RadioCSIRT - Edition Française

Bienvenue sur votre podcast quotidien de cybersécurité.Nous ouvrons cette édition par une affaire mêlant cybercriminalité et renseignement en Europe de l’Est. En Géorgie, l’ancien chef du contre-espionnage a été arrêté dans le cadre d’une enquête portant sur des centres d’escroquerie opérant à grande échelle. Les autorités le soupçonnent d’avoir facilité ou couvert des activités frauduleuses structurées, notamment des opérations de type scam centers visant des victimes internationales, illustrant une nouvelle fois l’imbrication entre criminalité organisée, corruption et cyberfraude.Nous analysons ensuite une campagne de phishing ciblant les utilisateurs de cryptomonnaies via de faux courriels se faisant passer pour Grubhub. Les messages promettent un rendement multiplié par dix sur des cryptomonnaies envoyées par les victimes. Les fonds transférés sont immédiatement redirigés vers des portefeuilles contrôlés par les attaquants, sans possibilité de récupération, démontrant une exploitation classique mais toujours efficace de l’ingénierie sociale appliquée aux actifs numériques.Enfin, nous revenons sur une opération attribuée à Evasive Panda, un groupe lié à la Chine, qui a mené des activités d’espionnage via une infrastructure DNS détournée. Les attaquants ont utilisé des techniques avancées de résolution DNS et de redirection de trafic afin de déployer des charges malveillantes furtives, tout en contournant plusieurs mécanismes de détection réseau. Cette campagne illustre l’évolution continue des TTP des groupes APT dans le domaine du cyberespionnage étatique.SourcesArrestation en Géorgie – centres d’escroquerie :https://therecord.media/republic-of-georgia-former-spy-chief-arrested-scam-centersCampagne de phishing crypto – faux emails Grubhub :https://www.bleepingcomputer.com/news/security/fake-grubhub-emails-promise-tenfold-return-on-sent-cryptocurrency/APT Evasive Panda – infrastructure DNS malveillante :https://thehackernews.com/2025/12/china-linked-evasive-panda-ran-dns.htmlOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Nous ouvrons cette édition par une séquence géopolitique marquant une nouvelle étape dans les tensions transatlantiques autour de la régulation numérique. Les États-Unis ont imposé des restrictions de visa à plusieurs personnalités européennes impliquées dans la régulation des plateformes technologiques, dont Thierry Breton, ancien commissaire européen. Washington justifie cette décision par des accusations de censure extraterritoriale visant les plateformes américaines, notamment dans le cadre de l’application du Digital Services Act. L’Union européenne a condamné la mesure et demandé des explications formelles, évoquant une atteinte à sa souveraineté réglementaire.Nous analysons ensuite CVE-2018-25154, une vulnérabilité critique de buffer overflow affectant GNU Barcode version 0.99. La faille, liée au mécanisme d’encodage Code 93, permet une corruption mémoire menant à une exécution de code arbitraire via des fichiers d’entrée spécialement construits. Le score CVSS 3.1 est critique à 9.8, avec un impact élevé sur la confidentialité, l’intégrité et la disponibilité des systèmes exposés.Nous revenons également sur CVE-2023-36525, une Blind SQL Injection non authentifiée touchant le plugin WordPress WPJobBoard jusqu’à la version 5.9.0. La vulnérabilité est exploitable à distance sans privilèges ni interaction utilisateur et expose les sites affectés à des risques de fuite de données, de modification persistante et de dégradation du service.Dans le volet cybercriminalité, le FBI a saisi l’infrastructure web3adspanels.org, utilisée comme backend pour centraliser des identifiants bancaires volés issus de campagnes de phishing. Cette infrastructure servait à stocker et exploiter les credentials compromis afin de réaliser des attaques de type account takeover contre des établissements financiers, l’activité étant confirmée jusqu’à fin 2025.Nous faisons ensuite le point sur Urban VPN Proxy, une extension VPN gratuite pour navigateurs Chromium, dont les versions récentes intègrent des mécanismes d’interception et d’exfiltration des conversations avec des plateformes d’intelligence artificielle. Les données collectées incluent prompts, réponses, métadonnées de session et plateformes utilisées, la collecte étant activée par défaut et sans possibilité de désactivation.Enfin, nous abordons l’exploitation active de CVE-2020-12812 sur les pare-feux FortiGate, une vulnérabilité ancienne mais toujours utilisée permettant le contournement de la 2FA. Le mécanisme repose sur une incohérence de gestion de la casse des identifiants entre FortiGate et les annuaires LDAP, entraînant un fallback d’authentification sans enforcement de la double authentification dans certaines configurations.SourcesRégulation tech et tensions USA–UE :https://www.01net.com/actualites/pourquoi-les-etats-unis-sattaquent-a-thierry-breton-et-aux-autres-regulateurs-de-la-tech.htmlCVE-2018-25154 – GNU Barcode buffer overflow :https://cvefeed.io/vuln/detail/CVE-2018-25154CVE-2023-36525 – WPJobBoard Blind SQL Injection :https://cvefeed.io/vuln/detail/CVE-2023-36525Saisie FBI – web3adspanels.org :https://securityaffairs.com/186094/cyber-crime/fbi-seized-web3adspanels-org-hosting-stolen-logins.htmlUrban VPN Proxy data harvesting :https://boingboing.net/2025/12/19/this-free-vpn-is-a-massive-security-risk.htmlFortiGate 2FA bypass exploitation :https://cyberpress.org/hackers-abuse-3-year-old-fortigate-flaw/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Une nouvelle initiative allie des experts bénévoles de la cybersécurité pour renforcer la défense des systèmes informatiques des services d’eau face à des menaces croissantes. Des groupes de volontaires chevronnés issus de la communauté DEF CON Franklin ont été jumelés avec des services publics de distribution d’eau à travers plusieurs états américains pour effectuer des évaluations, cartographier les technologies opérationnelles (OT) et mettre en place des mesures de sécurité adaptées aux contraintes des infrastructures critiques. Ce modèle communautaire vise à compenser le manque de ressources internes et à améliorer la résilience face aux attaques industrielles ciblant ces systèmes essentiels. Une vulnérabilité d’exécution de code à distance au cœur des frameworks React et Next.js, baptisée « React2Shell », affecte les composants serveur utilisés dans des millions d’applications web. Cette faille permet à des attaquants non authentifiés d’exécuter du code arbitraire sur des serveurs exposés sans nécessiter de privilèges, exposant l’écosystème web à un risque maximal si elle n’est pas corrigée immédiatement.Une campagne de compromission massive, associée au malware PCPcat, a exploité des vulnérabilités critiques dans Next.js et React pour compromettre plus de 59 000 serveurs en moins de 48 heures. L’opération exploite des failles d’exécution de code à distance pour extraire des identifiants, des clés SSH, des variables d’environnement et établir des accès persistants via des tunnels et processus dissimulés, signifiant une industrialisation des attaques contre les piles JavaScript modernes.En France, les services en ligne de La Poste et sa branche bancaire La Banque Postale ont été perturbés par une attaque par déni de service distribué (DDoS) au plus fort de la période des fêtes, rendant indisponibles plusieurs services de suivi et de paiement. Les interruptions ont entraîné des retards significatifs dans les livraisons de colis et des perturbations des opérations bancaires en ligne, bien que les données clients n’aient pas été compromises selon les premières évaluations des autorités. Enfin, la société MongoDB met en garde les administrateurs à propos de vulnérabilités critiques dans des bibliothèques de l’écosystème (notamment Mongoose) qui pourraient permettre l’exécution de code à distance sur des serveurs Node.js. Des exploits de preuve de concept ont été publiés, et il est recommandé de mettre à jour les versions concernées immédiatement pour réduire la surface d’attaque dans les applications dépendantes de ces composants. Sources :Cyber Volunteers / Water Utility / MSSP : https://therecord.media/cyber-volunteer-water-utility-msspMongoDB – Severe RCE Patch Warning : https://www.bleepingcomputer.com/news/security/mongodb-warns-admins-to-patch-severe-rce-flaw-immediately/PCPcat – React/Next.js Servers Breach : https://thecyberexpress.com/pcpcat-react-servers-nextjs-breach/La Poste – Outage After a Cyber Attack :https://securityaffairs.com/186064/security/la-poste-outage-after-a-cyber-attack.htmlhttps://x.com/LaBanquePostale/status/2003001246698131494On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.La CISA a intégré la vulnérabilité CVE-2023-52163 à son catalogue KEV en raison de preuves d'exploitation active. Cette faille d'autorisation manquante affecte les enregistreurs vidéo réseau Digiever DS-2105 Pro, permettant à des acteurs malveillants de contourner les contrôles d'accès. Bien que la directive BOD 22-01 cible les agences fédérales, la CISA exhorte toutes les organisations à appliquer immédiatement les mises à jour de firmware. Ce type de vulnérabilité est un vecteur fréquent pour l'accès initial et les mouvements latéraux au sein des réseaux IoT et des infrastructures de surveillance.Genians Security Center détaille la campagne « Artemis » menée par le groupe APT37 contre des cibles sud-coréennes via des documents HWP malveillants. L'attaque utilise des objets OLE pour déclencher une chaîne d'exécution exploitant la technique du DLL side-loading via l'utilitaire légitime VolumeId pour charger le module RoKRAT. La campagne se distingue par l'usage de la stéganographie dans des images pour masquer la charge utile et l'utilisation de services cloud légitimes comme Yandex Cloud et pCloud pour les communications