RadioCSIRT - Edition Française

Des acteurs APT affiliés à l'Iran exploitent des automates industriels Rockwell Allen-Bradley exposés sur internet pour manipuler les fichiers projet et altérer les affichages HMI et SCADA dans les secteurs de l'eau, de l'énergie et des services gouvernementaux américains. Alerte conjointe FBI, CISA et NSA publiée ce 7 avril, avec IOCs STIX disponibles.

Le Centre canadien pour la cybersécurité, le FBI et la NSA publient un bulletin conjoint sur la campagne du GRU russe exploitant des routeurs vulnérables pour intercepter des informations sensibles d'organisations militaires et gouvernementales via détournement DNS. Des partenaires étrangers ont récemment démantelé le réseau de routeurs SOHO utilisé comme infrastructure de relais.

Le Centre canadien pour la cybersécurité publie le document ITSAP.10.071, un cadre de référence en sept axes pour l'évaluation des risques liés à l'intégrité de la chaîne d'approvisionnement TIC dans les infrastructures gouvernementales, applicable à toute organisation.

Le CERT-FR publie l'avis CERTFR-2026-AVI-0403 : sept CVE affectant toutes les branches actives d'OpenSSL, dont CVE-2026-31790 avec condition d'exploitation spécifique sur modules FIPS et architectures x86-64 AVX-512. Mise à jour immédiate requise.

Le CERT-FR publie l'avis CERTFR-2026-AVI-0404 : cinq CVE affectant Firefox et Thunderbird, couvrant l'exécution de code arbitraire à distance. Cinq bulletins Mozilla publiés simultanément hors cycle habituel le 7 avril 2026.

Le NCSC britannique expose les opérations de DNS hijacking d'APT28, unité 26165 du GRU, via exploitation de routeurs TP-Link et MikroTik. Le groupe déploie des serveurs DNS malveillants sur VPS pour conduire des attaques Adversary-in-the-Middle et voler credentials et tokens OAuth Microsoft 365.

Sources :

Alerte AA26-097A — Exploitation de PLCs par des acteurs affiliés à l'Iran : https://www.cisa.gov/news-events/cybersecurity-advisories/aa26-097a
Bulletin conjoint — Campagne d'exploitation de routeurs vulnérables par le GRU russe : https://www.cyber.gc.ca/fr/nouvelles-evenements/bulletin-conjoint-campagne-dexploitation-routeurs-vulnerables-menee-gru-russe-afin-voler-linformation-sensible
ITSAP.10.071 — Évaluations des risques liés à l'intégrité de la chaîne d'approvisionnement : https://www.cyber.gc.ca/fr/orientation/evaluations-risques-lies-lintegrite-chaine-dapprovisionnement-criteres-devaluation-itsap10071
CERTFR-2026-AVI-0403 — Multiples vulnérabilités dans OpenSSL : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0403/
CERTFR-2026-AVI-0404 — Multiples vulnérabilités dans les produits Mozilla : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0404/
NCSC — Le Royaume-Uni expose les opérations de détournement de routeurs par le renseignement militaire russe : https://www.ncsc.gov.uk/news/uk-exposes-russian-military-intelligence-hijacking-vulnerable-routers-for-cyber-attacks
NCSC — APT28 exploite des routeurs pour des opérations de DNS hijacking : https://www.ncsc.gov.uk/news/apt28-exploit-routers-to-enable-dns-hijacking-operations

⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #Iran #IRGC #PLC #OT #SCADA #HMI #RockwellAutomation #GRU #APT28 #FancyBear #DNSHijacking #RouterSOHO #ChaineDApprovisionnement #OpenSSL #CVE #Mozilla #Firefox #Thunderbird #CERTFR #MicrosoftOutlook #OAuthToken #AitM #NCSC #Infosec #CyberNews

