RadioCSIRT - Edition Française

Nous ouvrons cette édition avec les révélations de Huntress Security sur l'exploitation active des vulnérabilités critiques de SolarWinds Web Help Desk. Les attaquants ciblent les failles CVE-2025-40551 et CVE-2025-26399 pour obtenir une exécution de code à distance via la désérialisation de données Java non fiables. Une fois l'accès initial établi, les opérateurs déploient des outils légitimes détournés, tels que l'agent Zoho ManageEngine et le framework de forensic Velociraptor, orchestrés via des tunnels Cloudflare. Ces intrusions, également observées par Microsoft, visent des infrastructures stratégiques pour mener des opérations de reconnaissance dans l'Active Directory.
L'actualité se poursuit avec l'annonce par la Commission européenne d'une intrusion cybernétique majeure ayant ciblé son infrastructure de gestion des terminaux mobiles. Détectée par le CERT-EU, l'attaque est liée à l'exploitation de failles critiques dans les solutions Ivanti Endpoint Manager Mobile (CVE-2026-1281 et CVE-2026-1340). Si la Commission affirme que l'incident a été contenu en moins de neuf heures sans compromission directe des appareils, les attaquants ont pu accéder aux noms et numéros de téléphone du personnel, s'inscrivant dans une vague d'attaques similaires frappant plusieurs institutions gouvernementales aux Pays-Bas et en Finlande.
Sur le front de l'espionnage, le groupe APT UNC3886, lié aux intérêts chinois, a mené une campagne sophistiquée contre le secteur des télécommunications à Singapour. L'agence de cybersécurité nationale, la CSA, rapporte que les quatre opérateurs majeurs ont été infiltrés via l'utilisation d'exploits Zero-Day et le déploiement de rootkits furtifs. L'adversaire s'est concentré sur les équipements réseau et les environnements de virtualisation VMware ESXi, parvenant à exfiltrer des données techniques critiques pour cartographier les infrastructures stratégiques de la cité-État.
Enfin, nous revenons sur les défis posés par les compilateurs modernes à la cryptographie. Lors du FOSDEM 2026, le mainteneur de la bibliothèque Botan a démontré comment les optimisations agressives de GCC 15.2 neutralisent les implémentations en temps constant destinées à prévenir les Side-Channel Attacks. En tentant de supprimer les branchements conditionnels, le compilateur réintroduit par inadvertance des vulnérabilités de timing, forçant les développeurs à utiliser de l'Inline Assembly pour masquer la logique de sécurité face à l'optimiseur.
Sources
BleepingComputer – Threat actors exploit SolarWinds WHD flaws : https://www.bleepingcomputer.com/news/security/threat-actors-exploit-solarwinds-wdh-flaws-to-deploy-velociraptor/
Hackread – Cyber Attack Hits European Commission : https://hackread.com/cyber-attack-european-commission-staff-mobile-systems/
The Hacker News – UNC3886 Targets Singapore Telecom : https://thehackernews.com/2026/02/china-linked-unc3886-targets-singapore.html
The Register – How GCC became the Clippy of cryptography : https://www.theregister.com/2026/02/09/compilers_undermine_encryption/
ZDNET – Linux, le socle invisible de l'IA moderne : https://www.zdnet.fr/actualites/cet-os-alimente-discretement-toute-lia-ainsi-que-la-plupart-des-futurs-emplois-delit-489808.htm
The Verge – Substack data breach exposed users' data : https://www.theverge.com/tech/874255/substack-data-breach-user-emails-phone-numbers
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec les révélations de The Hacker News sur la sécurisation critique de l'écosystème OpenClaw. Face à la prolifération de skills malveillants sur sa marketplace ClawHub, la plateforme intègre désormais les capacités de VirusTotal Code Insight pour analyser chaque brique logicielle via leur empreinte SHA-256. Malgré cette mesure, les chercheurs alertent sur la persistance de vecteurs d'attaques par injection de prompts indirects et la découverte de plus de 30 000 instances exposées sur le port 18789, transformant potentiellement ces agents IA en véritables chevaux de Troie pour l'exfiltration de données d'entreprise.
L'actualité se poursuit avec le démantèlement par Cisco Talos du framework DKnife, un toolkit d'interception de haut vol utilisé par des acteurs liés à la Chine depuis 2019. Opérant directement au niveau des routeurs et des edge devices, ce framework utilise le Deep Packet Inspection pour détourner les mises à jour légitimes Windows et Android au profit de backdoors comme ShadowPad. DKnife se distingue par une capacité d'évasion active, capable d'identifier et de neutraliser les flux des solutions antivirus via l'injection de paquets TCP RST, compromettant ainsi l'intégrité de la couche réseau dès le périmètre.
Sur le front des vulnérabilités, le Centre canadien pour la cybersécurité relaie un avis critique concernant le scanner Nessus de Tenable. Les versions 10.10.1 et 10.11.1 ainsi que leurs itérations antérieures sont affectées par plusieurs failles de sécurité. Les administrateurs de SOC et les équipes de gestion des vulnérabilités sont invités à procéder sans délai à la mise à jour vers les versions 10.10.2 et 10.11.2 pour garantir la fiabilité de leurs campagnes de scan.
