RadioCSIRT - Edition Française

Nous ouvrons cette édition avec une analyse publiée par Brad Duncan sur le SANS Internet Storm Center, documentant une campagne de Phishing en langue japonaise. Les emails frauduleux usurpent les marques ANA, DHL et myTOKYOGAS, avec des domaines d'expédition et des URLs de Phishing systématiquement enregistrés sous le TLD .cn. L'ensemble des échantillons partagent un même indicateur dans les en-têtes : la signature X-mailer Foxmail 6, 13, 102, 15 [cn], confirmant un acteur unique.
L'actualité se poursuit avec un avis du CERT-FR, référencé CERTFR-2026-AVI-0189, concernant une vulnérabilité dans F5 BIG-IP AFM et DDoS Hybrid Defender. La faille CVE-2026-2507 permet un déni de service à distance sur les versions 17.x non corrigées.
Le Centre canadien pour la cybersécurité a émis le bulletin AV26-148 suite à la publication par IceWarp de correctifs critiques. La vulnérabilité principale, CVE-2025-14500, est une OS Command Injection avec un score CVSS de 9.8, exploitable sans authentification sur Windows et Linux. Deux failles supplémentaires de sévérité moyenne affectent l'interface WebClient.
En parallèle, le CST et le Centre pour la cybersécurité appellent les organisations canadiennes et les opérateurs d'infrastructures essentielles à renforcer leurs défenses face aux cybermenaces pro-russes, à l'approche du quatrième anniversaire de l'invasion de l'Ukraine. Les acteurs ciblés incluent les organismes gouvernementaux, les secteurs public et privé et les réseaux d'infrastructures essentielles, notamment via des attaques DDoS et des campagnes de Ransomware.
Enfin, la CISA a ajouté deux vulnérabilités Roundcube Webmail à son catalogue Known Exploited Vulnerabilities : CVE-2025-49113, une Deserialization critique au score CVSS de 9.9 permettant une Remote Code Execution, et CVE-2025-68461, un Cross-Site Scripting exploitable via des documents SVG malveillants. Les deux failles sont chaînables pour atteindre une compromission complète du serveur.
Sources : 
SANS ISC – Japanese-Language Phishing Emails : https://isc.sans.edu/diary/rss/32734
CERT-FR – CERTFR-2026-AVI-0189 Vulnérabilité dans F5 BIG-IP : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0189/
Centre canadien pour la cybersécurité – Bulletin de sécurité IceWarp AV26-148 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-icewarp-av26-148
CST – Alerte renforcement des défenses face aux cybermenaces pro-russes : https://www.cyber.gc.ca/fr/nouvelles-evenements/cst-demande-organisations-canadiennes-fournisseurs-dinfrastructures-essentielles-renforcer-defenses-laube-quatrieme-anniversaire-linvasion-lukraine-russie
CISA – CISA Adds Two Known Exploited Vulnerabilities to Catalog : https://www.cisa.gov/news-events/alerts/2026/02/20/cisa-adds-two-known-exploited-vulnerabilities-catalog
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec la découverte par l'équipe de recherche de Flare d'un nouveau Botnet ciblant les systèmes Linux, baptisé SSHStalker. Détecté via un SSH Honeypot sur une période de deux mois, ce Botnet utilise le protocole IRC comme canal de Command and Control. SSHStalker enchaîne un scanner SSH avec un mécanisme de staging rapide pour enrôler les machines compromises dans des canaux IRC, le tout optimisé pour le passage à l'échelle. Fait notable : le Botnet maintient une persistance dormante. Malgré des capacités de DDoS et de Cryptomining intégrées à son arsenal, aucune opération d'impact n'a été observée. Ce comportement suggère une phase de staging d'infrastructure, de test, ou de rétention stratégique d'accès pour usage ultérieur. Les chercheurs ont identifié près de sept mille résultats frais issus d'un scanner SSH datant de janvier 2026, avec des adresses IP réparties sur des hébergeurs Cloud à travers les régions US, EU et APAC. Parmi les indicateurs à surveiller : l'exécution de gcc, make ou d'outils de build sur des serveurs de production, ainsi que la présence de cron jobs s'exécutant chaque minute.
