RadioCSIRT - Edition Française

Nous ouvrons cette édition avec la publication par l’Australian Signals Directorate de l’outil open-source Azul. Cette plateforme permet le stockage sécurisé d’échantillons de malware, l’analyse automatisée via sandbox, config extraction et file carving, ainsi que la corrélation de samples partageant des similarités fonctionnelles ou des infrastructures C2. L’objectif affiché est de renforcer la collaboration CTI entre acteurs publics et privés.
Le CERT-FR publie ensuite le bulletin CERTFR-2026-ACT-008, revenant sur les vulnérabilités critiques de la semaine 8. Sont notamment signalées une RCE exploitée affectant Microsoft Edge et Google Chrome, plusieurs SQLi et XSS dans LibreNMS avec code d’exploitation public, ainsi qu’une vulnérabilité notée 10 sur Traefik permettant un contournement de politique de sécurité.
Un avis distinct, CERTFR-2026-AVI-0197, détaille trois nouvelles vulnérabilités dans Microsoft Edge, référencées CVE-2026-2648, CVE-2026-2649 et CVE-2026-2650, impactant les versions antérieures à 145.0.3800.70.
Côté incidents, 01net rapporte qu’une experte en sûreté de l’IA chez Meta a perdu le contrôle d’un agent autonome OpenClaw installé sur un Mac mini. L’agent a ignoré une règle de confirmation préalable et supprimé massivement des e-mails après une compaction du contexte.
Enfin, Google déploie en urgence des correctifs pour trois vulnérabilités critiques dans Chrome, affectant les composants Media, Tint et DevTools, avec des accès mémoire hors limites exploitables via des pages web piégées.
Sources :
Australian Signals Directorate – Azul : https://www.cyber.gov.au/about-us/view-all-content/news/explore-analyse-and-correlate-malware-at-scale-with-azul
CERT-FR – Bulletin CERTFR-2026-ACT-008 : https://www.cert.ssi.gouv.fr/actualite/CERTFR-2026-ACT-008/
CERT-FR – Avis CERTFR-2026-AVI-0197 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0197/
01net – Une experte Meta a perdu le contrôle de son IA : https://www.01net.com/actualites/courir-jusqua-mac-mini-experte-meta-perdu-controle-ia.html
01net – Chrome en danger : https://www.01net.com/actualites/chrome-danger-failles-critiques-obligent-chrome-corriger-urgence.html
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec la compromission massive de plus de 30 000 serveurs OpenClaw en quelques semaines. Selon les analystes de Flare, plusieurs campagnes coordonnées exploitent des serveurs mal configurés et l'écosystème de plugins ClawHub, avec notamment la campagne ClawHavoc reposant sur de faux scripts d'installation déployant des Infostealers et des Keyloggers.
L'actualité se poursuit avec l'annonce par Microsoft de la fin du support pour Windows 10 Enterprise LTSB 2016 le 13 octobre 2026 et Windows Server 2016 le 12 janvier 2027. L'éditeur propose un programme Extended Security Updates comme pont temporaire, à un tarif de 61 dollars par appareil la première année, doublant chaque année consécutive.
AWS publie un rapport d'incident documentant la compromission de plus de 600 firewalls FortiGate dans 55 pays par un groupe russophone à motivation financière. Les attaquants ont exploité des outils d'IA générative commerciaux pour générer Playbooks, scripts d'attaque et Tooling d'automatisation, permettant à un groupe restreint d'opérer à une échelle habituellement réservée à des équipes plus conséquentes.
Côté incidents, PayPal a notifié environ 100 clients d'une exposition de données personnelles causée par une erreur de code dans son module Working Capital. La fuite, active du 1er juillet au 13 décembre 2025, a exposé noms, numéros de Social Security, dates de naissance et coordonnées professionnelles, avec des transactions non autorisées pour certains comptes.
Socket identifie la campagne SANDWORM_MODE exploitant au moins 19 paquets npm malveillants en Typosquatting pour dérober credentials, clés cryptographiques et secrets CI/CD. Un module McpInject cible spécifiquement les assistants de codage IA via l'injection de serveurs MCP malveillants avec Prompt Injection intégrée.
Enfin, les responsables ukrainiens de la cybersécurité confirment lors du Kyiv International Cyber Resilience Forum l'évolution des cyberattaques russes contre l'infrastructure énergétique, désormais orientées vers la collecte de renseignements pour calibrer les frappes de missiles et en évaluer l'efficacité.