Une campagne active cible plus de mille instances ComfyUI exposées sur internet : un scanner Python analyse en continu les plages IP cloud, installe des nodes malveillants via ComfyUI-Manager et déploie XMRig et lolMiner pour le cryptomining Monero et Conflux, ainsi que le botnet Hysteria V2, le tout piloté via un C2 Flask hébergé chez le bulletproof provider Aeza Group. Selon Censys, le script ghost.sh verrouille les binaires via chattr +i et redirige le output d'un botnet concurrent vers ses propres wallets.
Un chercheur sous l'alias Nightmare-Eclipse a divulgué le 3 avril le zero-day Windows BlueHammer, une élévation de privilèges locale combinant TOCTOU et path confusion permettant d'atteindre le niveau SYSTEM via la base SAM. Aucun patch n'est disponible. L'expert Will Dormann a confirmé la validité de l'exploit. Selon Security Affairs, l'auteur reconnaît avoir introduit intentionnellement des bugs dans le PoC.
Deux vulnérabilités critiques affectant CUPS, le système d'impression Linux, ont été découvertes et documentées par GBHackers : CVE-2026-34980, exécution de code à distance via injection de caractère newline dans une queue PostScript non authentifiée, et CVE-2026-34990, élévation de privilèges root par race condition. Chaînées, elles permettent une compromission complète sans authentification. Aucune release patchée n'est disponible à ce jour.
Des chercheurs de l'Université de Toronto ont développé GPUBreach, une attaque exploitant des bit-flips Rowhammer sur mémoires GDDR6 pour corrompre les GPU page tables et obtenir un root shell sans désactivation de l'IOMMU. Selon BleepingComputer, les GPU grand public sans ECC restent entièrement exposés. Les détails techniques complets seront publiés le 13 avril à l'IEEE Symposium on Security and Privacy.
Unit 42 de Palo Alto Networks documente une hausse de 282% des opérations malveillantes ciblant les environnements Kubernetes sur un an, avec 78% des alertes concentrées sur le secteur IT. Deux cas réels sont analysés : vol de service account tokens lié au groupe nord-coréen Slow Pisces, et exploitation de CVE-2025-55182 React2Shell dès le 5 décembre 2025, deux jours après sa divulgation, pour déployer backdoors et exfiltrer des credentials cloud.
Une attaque DDoS de grande ampleur a ciblé lundi soir l'infrastructure de Rostelecom, perturbant les services internet dans une trentaine de villes russes. Selon The Record, le portail gouvernemental Gosuslugi, Rutube, Steam et plusieurs services bancaires sont devenus inaccessibles. Des perturbations persistaient mardi. L'incident survient une semaine après une panne distincte ayant paralysé les systèmes de paiement bancaires dans plusieurs régions russes.
Cisco Talos documente une technique baptisée Platform-as-a-Proxy : des campagnes de phishing injectent des leurres malveillants dans les pipelines de notification de GitHub et Atlassian Jira. Les emails générés satisfont intégralement les contrôles SPF, DKIM et DMARC, contournant les passerelles de sécurité traditionnelles. Sur cinq jours d'observation, 2,89% du trafic journalier issu de [email protected] contenait un leurre de type facture au pic du 17 février 2026.
Sources :
https://thehackernews.com/2026/04/over-1000-exposed-comfyui-instances.html
https://securityaffairs.com/190400/breaking-news/experts-published-unpatched-windows-zero-day-bluehammer.html
https://gbhackers.com/cups-vulnerabilities-root-level-code-execution/
https://www.bleepingcomputer.com/news/security/new-gpubreach-attack-enables-system-takeover-via-gpu-rowhammer/
https://unit42.paloaltonetworks.com/modern-kubernetes-threats/
https://therecord.media/rostelecom-cyberattack-disrupts-russian-internet-access
https://blog.talosintelligence.com/weaponizing-saas-notification-pipelines/
⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #ComfyUI #Cryptomining #Botnet #XMRig #BlueHammer #ZeroDay #Windows #LPE #CUPS #Linux #RCE #GPUBreach #Rowhammer #GDDR6 #GPU #Kubernetes #SlowPisces #Lazarus #React2Shell #CVE202555182 #Rostelecom #DDoS #Russia #Phishing #GitHub #Jira #SaaS #PaaP #CiscoTalos #Infosec #CyberNews

Une nouvelle vague de smishing aux États-Unis détourne l'image des tribunaux d'État : les messages contiennent désormais une image imitant un avis judiciaire avec QR code intégré, redirigeant via CAPTCHA vers des sites de Phishing imitant le DMV. Les domaines suivent le schéma [état].gov-[chaîne aléatoire].[tld]. Selon BleepingComputer, la technique vise à contourner les outils d'analyse automatisée.
L'AhnLab Security Intelligence Center (ASEC) documente une évolution de la chaîne d'infection du groupe nord-coréen Kimsuky : l'infrastructure multi-scripts intègre des tâches planifiées XML (sch.db) et un Backdoor Python en deux variantes, dont une version interactive communiquant avec le C2 via protocole custom à taille fixe, avec auto-suppression sécurisée par écrasement aléatoire.
Le Bundeskriminalamt (BKA) a publiquement identifié deux figures clés de REvil/Sodinokibi : Daniil Shchukin (alias UNKN), 31 ans, représentant du groupe depuis 2019, et Anatoly Kravchuk, 43 ans, développeur présumé. Les deux ressortissants russes sont soupçonnés de 130 attaques Ransomware en Allemagne pour un préjudice total dépassant 35,4 millions d'euros.
Selon The Record, le CERT-UA documente un changement tactique des groupes russes APT28 et Void Blizzard : après une phase dominée par le "steal-and-go" en 2025, les attaquants revisitent désormais des infrastructures précédemment compromises pour vérifier la persistance des accès. Le vecteur Initial Access évolue vers l'ingénierie sociale par appel téléphonique avec numéros ukrainiens et maîtrise linguistique native, avant envoi de fichiers malveillants via messagerie instantanée.
La CISA ajoute au KEV Catalog CVE-2026-35616, une vulnérabilité de contrôle d'accès inapproprié activement exploitée dans Fortinet FortiClient EMS. 
Sources :
https://www.bleepingcomputer.com/news/security/traffic-violation-scams-switch-to-qr-codes-in-new-phishing-texts/
https://cyberpress.org/kimsuky-lnks-drop-backdoor/
https://thehackernews.com/2026/04/bka-identifies-revil-leaders-behind-130.html
https://therecord.media/ukraine-warns-russian-hackers-revisiting-old-attacks
⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

