RadioCSIRT - Edition Française

🪟 Un youtubeur australien détourne une machine à glaçons et un thermostat de réfrigérateur à bière pour refroidir une RTX 3060 à 22 °C sous Cyberpunk 2077, soit une baisse de 62 % par rapport au refroidissement standard. La condensation sur les composants après dix minutes marque la limite physique de l'expérience. (Clubic)
🛡️ Le botnet AryStinger a compromis plus de quatre mille routeurs D-Link DIR-850L et DIR-818LW en exploitant des vulnérabilités anciennes. Les appareils infectés servent de proxys, scanners et tunnels d'attaque distribués. Deux variantes existent, dont une en Go ciblant les systèmes NAS avec des capacités de reconnaissance réseau interne. (BleepingComputer / Qianxin XLab)
🔓 L'infostealer Vidar contourne le chiffrement Application-Bound Encryption de Google Chrome en créant un fork silencieux du processus navigateur et en extrayant la clé maîtresse v20 directement en mémoire via injection APC. La technique adapte sa méthode selon l'antivirus présent et rechiffre la clé après extraction pour effacer ses traces. (CyberPress / Gen Threat Labs)
🚨 Le CERT-FR publie l'avis CERTFR-2026-AVI-0786 sur treize vulnérabilités dans Node.js affectant les branches 22.x, 24.x et 26.x. Les risques couvrent le déni de service à distance, l'atteinte à la confidentialité et à l'intégrité des données, et le contournement de la politique de sécurité. (CERT-FR)
🤖 Linux Journal analyse la montée en puissance du pentest par IA agentique. Ces plateformes autonomes valident en continu l'exploitabilité réelle des vulnérabilités, réduisant le bruit des scanners classiques et remplaçant progressivement les évaluations ponctuelles dans les pipelines DevSecOps. (Linux Journal)
Sources : 
Il détourne une machine à glaçons pour refroidir sa RTX 3060 — Clubic : https://www.clubic.com/actualite-617935-il-detourne-une-machine-a-glacons-pour-refroidir-sa-rtx-3060-thermostat-de-frigo-a-biere-inclus
AryStinger botnet infected thousands of D-Link routers worldwide — BleepingComputer : https://www.bleepingcomputer.com/news/security/arystinger-botnet-infected-thousands-of-d-link-routers-worldwide/
Vidar Malware Bypasses Chrome Encryption Using CryptUnprotectMemory — CyberPress : https://cyberpress.org/vidar-malware-bypasses-chrome-encryption/
Multiples vulnérabilités dans Node.js — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0786/
The Growth of Vulnerability Management: The Rise of Agentic AI Pentesting — Linux Journal : https://www.linuxjournal.com/content/growth-vulnerability-management-rise-agentic-ai-pentesting
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #RTX3060 #Modding #Cooling #AryStinger #DLink #Botnet #Vidar #Chrome #Infostealer #NodeJS #CERTFR #CVE-2013-3307 #CVE-2016-5681 #CVE-2025-11837 #CVE-2026-21636 #CVE-2026-48615 #CVE-2026-48617 #CVE-2026-48618 #CVE-2026-48619 #CVE-2026-48928 #CVE-2026-48930 #CVE-2026-48931 #CVE-2026-48933 #CVE-2026-48934 #CVE-2026-48935 #CVE-2026-48936 #CVE-2026-48937 #Pentest #AgenticAI #DevSecOps #RadioCSIRT

