des endpoints CGI exposés ; CVE-2025-15605 documente la présence d'une clé cryptographique codée en dur permettant le déchiffrement et la modification des fichiers de configuration.
Kali Linux 2026.1 est disponible avec un kernel 6.18 et huit nouveaux outils dont AdaptixC2, MetasploitMCP, SSTImap et XSStrike — Kali NetHunter reçoit un premier patch d'injection sans fil pour chipsets Qualcomm QCACLD 3.0 ; l'écosystème GNU Radio est actuellement défaillant dans cette version.
La NSA, le Centre canadien pour la cybersécurité, l'ACSC australienne et le NCSC néo-zélandais publient un guide conjoint sur la cybersécurité des systèmes LEO SATCOM, structuré autour de quatre segments de risque — spatial, terrestre, utilisateur final et liaisons RF — et identifiant le brouillage, le spoofing et l'interception comme vecteurs principaux sur des constellations dont la surface d'attaque croît avec le nombre de satellites déployés.
Sources :
https://www.theregister.com/2026/03/24/russian_iab_sentenced/
https://gbhackers.com/mirai-botnets/
https://securityaffairs.com/189959/security/fcc-targets-foreign-router-imports-amid-rising-cybersecurity-concerns.html
https://www.bleepingcomputer.com/news/security/tp-link-warns-users-to-patch-critical-router-auth-bypass-flaw/
https://www.bleepingcomputer.com/news/linux/kali-linux-20261-released-with-8-new-tools-new-backtrack-mode/
https://www.cyber.gc.ca/fr/nouvelles-evenements/guide-conjoint-securite-spatiale-cybersecurite-telecommunications-satellite-orbite-terrestre-basse
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Le groupe iranien Pay2Key cible une organisation de santé américaine fin février avec un ransomware amélioré, sans exfiltration de données, compromettant un compte administrateur plusieurs jours avant chiffrement et effaçant les journaux post-intrusion — pattern cohérent avec une opération à finalité stratégique conduite en parallèle des hostilités militaires avec les États-Unis.
Le CERT Esanté publie l'avis CVE-2026-30911 signalant une vulnérabilité Missing Authorization dans l'Execution API d'Apache Airflow sur les endpoints Human-in-the-Loop, permettant à tout utilisateur authentifié de lire, approuver ou rejeter des workflows d'autres instances sans vérification d'appartenance, affectant les versions 3.1.0 à 3.1.7, corrigée en 3.1.8.
Le SANS Internet Storm Center documente deux méthodes de détection des IP KVM sur Linux — analyse USB via lsusb et interrogation des données EDID transmises par HDMI — et souligne qu'aucune solution de protection endpoint ne vérifie actuellement les chaînes EDID, vecteur exploité notamment par des acteurs nord-coréens pour accès furtif à distance.
Microsoft résout un incident de synchronisation dans Classic Outlook affectant les comptes Gmail et Yahoo depuis le 26 février 2026, générant les codes d'erreur 0x800CCC0F et 0x80070057 sans prompt de reconnexion OAuth — deux incidents restent ouverts : erreurs EWS lors de création de groupes et disparition du curseur souris.
Le ministère néerlandais des Finances confirme une intrusion détectée le 19 mars 2026 ciblant des systèmes du département politique, sans impact sur l'administration fiscale ni les douanes — nombre d'employés concernés, données potentiellement exfiltrées et durée de présence des attaquants non communiqués, aucune revendication à ce stade.
Sources :
https://therecord.media/iran-linked-ransomware-gang-targeted-us-healthcare-org
https://cyberveille.esante.gouv.fr/alertes/apache-cve-2026-30911-2026-03-24
https://isc.sans.edu/diary/rss/32824
https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-bug-causing-outlook-sync-issues-for-gmail-users/
https://www.bleepingcomputer.com/news/security/dutch-ministry-of-finance-discloses-breach-affecting-employees/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Microsoft détecte une campagne de Phishing massive usurpant l'IRS ayant frappé 29 000 utilisateurs dans 10 000 organisations le 10 février 2026, distribuant via Amazon SES un ScreenConnect malveillant protégé par Cloudflare contre l'analyse automatisée.
Le groupe TeamPCP déploie CanisterWorm, un Wiper ciblant les systèmes configurés sur le fuseau horaire iranien, propagé via Docker APIs et clusters Kubernetes exposés, avec une infrastructure C2 basée sur des canisters ICP blockchain, après avoir compromis les scanners Trivy et KICS via des supply chain attacks sur GitHub Actions.
La Shadowserver Foundation identifie 511 000 instances Microsoft IIS en fin de vie exposées sur Internet, dont 227 000 en état End-of-Support complet sans aucun correctif disponible, majoritairement concentrées en Chine et aux États-Unis.
Le CERT-FR publie l'avis CERTFR-2026-AVI-0338 signalant la CVE-2026-32746, permettant une exécution de code arbitraire à distance sur plusieurs branches DSM de Synology, sans correctif disponible pour DSMUC 3.1.
Le CERT-FR publie l'avis CERTFR-2026-AVI-0337 concernant les CVE-2026-3055 et CVE-2026-4368 affectant NetScaler ADC et Gateway, permettant atteinte à la confidentialité et contournement de politique de sécurité.
Le CERT-FR publie l'avis CERTFR-2026-AVI-0336 signalant douze CVE dans les composants QNAP — QuFTP Service, QuNetSwitch, QuRouter et QVR Pro — couvrant exécution de code arbitraire à distance, déni de service et injections XSS.
Qualys révèle CrackArmor, neuf vulnérabilités dans le code AppArmor du noyau Linux permettant élévation de privilèges locale vers root et théoriquement une container escape dans les environnements conteneurisés, affectant toutes les versions Ubuntu supportées, avec correctifs disponibles pour le noyau, sudo et util-linux.
Sources :
https://thehackernews.com/2026/03/microsoft-warns-irs-phishing-hits-29000.html
https://krebsonsecurity.com/2026/03/canisterworm-springs-wiper-attack-targeting-iran/
https://gbhackers.com/511000-end-of-life-iis-instances-found-online/
https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0338/
https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0337/
https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0336/
https://canonical.com/blog/apparmor-vulnerability-fixes-available
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