L'actualité se poursuit avec l'ajout par la CISA de deux nouvelles vulnérabilités à son catalogue Known Exploited Vulnerabilities, sur la base de preuves d'exploitation active. Première entrée : CVE-2021-22175, une vulnérabilité de type Server-Side Request Forgery affectant GitLab. Seconde entrée : CVE-2026-22769, une vulnérabilité de type Use of Hard-coded Credentials dans Dell RecoverPoint for Virtual Machines. Conformément à la Binding Operational Directive 22-01, les agences fédérales civiles américaines sont tenues de remédier à ces vulnérabilités dans les délais impartis.
Le CERT-FR a publié l'avis CERTFR-2026-AVI-0181 concernant une vulnérabilité dans Apache Tomcat, référencée CVE-2026-24734. Cette faille permet un contournement de la politique de sécurité. Les correctifs ont été publiés par Apache entre le 23 et le 27 janvier 2026.
En parallèle, une enquête publiée par Bleeping Computer et les chercheurs de Flare révèle que des canaux Telegram underground partagent activement des Proof-of-Concept, des outils offensifs et des identifiants administrateur volés liés aux vulnérabilités critiques de SmarterMail. Deux CVE sont au centre de cette activité : CVE-2026-24423, une faille de Remote Code Execution non authentifiée avec un score CVSS de 9.3, et CVE-2026-23760, un Authentication Bypass permettant de réinitialiser le mot de passe administrateur sans vérification. La weaponization s'est produite en quelques jours après la publication des correctifs. 
Enfin, le CERT Santé a publié une alerte concernant la CVE-2026-2447, une vulnérabilité dans la bibliothèque libvpx utilisée par Firefox et Thunderbird. Cette faille de type Heap-based Buffer Overflow, classée CWE-122, obtient un score CVSS v3.1 de 8.8. Le vecteur d'attaque est réseau, la complexité d'exploitation est faible, aucun privilège n'est requis, mais une interaction utilisateur est nécessaire. 
Sources : 
Linux Magazine – New Linux Botnet Discovered : https://www.linux-magazine.com/Online/News/New-Linux-Botnet-Discovered
CISA – CISA Adds Two Known Exploited Vulnerabilities to Catalog : https://www.cisa.gov/news-events/alerts/2026/02/18/cisa-adds-two-known-exploited-vulnerabilities-catalog
CERT-FR – CERTFR-2026-AVI-0181 Vulnérabilité dans Apache Tomcat : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0181/
Bleeping Computer – Telegram Channels Expose Rapid Weaponization of SmarterMail Flaws : https://www.bleepingcomputer.com/news/security/telegram-channels-expose-rapid-weaponization-of-smartermail-flaws/
CERT Santé – Mozilla CVE-2026-2447 : https://cyberveille.esante.gouv.fr/alertes/mozilla-cve-2026-2447-2026-02-18
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec la révélation par Microsoft Threat Intelligence d'une nouvelle variante de l'attaque ClickFix exploitant le DNS comme canal de staging. La commande initiale, exécutée via cmd.exe, utilise nslookup pour effectuer un DNS Lookup vers un serveur externe contrôlé par l'attaquant. La réponse DNS est filtrée puis exécutée comme Payload de second stage, aboutissant au déploiement de ModeloRAT, un Remote Access Trojan basé sur Python. En parallèle, Bitdefender signale une recrudescence de Lumma Stealer via des campagnes ClickFix déployant CastleLoader, un Loader associé au Threat Actor GrayBravo. Malgré les opérations de disruption des forces de l'ordre en 2025, l'infrastructure Lumma Stealer démontre une résilience notable.
L'actualité se poursuit avec l'identification par ReversingLabs de packages malveillants sur npm et PyPI rattachés à la campagne « graphalgo », attribuée au groupe nord-coréen Lazarus. Active depuis mai 2025, cette opération cible les développeurs JavaScript et Python via de fausses offres d'emploi dans le secteur des cryptomonnaies. Les attaquants, opérant sous la couverture d'une société fictive nommée Veltrix Capital, approchent leurs victimes sur LinkedIn, Facebook et Reddit. L'opération modulaire en cinq phases aboutit au déploiement d'un RAT doté de communications C2 protégées par token, avec détection de Crypto Wallets comme MetaMask. Un des packages npm, bigmathutils, a atteint plus de dix mille téléchargements avant l'injection de code malveillant.