Sources :
01net – Alerte OpenClaw : des gangs de hackers prennent d'assaut des serveurs mal configurés : https://www.01net.com/actualites/alerte-openclaw-gangs-hackers-prennent-assaut-serveurs-mal-configures.html
ZDNet – Windows Server 2016 et Windows 10 LTSB : Microsoft siffle la fin de partie : https://www.zdnet.fr/actualites/windows-server-2016-et-windows-10-ltsb-microsoft-siffle-la-fin-de-partie-490681.htm
The Register – AWS says more than 600 FortiGate firewalls hit in AI-augmented campaign : https://www.theregister.com/2026/02/23/aws_fortigate_firewalls/
The Register – PayPal app code error leaked personal info : https://www.theregister.com/2026/02/20/paypal_app_code_error_leak/
The Hacker News – Malicious npm Packages Harvest Crypto Keys, CI Secrets, and API Tokens : https://thehackernews.com/2026/02/malicious-npm-packages-harvest-crypto.html
The Record – Ukraine says cyberattacks on energy grid now used to guide missile strikes : https://therecord.media/ukraine-cyberattacks-guiding-russian-missile-strikes
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec une analyse publiée par Brad Duncan sur le SANS Internet Storm Center, documentant une campagne de Phishing en langue japonaise. Les emails frauduleux usurpent les marques ANA, DHL et myTOKYOGAS, avec des domaines d'expédition et des URLs de Phishing systématiquement enregistrés sous le TLD .cn. L'ensemble des échantillons partagent un même indicateur dans les en-têtes : la signature X-mailer Foxmail 6, 13, 102, 15 [cn], confirmant un acteur unique.
L'actualité se poursuit avec un avis du CERT-FR, référencé CERTFR-2026-AVI-0189, concernant une vulnérabilité dans F5 BIG-IP AFM et DDoS Hybrid Defender. La faille CVE-2026-2507 permet un déni de service à distance sur les versions 17.x non corrigées.
Le Centre canadien pour la cybersécurité a émis le bulletin AV26-148 suite à la publication par IceWarp de correctifs critiques. La vulnérabilité principale, CVE-2025-14500, est une OS Command Injection avec un score CVSS de 9.8, exploitable sans authentification sur Windows et Linux. Deux failles supplémentaires de sévérité moyenne affectent l'interface WebClient.
En parallèle, le CST et le Centre pour la cybersécurité appellent les organisations canadiennes et les opérateurs d'infrastructures essentielles à renforcer leurs défenses face aux cybermenaces pro-russes, à l'approche du quatrième anniversaire de l'invasion de l'Ukraine. Les acteurs ciblés incluent les organismes gouvernementaux, les secteurs public et privé et les réseaux d'infrastructures essentielles, notamment via des attaques DDoS et des campagnes de Ransomware.
Enfin, la CISA a ajouté deux vulnérabilités Roundcube Webmail à son catalogue Known Exploited Vulnerabilities : CVE-2025-49113, une Deserialization critique au score CVSS de 9.9 permettant une Remote Code Execution, et CVE-2025-68461, un Cross-Site Scripting exploitable via des documents SVG malveillants. Les deux failles sont chaînables pour atteindre une compromission complète du serveur.
Sources : 
SANS ISC – Japanese-Language Phishing Emails : https://isc.sans.edu/diary/rss/32734
CERT-FR – CERTFR-2026-AVI-0189 Vulnérabilité dans F5 BIG-IP : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0189/
Centre canadien pour la cybersécurité – Bulletin de sécurité IceWarp AV26-148 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-icewarp-av26-148
CST – Alerte renforcement des défenses face aux cybermenaces pro-russes : https://www.cyber.gc.ca/fr/nouvelles-evenements/cst-demande-organisations-canadiennes-fournisseurs-dinfrastructures-essentielles-renforcer-defenses-laube-quatrieme-anniversaire-linvasion-lukraine-russie
CISA – CISA Adds Two Known Exploited Vulnerabilities to Catalog : https://www.cisa.gov/news-events/alerts/2026/02/20/cisa-adds-two-known-exploited-vulnerabilities-catalog
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec la découverte par l'équipe de recherche de Flare d'un nouveau Botnet ciblant les systèmes Linux, baptisé SSHStalker. Détecté via un SSH Honeypot sur une période de deux mois, ce Botnet utilise le protocole IRC comme canal de Command and Control. SSHStalker enchaîne un scanner SSH avec un mécanisme de staging rapide pour enrôler les machines compromises dans des canaux IRC, le tout optimisé pour le passage à l'échelle. Fait notable : le Botnet maintient une persistance dormante. Malgré des capacités de DDoS et de Cryptomining intégrées à son arsenal, aucune opération d'impact n'a été observée. Ce comportement suggère une phase de staging d'infrastructure, de test, ou de rétention stratégique d'accès pour usage ultérieur. Les chercheurs ont identifié près de sept mille résultats frais issus d'un scanner SSH datant de janvier 2026, avec des adresses IP réparties sur des hébergeurs Cloud à travers les régions US, EU et APAC. Parmi les indicateurs à surveiller : l'exécution de gcc, make ou d'outils de build sur des serveurs de production, ainsi que la présence de cron jobs s'exécutant chaque minute.
L'actualité se poursuit avec l'ajout par la CISA de deux nouvelles vulnérabilités à son catalogue Known Exploited Vulnerabilities, sur la base de preuves d'exploitation active. Première entrée : CVE-2021-22175, une vulnérabilité de type Server-Side Request Forgery affectant GitLab. Seconde entrée : CVE-2026-22769, une vulnérabilité de type Use of Hard-coded Credentials dans Dell RecoverPoint for Virtual Machines. Conformément à la Binding Operational Directive 22-01, les agences fédérales civiles américaines sont tenues de remédier à ces vulnérabilités dans les délais impartis.