🔍 Elastic Security Labs publie un guide complet pour ingérer les Azure AD Graph Activity Logs dans Elastic et détecter les énumérations par ROADrecon et AADInternals. Cette catégorie de diagnostic, disponible depuis début 2026, comble un angle mort de près de dix ans sur l'activité de l'API legacy graph.windows.net. Cinq règles de détection prêtes à l'emploi sont fournies.
🎣 Le SANS Internet Storm Center documente une technique de phishing bancaire utilisant une adresse IPv4 encapsulée en notation IPv6 (RFC 4291) pour contourner les filtres d'URL classiques. L'adresse malveillante, sans enregistrement DNS, redirige vers un kit de phishing ciblant un établissement belge.
🇰🇵 Microsoft attribue au groupe nord-coréen Sapphire Sleet (BlueNoroff) la compromission de la chaîne d'approvisionnement npm du framework Mastra AI. Plus de 140 paquets ont été infectés via un typosquat « easy-day-js », déployant un infostealer multiplateforme ciblant 166 extensions de portefeuilles crypto.
📡 Brian Krebs révèle les liens entre le botnet Popa, composant du botnet Vo1d sur boîtiers TV Android, et le service de proxy résidentiel NetNut d'Alarum Technologies. Le botnet maintient 1,5 à 2,5 millions d'IP par jour. Plus de 42 % des apps sur LG webOS intègrent des SDK de proxy résidentiel.
🐛 Wordfence alerte sur l'exploitation massive de CVE-2026-4020 dans le plugin WordPress Gravity SMTP. Un endpoint REST API sans contrôle d'accès expose clés API, tokens OAuth et rapport système complet. Plus de 17 millions de tentatives bloquées, correctif disponible en version 2.1.5.
Sources : 
Azure AD Graph Activity Logs: Ingestion and threat detection — Elastic Security Labs : https://www.elastic.co/security-labs/aad-graph-activity-logs-threat-detection
eBanking Phishing Delivered Through IPv4-Mapped IPv6 Address — SANS ISC : https://isc.sans.edu/diary/rss/33090
Microsoft links Mastra AI supply chain attack to North Korean hackers — BleepingComputer : https://www.bleepingcomputer.com/news/security/microsoft-links-mastra-ai-supply-chain-attack-to-north-korean-hackers/
 'Popa' Botnet Linked to Publicly-Traded Israeli Firm — KrebsOnSecurity : https://krebsonsecurity.com/2026/06/popa-botnet-linked-to-publicly-traded-israeli-firm/
Hackers Exploit Gravity SMTP WordPress Plugin Bug to Expose API Keys — The Hacker News : https://thehackernews.com/2026/06/hackers-exploit-gravity-smtp-wordpress.html
⚡️ On ne réfléchit pas, on patch ! 
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #AzureAD #EntraID #ROADrecon #ElasticSecurity #Phishing #IPv6 #RFC4291 #SANSISC #SapphireSleet #BlueNoroff #NorthKorea #SupplyChainAttack #npm #MastraAI #Botnet #Popa #Vo1d #NetNut #AlarumTechnologies #ResidentialProxy #WordPress #GravitySMTP #CVE-2026-4020 #Wordfence #RadioCSIRT