Enfin, nous revenons sur les défis de la Shadow AI. Le déploiement massif d'outils agentiques comme OpenClaw, souvent sans validation des directions informatiques, crée une surface d'attaque hybride où le prompt devient l'instruction d'exécution, rendant les outils de monitoring traditionnels inopérants face à des modèles capables d'interpréter le langage naturel pour contourner les politiques de sécurité.
Sources
The Hacker News – OpenClaw Integrates VirusTotal : https://thehackernews.com/2026/02/openclaw-integrates-virustotal-scanning.html
Security Affairs – DKnife toolkit abuses routers : https://securityaffairs.com/187716/malware/dknife-toolkit-abuses-routers-to-spy-and-deliver-malware-since-2019.html
Cyber.gc.ca – Bulletin de sécurité Tenable (AV26-095) : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-tenable-av26-095
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec les Jeux Olympiques d'hiver de Milano Cortina, qui font face à une vague de cyberattaques attribuées à la Russie. Selon The Register, le ministre italien des Affaires étrangères confirme le ciblage de bureaux diplomatiques et d'infrastructures olympiques. La posture défensive de l'événement est par ailleurs fragilisée par des tensions Supply Chain : le CEO de Cloudflare menace de retirer ses services de protection pro bono suite à un différend réglementaire avec les autorités italiennes.
L’actualité se poursuit en France avec une affaire d'espionnage en Gironde révélée par ZDNet. Deux ressortissants chinois ont été mis en examen pour avoir opéré une station d'interception clandestine depuis une location Airbnb. L'équipement saisi, signalé par une antenne parabolique massive, était conçu pour le Sniffing de communications sur le réseau Starlink et l'interception de fréquences militaires, matérialisant une menace directe sur la couche physique des communications satellitaires.
Sur le front des vulnérabilités, le CERT-FR a publié deux avis critiques. Le premier concerne la solution VoIP Asterisk, affectée par des failles permettant la Remote Code Execution (RCE) et l'Escalation of Privileges. Le second alerte sur le noyau Linux de Red Hat, où une trentaine de CVE ont été corrigées pour prévenir, entre autres, des risques de Denial of Service et d'atteinte à l'intégrité des données sur les architectures x86_64, ARM et IBM z Systems.
Enfin, Microsoft annonce la disponibilité de SQL Server 2025 sur Ubuntu 24.04 LTS, introduisant de nouvelles Dynamic Management Views pour l'observabilité et le support natif des vecteurs pour l'IA. 
Nous terminons sur une note structurelle : une tribune rappelle l'urgence de la formation, citant une hausse de 15 % des incidents traités par l'ANSSI en 2024, dans un contexte de pénurie mondiale estimée à 4,8 millions de professionnels.
Sources 
The Register – Winter Olympics Russian attacks : https://www.theregister.com/2026/02/05/winter_olympics_russian_attacks/
ZDNet – Station d’interception clandestine en Gironde : https://www.zdnet.fr/actualites/station-dinterception-clandestine-dans-un-airbnb-en-gironde-deux-citoyens-chinois-mis-en-examen-489660.htm
CERT-FR – Avis Asterisk : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0123/
CERT-FR – Avis Red Hat Linux Kernel : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0130/
Ubuntu – SQL Server 2025 GA : https://ubuntu.com//blog/sql-server-2025-ubuntu-24-04-lts
GoodTech – Pénurie d'experts cyber : https://goodtech.info/pourquoi-il-faut-former-massivement-les-futurs-experts-cyber-francais/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec une analyse publiée par KrebsOnSecurity sur le groupe d’extorsion Scattered Lapsus ShinyHunters. Les chercheurs décrivent un acteur cybercriminel instable combinant vol de données, social engineering et campagnes de harcèlement ciblant directement dirigeants et familles. Contrairement aux groupes de ransomware structurés, SLSH abuse de canaux Telegram, de menaces physiques, de swatting, de DDoS et de pression médiatique, sans garantie de suppression des données volées. L’article met en lumière des intrusions récentes basées sur du voice phishing MFA et l’enrôlement frauduleux de devices, selon des observations confirmées par Mandiant et Unit 221B.
L’actualité se poursuit en Europe, où la Commission européenne annonce que TikTok s’expose à une sanction majeure pour non-respect du Digital Services Act. Bruxelles estime que des mécanismes d’addictive design — infinite scroll, autoplay, push notifications et personalized recommendation systems — favorisent des usages compulsifs, notamment chez les mineurs. En cas de confirmation, l’amende pourrait atteindre 6 % du chiffre d’affaires mondial de la plateforme, dans un contexte de sanctions européennes répétées.