Le CERT-FR a publié l'avis CERTFR-2026-AVI-0181 concernant une vulnérabilité dans Apache Tomcat, référencée CVE-2026-24734. Cette faille permet un contournement de la politique de sécurité. Les correctifs ont été publiés par Apache entre le 23 et le 27 janvier 2026.
En parallèle, une enquête publiée par Bleeping Computer et les chercheurs de Flare révèle que des canaux Telegram underground partagent activement des Proof-of-Concept, des outils offensifs et des identifiants administrateur volés liés aux vulnérabilités critiques de SmarterMail. Deux CVE sont au centre de cette activité : CVE-2026-24423, une faille de Remote Code Execution non authentifiée avec un score CVSS de 9.3, et CVE-2026-23760, un Authentication Bypass permettant de réinitialiser le mot de passe administrateur sans vérification. La weaponization s'est produite en quelques jours après la publication des correctifs. 
Enfin, le CERT Santé a publié une alerte concernant la CVE-2026-2447, une vulnérabilité dans la bibliothèque libvpx utilisée par Firefox et Thunderbird. Cette faille de type Heap-based Buffer Overflow, classée CWE-122, obtient un score CVSS v3.1 de 8.8. Le vecteur d'attaque est réseau, la complexité d'exploitation est faible, aucun privilège n'est requis, mais une interaction utilisateur est nécessaire. 
Sources : 
Linux Magazine – New Linux Botnet Discovered : https://www.linux-magazine.com/Online/News/New-Linux-Botnet-Discovered
CISA – CISA Adds Two Known Exploited Vulnerabilities to Catalog : https://www.cisa.gov/news-events/alerts/2026/02/18/cisa-adds-two-known-exploited-vulnerabilities-catalog
CERT-FR – CERTFR-2026-AVI-0181 Vulnérabilité dans Apache Tomcat : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0181/
Bleeping Computer – Telegram Channels Expose Rapid Weaponization of SmarterMail Flaws : https://www.bleepingcomputer.com/news/security/telegram-channels-expose-rapid-weaponization-of-smartermail-flaws/
CERT Santé – Mozilla CVE-2026-2447 : https://cyberveille.esante.gouv.fr/alertes/mozilla-cve-2026-2447-2026-02-18
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec la révélation par Microsoft Threat Intelligence d'une nouvelle variante de l'attaque ClickFix exploitant le DNS comme canal de staging. La commande initiale, exécutée via cmd.exe, utilise nslookup pour effectuer un DNS Lookup vers un serveur externe contrôlé par l'attaquant. La réponse DNS est filtrée puis exécutée comme Payload de second stage, aboutissant au déploiement de ModeloRAT, un Remote Access Trojan basé sur Python. En parallèle, Bitdefender signale une recrudescence de Lumma Stealer via des campagnes ClickFix déployant CastleLoader, un Loader associé au Threat Actor GrayBravo. Malgré les opérations de disruption des forces de l'ordre en 2025, l'infrastructure Lumma Stealer démontre une résilience notable.
L'actualité se poursuit avec l'identification par ReversingLabs de packages malveillants sur npm et PyPI rattachés à la campagne « graphalgo », attribuée au groupe nord-coréen Lazarus. Active depuis mai 2025, cette opération cible les développeurs JavaScript et Python via de fausses offres d'emploi dans le secteur des cryptomonnaies. Les attaquants, opérant sous la couverture d'une société fictive nommée Veltrix Capital, approchent leurs victimes sur LinkedIn, Facebook et Reddit. L'opération modulaire en cinq phases aboutit au déploiement d'un RAT doté de communications C2 protégées par token, avec détection de Crypto Wallets comme MetaMask. Un des packages npm, bigmathutils, a atteint plus de dix mille téléchargements avant l'injection de code malveillant.
Enfin, le projet Vim annonce la publication de Vim 9.2 le 14 février 2026. Cette version majeure apporte le support natif des Enums, des Generic Functions et du type Tuple dans Vim9 Script, le support complet de Wayland, ainsi que la conformité XDG Base Directory. Le mode Diff bénéficie de l'algorithme linematch et d'une nouvelle option diffanchors. De nombreuses vulnérabilités de sécurité, Memory Leaks et Crashes potentiels ont été corrigés depuis Vim 9.1.
Sources :
The Hacker News – Microsoft Discloses DNS-Based ClickFix Attack Using Nslookup for Malware Staging : https://thehackernews.com/2026/02/microsoft-discloses-dns-based-clickfix.html
Security Affairs – Malicious npm and PyPI packages linked to Lazarus APT fake recruiter campaign : https://securityaffairs.com/188009/apt/malicious-npm-and-pypi-packages-llinked-to-lazarus-apt-fake-recruiter-campaign.html
Vim.org – Vim 9.2 released : https://www.vim.org/vim-9.2-released.php
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com