VoidStealer, infostealer distribué en Malware-as-a-Service depuis décembre 2025, contourne la protection Application-Bound Encryption de Chrome en exploitant des hardware breakpoints pour extraire la v20_master_key directement depuis la mémoire du navigateur, sans élévation de privilèges ni injection de code.
Proton Mail a transmis aux autorités suisses des métadonnées de facturation associées à un compte anonyme, relayées au FBI pour identifier un militant du mouvement Stop Cop City à Atlanta, illustrant les limites opérationnelles des services de messagerie chiffrée face aux réquisitions légales.
Une opération internationale coordonnée par Europol et Eurojust démantèle un service de proxy IP criminel actif dans 102 pays, ayant compromis 369 000 équipements via un malware installé sur des routeurs et modems, avec 24 serveurs neutralisés et 3,5 millions d'euros en cryptomonnaies saisis.
L'analyse forensique de deux téléphones saisis en Suède déclenche le démantèlement d'un réseau criminel international de trafic de stupéfiants et de blanchiment, aboutissant à 15 arrestations dans quatre pays et la saisie de 1,2 tonne de drogues synthétiques.
Une campagne active exploite Google Forms pour distribuer le RAT PureHVNC via des leurres professionnels diffusés sur LinkedIn, avec une chaîne d'infection en plusieurs étapes reposant sur le DLL hijacking, un shellcode Donut et l'injection dans SearchUI.exe.
Un ressortissant américain plaide coupable pour une fraude au streaming musical ayant détourné plus de 8 millions de dollars en royalties entre 2017 et 2024, via le déploiement de 10 000 comptes bot simultanés générant artificiellement des milliards de streams sur les principales plateformes.
Sources :
https://www.bleepingcomputer.com/news/security/voidstealer-malware-steals-chrome-master-key-via-debugger-trick/
https://www.schneier.com/blog/archives/2026/03/proton-mail-shared-user-information-with-the-police.html
https://www.eurojust.europa.eu/news/servers-used-cybercrime-around-world-taken-down
https://www.eurojust.europa.eu/news/seized-phones-small-swedish-town-expose-major-international-criminal-network
https://www.malwarebytes.com/blog/threat-intel/2026/03/that-job-brief-on-google-forms-could-infect-your-device
https://therecord.media/man-pleads-guilty-8-million-ai-music-scheme
 
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

La CISA et le FBI alertent sur des campagnes de phishing menées par des acteurs liés aux services de renseignement russes visant Signal, WhatsApp et autres CMA, avec compromission de comptes utilisateurs pour accéder aux messages, contacts et propager des attaques sans casser le chiffrement.
La CISA ajoute CVE-2026-20963 au KEV Catalog : une vulnérabilité critique de désérialisation dans Microsoft SharePoint permettant une Remote Code Execution sans authentification ni interaction, activement exploitée par des acteurs inconnus.
Sansec révèle la vulnérabilité PolyShell dans Magento et Adobe Commerce : upload de fichiers non authentifié via API REST, exposant à Remote Code Execution ou stored XSS selon la configuration serveur, sans patch disponible pour les versions en production.
Oracle publie une alerte critique sur CVE-2026-21992 affectant Identity Manager et Web Services Manager, permettant une Remote Code Execution sans authentification via requêtes réseau, avec impact direct sur les infrastructures d’identité et de services web.
Sources :
https://www.cisa.gov/resources-tools/resources/russian-intelligence-services-target-commercial-messaging-application-accounts
https://www.theregister.com/2026/03/19/unknown_attackers_exploit_yet_another/
https://securityaffairs.com/189744/security/polyshell-flaw-exposes-magento-and-adobe-commerce-to-file-upload-attacks.html
https://cyberpress.org/oracle-releases-urgent-patch-for-critical-rce-flaw/
 
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com