En Allemagne, les autorités de sécurité intérieure alertent sur des campagnes de compromission de comptes Signal visant des profils sensibles. Selon le BfV et le BSI, des attaquants, soupçonnés d’être étatiques, exploitent exclusivement du social engineering et des fonctionnalités légitimes comme le linked-device pairing par QR code, sans malware ni exploitation de vulnérabilités, afin d’accéder aux conversations et contact lists de responsables politiques, militaires et journalistes.
Enfin, la CISA annonce l’ajout de deux vulnérabilités activement exploitées à son Known Exploited Vulnerabilities Catalog. Sont concernées CVE-2025-11953, une OS Command Injection dans React Native Community CLI, et CVE-2026-24423, une faille de Missing Authentication for Critical Function affectant SmarterTools SmarterMail. Ces failles sont considérées comme des vecteurs d’attaque à haut risque pour les environnements institutionnels.
Sources
CISA – Known Exploited Vulnerabilities Catalog : https://www.cisa.gov/news-events/alerts/2026/02/05/cisa-adds-two-known-exploited-vulnerabilities-catalog
BleepingComputer – Signal account hijacking : https://www.bleepingcomputer.com/news/security/germany-warns-of-signal-account-hijacking-targeting-senior-figures/
BleepingComputer – TikTok et le Digital Services Act : https://www.bleepingcomputer.com/news/security/european-commission-says-tiktok-facing-fine-over-addictive-design/
KrebsOnSecurity – Scattered Lapsus ShinyHunters : https://krebsonsecurity.com/2026/02/please-dont-feed-the-scattered-lapsus-shiny-hunters/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec une enquête de Palo Alto Networks Unit 42 révélant une campagne d'espionnage massive orchestrée par un Threat Actor étatique asiatique, identifié comme TGR-STA-1030. Les chercheurs rapportent la compromission de réseaux critiques dans 37 pays, ciblant ministères et infrastructures de télécommunications pour de l'exfiltration de données sensibles. L'arsenal du groupe inclut un nouveau Linux kernel rootkit nommé ShadowGuard, exploitant la technologie eBPF pour une furtivité accrue, ainsi qu'un malware loader spécifique baptisé DiaoYu.
L'actualité se poursuit aux États-Unis, où la CISA publie une directive opérationnelle imposant aux agences fédérales le retrait de tous les équipements End-of-Life sous 12 mois. Cette décision fait suite à l'observation de campagnes persistantes exploitant des périphériques Edge non supportés — tels que les firewalls, load balancers et routeurs — comme points d'entrée vers les réseaux internes. L'agence exige un inventaire complet sous trois mois et la mise en place d'un processus continu de découverte des actifs obsolètes.
Côté menaces, le Botnet AISURU/Kimwolf établit un nouveau record mondial avec une attaque DDoS atteignant un pic de 31,4 Tbps, selon un rapport de Cloudflare. Cette offensive Hyper-volumetric s'appuie sur plus de 2 millions de terminaux Android compromis, principalement des Android TVs, enrôlés via des réseaux de Residential Proxies comme IPIDEA. Cloudflare note une augmentation alarmante de 121 % du volume global des attaques DDoS observées en 2025.
Le CERT-FR publie aujourd'hui trois avis de sécurité majeurs. Le premier signale de multiples vulnérabilités critiques dans les produits F5, affectant BIG-IP et l'écosystème NGINX, avec des risques d'atteinte à l'intégrité et de déni de service. Le second concerne les solutions de collaboration Cisco, notamment Meeting Management et RoomOS, exposées à des failles de Remote Code Execution (RCE) et d'élévation de privilèges. Le dernier avis cible la plateforme d'orchestration Splunk SOAR, dont toutes les versions antérieures à la 7.1.0 doivent être mises à jour pour corriger dix CVE distinctes.
Enfin, Datadog Security Labs détaille une campagne de détournement de trafic ciblant les serveurs NGINX, particulièrement en Asie. Contrairement aux exploits classiques, les attaquants ne visent pas une vulnérabilité logicielle mais injectent des configurations malveillantes via des blocs location et la directive proxy_pass. Cette technique permet de rediriger le trafic utilisateur vers une infrastructure attaquante de manière transparente, tout en préservant les en-têtes légitimes pour échapper à la détection.
Sources
The Register – Campagne d'espionnage TGR-STA-1030 : https://www.theregister.com/2026/02/05/asia_government_spies_hacked_37_critical_networks/
The Record – Directive CISA sur les équipements End-of-Life : https://therecord.media/cisa-gives-federal-agencies-one-year-end-of-life-devices
The Hacker News – Record DDoS du Botnet AISURU : https://thehackernews.com/2026/02/aisurukimwolf-botnet-launches-record.html
CERT-FR – Vulnérabilités F5 (CERTFR-2026-AVI-0120) : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0120/
CERT-FR – Vulnérabilités Cisco (CERTFR-2026-AVI-0119) : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0119/
CERT-FR – Vulnérabilités Splunk (CERTFR-2026-AVI-0118) : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0118/
Bleeping Computer – Détournement de trafic NGINX : https://www.bleepingcomputer.com/news/security/hackers-compromise-nginx-servers-to-redirect-user-traffic/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com