Enfin, le projet Vim annonce la publication de Vim 9.2 le 14 février 2026. Cette version majeure apporte le support natif des Enums, des Generic Functions et du type Tuple dans Vim9 Script, le support complet de Wayland, ainsi que la conformité XDG Base Directory. Le mode Diff bénéficie de l'algorithme linematch et d'une nouvelle option diffanchors. De nombreuses vulnérabilités de sécurité, Memory Leaks et Crashes potentiels ont été corrigés depuis Vim 9.1.
Sources :
The Hacker News – Microsoft Discloses DNS-Based ClickFix Attack Using Nslookup for Malware Staging : https://thehackernews.com/2026/02/microsoft-discloses-dns-based-clickfix.html
Security Affairs – Malicious npm and PyPI packages linked to Lazarus APT fake recruiter campaign : https://securityaffairs.com/188009/apt/malicious-npm-and-pypi-packages-llinked-to-lazarus-apt-fake-recruiter-campaign.html
Vim.org – Vim 9.2 released : https://www.vim.org/vim-9.2-released.php
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec l'ajout par la CISA d'une nouvelle vulnérabilité à son catalogue Known Exploited Vulnerabilities. La CVE-2026-1731, une faille de type OS Command Injection, affecte les produits BeyondTrust Remote Support et Privileged Remote Access. Activement exploitée dans la nature, elle s'ajoute aux quatre entrées référencées la veille, dont la CVE-2025-15556 ciblant Notepad++ et la CVE-2026-20700 visant Apple. La Binding Operational Directive 22-01 impose aux agences fédérales américaines de corriger les vulnérabilités inscrites au catalogue dans les délais prescrits.
L'actualité se poursuit avec la publication par le Google Threat Intelligence Group d'un rapport documentant une campagne d'extraction massive visant le modèle Gemini. Plus de cent mille requêtes ont été soumises au modèle dans le cadre d'une attaque par distillation, visant à reproduire sa logique interne via des accès API légitimes. D'après The Register, le groupe APT31, également connu sous les noms Violet Typhoon et Zirconium et attribué à la Chine, a utilisé Gemini pour planifier des cyberattaques contre des organisations américaines. Les requêtes portaient sur l'analyse de vulnérabilités d'exécution de code à distance et le contournement de Web Application Firewalls. Le rapport souligne que d'autres acteurs étatiques liés à l'Iran, à la Corée du Nord et à la Russie expérimentent également l'usage de Gemini à différents stades du cycle offensif.
Enfin, l'interpellation le 10 février d'un intérimaire de 19 ans sur le site Dassault Aviation de Cergy illustre la menace que représentent les objets connectés discrets pour la sûreté des installations industrielles sensibles. Selon RTL et l'AFP, l'homme, monteur-câbleur sur la chaîne d'assemblage du Rafale, portait des lunettes Ray-Ban Meta équipées d'une caméra. Placé en garde à vue pour atteinte aux intérêts fondamentaux de la Nation, il a été libéré le 12 février sans qu'aucune utilisation malveillante n'ait été établie. L'affaire, suivie par la DGSI, pose la question du contrôle d'accès physique et de la politique BYOD dans les environnements liés à la défense nationale.