Cisco Talos documente une campagne automatisée à grande échelle exploitant React2Shell (CVE-2025-55182) dans les applications Next.js via le framework NEXUS Listener, permettant l'extraction centralisée de tokens cloud, credentials de bases de données et clés SSH depuis des centaines d'hôtes compromis.

Deux kits de Phishing sophistiqués usurpant Coca-Cola et Ferrari ciblent les chercheurs d'emploi : le kit Coca-Cola réalise un bypass MFA en temps réel via une architecture Adversary-in-the-Middle, ciblant exclusivement les comptes Google Workspace. Le kit Ferrari harvest des credentials Facebook via une fausse page OAuth.

McAfee documente le ghost student scam : des identités volées via data breach sont utilisées pour inscrire frauduleusement des victimes dans des établissements universitaires américains, générant des dettes fiscalement recouvrables à leur nom.

La FCC propose une amende de 4,5 millions de dollars contre l'opérateur Voxbeam Telecommunications pour avoir acheminé des dizaines de milliers de robocalls frauduleux usurpant Bank of America et Chase Bank, depuis le prestataire tchèque Axfone, absent de la Robocall Mitigation Database.

Unit 42 publie une chaîne d'attaque complète contre les architectures multi-agents Amazon Bedrock, exploitant le Prompt Injection pour détecter le mode d'orchestration, découvrir les agents collaborateurs, extraire les instructions système et détourner des outils via des inputs malveillants.

Trois alertes du CERT Santé : CVE-2026-35535, élévation de privilèges root dans sudo via exec_mailer() ; CVE-2026-3300, exécution de code PHP arbitraire sans authentification dans le plugin WordPress Everest Forms Pro ; CVE-2026-34982, contournement du sandbox de Vim permettant l'exécution de commandes OS à l'ouverture d'un fichier forgé.

Sources :

https://blog.talosintelligence.com/the-democratisation-of-business-email-compromise-fraud/
https://www.malwarebytes.com/blog/threat-intel/2026/04/that-dream-job-offer-from-coca-cola-or-ferrari-its-a-trap-for-your-passwords
https://www.mcafee.com/blogs/tips-tricks/ghost-student-scam-tax-refund-identity-theft/
https://therecord.media/fcc-proposes-5-million-fine-robocall
https://unit42.paloaltonetworks.com/amazon-bedrock-multiagent-applications/
https://cyberveille.esante.gouv.fr/alertes/sudo-cve-2026-35535-2026-04-03
https://cyberveille.esante.gouv.fr/alertes/wordpress-cve-2026-3300-2026-04-02
https://cyberveille.esante.gouv.fr/alertes/vim-cve-2026-34982-2026-04-02

⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

Le 31 mars 2026, Anthropic expose accidentellement le code source complet de Claude Code via un fichier source map de 59,8 Mo inclus par erreur dans le package npm @anthropic-ai/claude-code. Plus de 513 000 lignes de TypeScript non obfusqué sont rendues publiques, révélant l'architecture interne de l'agent, ses mécanismes d'exécution et plus de vingt feature flags non publiés.
En moins de 72 heures, des acteurs malveillants créent des dépôts GitHub frauduleux positionnés en tête des résultats Google via SEO poisoning. Le compte idbzoomh distribue une archive piégée déployant silencieusement un dropper Rust : ClaudeCode_x64.exe.
Double payload : Vidar 18.7, Information Stealer ciblant credentials, tokens d'API, clés cloud et secrets CI/CD — et GhostSocks, proxy SOCKS5 Backconnect transformant le poste infecté en infrastructure réseau pour les attaquants.
La campagne coïncide avec une attaque supply chain distincte sur npm, amplifiant le risque pour les environnements de développement actifs. Zscaler ThreatLabz documente l'intégralité de la chaîne.
Sources : https://cybersecuritynews.com/claude-code-leak-exploited-by-hackers-to-deliver-vidar-and-ghostsocks/
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com