C2. L'identification est rendue complexe par l'exécution du payload dans le contexte de processus système fiables.SoundCloud confirme une intrusion via un tableau de bord de service auxiliaire, exposant les données de 20 % de ses utilisateurs, soit environ 26 millions de comptes. Les informations compromises incluent les adresses e-mail et les données publiques des profils, sans impact sur les mots de passe ou données financières. L'incident a été suivi d'attaques DDoS perturbant la disponibilité du site. Les mesures de remédiation, incluant le renforcement des contrôles IAM, ont causé des problèmes de connectivité temporaires pour les utilisateurs sous VPN.Socket Security a découvert deux extensions Chrome malveillantes, Phantom Shuttle, détournant le trafic de plus de 170 domaines d'entreprise dont AWS, GitHub et Azure. Ces extensions injectent silencieusement des identifiants de proxy via l'écouteur chrome.webRequest.onAuthRequired pour capturer les flux de données en position de Man-in-the-Middle. Les attaquants utilisent des scripts PAC pour rediriger le trafic sensible et exfiltrer identifiants, cookies de session et clés API en texte clair vers le serveur C2 phantomshuttle[.]space.Le collectif Anna’s Archive a publié une base de données massive contenant 86 millions de titres et les métadonnées de 256 millions de morceaux extraits de Spotify. L'opération de scraping, totalisant 300 téraoctets, a été réalisée via l'automatisation de comptes tiers sur plusieurs mois par stream-ripping. Spotify a désactivé les comptes impliqués et déployé de nouveaux mécanismes de surveillance pour détecter les comportements de lecture automatisés. L'ampleur de cette exfiltration pose des risques majeurs pour la protection des droits des créateurs et la propriété intellectuelle.Sources :CISA KEV Digiever : https://www.cisa.gov/news-events/alerts/2025/12/22/cisa-adds-one-known-exploited-vulnerability-catalogAPT37 Artemis : https://www.genians.co.kr/en/blog/threat_intelligence/dllSoundCloud Breach : https://www.theregister.com/2025/12/16/soundcloud_cyberattack_data_leak/Chrome Phantom Shuttle : https://thehackernews.com/2025/12/two-chrome-extensions-caught-secretly.htmlSpotify Scraping : https://therecord.media/spotify-disables-scraping-annasOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Pornhub alerte ses abonnés Premium suite à une exposition de données le 8 novembre 2025 via le prestataire d'analytics Mixpanel. Les cybercriminels menacent de contacter directement les utilisateurs impactés par email. Mixpanel conteste que les données proviennent de son incident de sécurité du 8 novembre, indiquant aucune preuve d'exfiltration depuis ses systèmes. Pornhub confirme que les mots de passe, détails de paiement et informations financières ne sont pas compromis, l'exposition concernant un ensemble limité d'événements analytiques. Les attaquants exploitent ces données pour des campagnes de sextortion ciblant spécifiquement les utilisateurs Premium identifiés.Intezer documente une campagne du groupe Goffee ciblant le personnel militaire russe et les organisations de défense. L'attaque initiale identifiée en octobre utilise un fichier XLL malveillant uploadé depuis l'Ukraine puis la Russie sur VirusTotal, titré "enemy's planned targets". Le fichier déploie le backdoor EchoGather pour collecter des informations système, exécuter des commandes et exfiltrer des fichiers vers un serveur C2 déguisé en site de livraison de nourriture. Les leurres de phishing incluent une fausse invitation à un concert pour officiers supérieurs et une lettre imitant le Ministère de l'Industrie et du Commerce russe demandant des documents de justification tarifaire pour contrats de défense.CISA et NIST publient le draft de l'Interagency Report 8597 sur la protection des tokens et assertions d'identité contre falsification, vol et usage malveillant. Le document répond aux incidents récents chez les fournisseurs cloud majeurs ciblant le vol, la modification ou la falsification de tokens d'identité pour accéder aux ressources protégées. Le rapport couvre les contrôles IAM pour systèmes utilisant assertions et tokens signés numériquement dans les décisions d'accès. NIST demande aux CSPs d'appliquer les principes Secure by Design, priorisant transparence, configurabilité et interopérabilité. Les agences fédérales doivent comprendre l'architecture et modèles de déploiement de leurs CSPs pour aligner posture de risque et environnement de menace. Sources :Pornhub sextortion : https://www.malwarebytes.com/blog/news/2025/12/pornhub-tells-users-to-expect-sextortion-emails-after-data-exposureGoffee APT : https://therecord.media/cyber-spies-fake-new-year-concert-russian-phishingNIST/CISA tokens : https://www.cisa.gov/news-events/alerts/2025/12/22/nist-and-cisa-release-draft-interagency-report-protecting-tokens-and-assertions-tampering-theft-andOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com