Sources :
CISA – CISA Adds One Known Exploited Vulnerability to Catalog : https://www.cisa.gov/news-events/alerts/2026/02/13/cisa-adds-one-known-exploited-vulnerability-catalog
01net – Cyberattaques chinoises sur Gemini : Google s'attend à un coup dur : https://www.01net.com/actualites/cyberattaques-chinoises-gemini-google-sattend-co
ZDNet France – Lunettes connectées au travail : pourquoi un simple gadget peut vous mener en garde à vue : https://www.zdnet.fr/actualites/lunettes-connectees-au-travail-pourquoi-un-simple-gadget-peut-vous-mener-en-garde-a-vue-490077.htm
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec le dernier rapport de Group-IB, qui décrit comment les attaques par Supply Chain alimentent désormais une économie cybercriminelle auto-renforçante. La compromission de packages Open Source nourrit la distribution de Malware et le vol de credentials, tandis que l'abus de protocoles OAuth permet de compromettre des environnements SaaS et des pipelines CI/CD. Le Ransomware et l'extorsion interviennent en fin de chaîne, capitalisant sur les accès obtenus en amont. Plusieurs incidents récents illustrent cette dynamique, dont le worm NPM Shai-Hulud, l'affaire Salesloft et le Package Poisoning OpenClaw. Group-IB anticipe une accélération de ces attaques grâce à des outils assistés par intelligence artificielle.
L'actualité se poursuit avec la compromission massive de l'opérateur télécom néerlandais Odido, affectant six virgule deux millions de comptes clients. Les attaquants ont exfiltré des noms, adresses, coordonnées bancaires, dates de naissance et numéros de pièce d'identité depuis un système de contact client. La filiale Ben a également alerté ses propres clients. Détectée le week-end dernier, la compromission a été notifiée à l'autorité néerlandaise de protection des données. Aucun détail technique sur le vecteur d'attaque n'a été communiqué.
Un nouvel outil Open Source de Credential Testing baptisé Brutus fait son apparition sur GitHub. Écrit en Go sous forme de binaire unique sans dépendance, il prend en charge vingt-deux protocoles et embarque les collections de SSH Bad Keys de Rapid7 et HashiCorp Vagrant. Sa fonctionnalité expérimentale d'AI-Powered Credential Discovery combine vision par intelligence artificielle et Headless Browser pour identifier et tester automatiquement les Default Credentials de panneaux d'administration web non répertoriés.
Le groupe DragonForce poursuit son expansion en tant que fournisseur de Ransomware-as-a-Service, totalisant trois cent soixante-trois victimes revendiquées sur son Data Leak Site depuis décembre 2023, avec un pic à trente-cinq victimes en décembre 2025. S'appuyant sur du code fuité de LockBit 3.0 et Conti, le groupe propose des Payloads personnalisés via son service RansomBay et se distingue par une stratégie agressive envers ses concurrents, ayant défacé le site de BlackLock et revendiqué l'infrastructure de RansomHub.
Microsoft a corrigé un bug dans son service de contrôle parental Family Safety qui empêchait le lancement de Google Chrome et d'autres navigateurs sous Windows 10 22H2 et Windows 11 22H2 ou versions ultérieures. Le problème, reconnu fin juin 2025, a été résolu par un correctif côté serveur déployé début février 2026, près de huit mois après les premiers signalements.
Enfin, Cisco transfère son framework de sécurité Project CodeGuard à la Coalition for Secure AI hébergée par OASIS Open. Ce framework agnostique intègre des règles de sécurité directement dans les workflows des assistants de codage IA, compatible avec Cursor, GitHub Copilot, Windsurf et Claude Code. CoSAI rassemble désormais plus de quarante partenaires dont Google, Anthropic, OpenAI, NVIDIA, Microsoft et Amazon.
Sources :
The Register – Supply chain attacks now fuel a 'self-reinforcing' cybercrime economy : https://www.theregister.com/2025/02/12/supply_chain_attacks_fuel_cybercrime/
Security Affairs – Odido confirms massive breach; 6.2 Million customers impacted : https://securityaffairs.com/174491/data-breach/odido-confirms-massive-breach.html
Help Net Security – Brutus: Open-source credential testing tool for offensive security : https://www.helpnetsecurity.com/2026/02/13/brutus-open-source-credential-testing-tool/
Cyber Security News – DragonForce Ransomware Group Targets 363 Companies in Strategic Expansion : https://cybersecuritynews.com/dragonforce-ransomware-group/
BleepingComputer – Microsoft fixes bug that blocked Google Chrome from launching : https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-bug-that-blocked-google-chrome-from-launching/
LeBigData – Cisco offre son framework de sécurité CodeGuard à la CoSAI d'OASIS : https://www.lebigdata.fr/cisco-codeguard-cosai-oasis/ 
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com