Bienvenue dans votre bulletin cybersécurité du jour 🕵️♂️🔥
🐚 Rhysida — Campagne malvertising et abuse de certificats signés
Le gang Rhysida poursuit sa campagne en utilisant OysterLoader, un outil d’accès initial distribué via des publicités malveillantes imitant Microsoft Teams et PuTTy.L’analyse d’Expel recense plus de 40 certificats de signature de code abusés depuis juin 2025, dont certains émis par Microsoft Trusted Signing. Les certificats compromis permettent de signer des binaires malveillants avec un faible taux de détection.
🌐 BIND 9 — Deux failles critiques non corrigées
La Shadowserver Foundation alerte sur plus de 8 200 serveurs DNS vulnérables aux failles CVE-2025-40778 et CVE-2025-40780, dont une centaine situés aux Pays-Bas. Ces vulnérabilités permettent des attaques de type cache poisoning, redirigeant les utilisateurs vers de fausses adresses IP. Le NCSC néerlandais anticipe une exploitation active de ces failles.
🧩 Open VSX Registry — Jetons exposés et extensions piégées
L’Eclipse Foundation a confirmé un incident lié à la fuite de jetons de publication de développeurs.
Des extensions malveillantes ont été diffusées sur la plateforme via ces jetons.
Toutes les extensions identifiées ont été retirées, et de nouvelles mesures de sécurité ont été instaurées : durée de vie limitée des jetons, révocation accélérée et scans automatisés lors de la publication.
🎯 Campagne d’espionnage — Cibles militaires russes et biélorusses
Cyble et Seqrite ont identifié une opération de spear-phishing utilisant de faux documents militaires au format LNK. Les scripts exécutés installent un service OpenSSH local sur le port 20321 et un service caché Tor, permettant exfiltration et accès distant. La campagne présente des similarités avec les tactiques du groupe Sandworm, sans attribution confirmée à ce stade.
💻 Jabber Zeus — Arrestation de “MrICQ” aux États-Unis
Yuriy Igorevich Rybtsov, alias MrICQ, développeur du groupe Jabber Zeus, a été extradé d’Italie vers les États-Unis. Inculpé en 2012, il est accusé d’avoir participé au vol de plusieurs dizaines de millions de dollars via le trojan bancaire Zeus. Son ancien complice Vyacheslav “Tank” Penchukov purge une peine de 18 ans de prison.
🧠 Kimsuky — Nouveau backdoor HttpTroy
Gen Digital a révélé une campagne ciblant la Corée du Sud via un fichier ZIP piégé se présentant comme une facture VPN. Le malware HttpTroy, implant final de la chaîne, permet capture d’écran, transfert de fichiers et exécution de commandes. L’attaque, attribuée au groupe nord-coréen Kimsuky, emploie de multiples couches d’obfuscation pour contourner l’analyse.
⚡️ On ne réfléchit pas, on patch ! 🚀
📚 Sources :
https://expel.com/blog/certified-oysterloader-tracking-rhysida-ransomware-gang-activity-via-code-signing-certificates/
https://www.security.nl/posting/911521/'Duizenden+dns-servers+missen+belangrijke+update+voor+BIND+9-lekken?channel=rss
https://cyberpress.org/open-vsx-registry/
https://www.helpnetsecurity.com/2025/11/03/russian-belarusian-military-spear-phishing/
https://krebsonsecurity.com/2025/11/alleged-jabber-zeus-coder-mricq-in-u-s-custody/
https://thehackernews.com/2025/11/new-httptroy-backdoor-poses-as-vpn.html
📞 Partagez vos retours :
📱 07 68 72 20 09
📧
[email protected]
🌐 www.radiocsirt.org
📰 radiocsirt.substack.com
#CyberSécurité #Rhysida #OysterLoader #BIND9 #OpenVSX #Kimsuky #HttpTroy #JabberZeus #APT #DNS #CERT #SOC #CTI #RadioCSIRT 🎧🔥
France