📱 Les chercheurs de Paradigm Shift publient usbliter8, un exploit non corrigeable ciblant le SecureROM des puces Apple A12 et A13. La faille, liée au contrôleur USB Synopsys DWC2, permet une exécution de code en mode privilégié EL1 via un accès physique en mode DFU. Les appareils concernés incluent les iPhone XS, XR, 11, SE deuxième génération et plusieurs iPad et Apple Watch. Aucun CVE attribué. (The Hacker News)
🐛 VulnCheck référence la CVE-2019-25748, une injection SQL non authentifiée dans JHotelReservation 6.0.7 pour Joomla. Le paramètre rooms du endpoint search-hotels permet d'extraire des données sensibles de la base via une requête POST. Score CVSS 3.1 HIGH. (CVEFeed)
☁️ AWS publie un guide d'utilisation de Kiro CLI pour l'investigation d'incidents de sécurité. L'assistant en ligne de commande automatise le triage de findings GuardDuty, le confinement d'instances EC2, l'analyse CloudTrail et la mise en place d'alertes via SNS et EventBridge. (AWS Security Blog)
🛡️ Le CERT Santé signale la CVE-2026-55203, un débordement d'entier dans le module FastCGI d'HAProxy. L'exploitation par un backend malveillant peut provoquer du request smuggling ou des problèmes de sécurité mémoire. Toutes versions jusqu'à 3.4.0 affectées, correctif dans le commit 5985276. (CERT Santé)
🚨 La CISA confirme l'exploitation active de la CVE-2026-20253 dans Splunk Enterprise et ordonne aux agences fédérales de corriger avant dimanche. La faille dans le service sidecar PostgreSQL permet la création de fichiers arbitraires sans authentification. Plus de 1 400 instances exposées recensées par Shadowserver. (BleepingComputer)
Sources : 
Unpatchable 'usbliter8' Exploit Breaks Apple A12 and A13 SecureROM Boot Chain — The Hacker News : https://thehackernews.com/2026/06/unpatchable-usbliter8-exploit-breaks.html
CVE-2019-25748 Joomla JHotelReservation SQL Injection — CVEFeed : https://cvefeed.io/vuln/detail/CVE-2019-25748
Accelerate security investigations with Kiro CLI — AWS Security Blog : https://aws.amazon.com/fr/blogs/security/accelerate-security-investigations-with-kiro-cli/
HAProxy - CVE-2026-55203 — CERT Santé : https://cyberveille.esante.gouv.fr/alertes/haproxy-cve-2026-55203-2026-06-19
CISA: Splunk Enterprise flaw actively exploited, patch by Sunday — BleepingComputer : https://www.bleepingcomputer.com/news/security/cisa-splunk-enterprise-flaw-actively-exploited-patch-by-sunday/
 
⚡️ On ne réfléchit pas, on patch ! 
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Apple #SecureROM #usbliter8 #Joomla #JHotelReservation #CVE-2019-25748 #AWS #KiroCLI #GuardDuty #HAProxy #CVE-2026-55203 #Splunk #CISA #CVE-2026-20253 #RadioCSIRT

🚔 L'opération Endgame franchit une nouvelle étape avec le nettoyage de près de 15 000 sites WordPress infectés par SocGholish et la mise hors ligne de 106 serveurs liés à Evil Corp. F5 publie des correctifs hors cycle pour des failles critiques dans NGINX, notamment une use-after-free dans le module HTTP/3. Proofpoint détaille l'expansion mondiale de TA4922, groupe cybercriminel sinophone déployant Atlas RAT, RomulusLoader et des malware développés par LLM. La CISA ajoute la faille Joomla JCE CVE-2026-48907 au catalogue KEV. Le SANS ISC analyse trois mois d'attaques SSH coordonnées par botnet à partir de données honeypot.
🚔 Opération Endgame : nettoyage de 14 971 sites WordPress infectés par SocGholish et démantèlement de 106 serveurs liés à Evil Corp (BleepingComputer)
🛡️ F5 corrige CVE-2026-42530 et CVE-2026-42055 dans NGINX, failles use-after-free HTTP/3 et HTTP/2 avec scores CVSS v4.0 de 9.2 (GBHackers)
🎣 TA4922 : groupe sinophone en expansion mondiale, déploie Atlas RAT, RomulusLoader et SilentRunLoader via DLL sideloading et services cloud (Proofpoint)
🚨 CISA ajoute CVE-2026-48907, faille Joomla Content Editor exploitée activement, au catalogue KEV sous BOD 26-04 (CISA)
🐧 Analyse honeypot DShield : 20 millions de tentatives SSH brute force en 100 jours, corrélation avec événements géopolitiques et cybersécurité (SANS ISC)
Sources :
Police cleans nearly 15,000 SocGholish-infected sites tied to Evil Corp : https://www.bleepingcomputer.com/news/security/law-enforcement-nukes-socgholish-malware-from-nearly-15-000-sites/
F5 Patches NGINX Vulnerability Enabling Code Execution and DoS Attacks  : https://gbhackers.com/f5-patches-nginx-vulnerability/
TA4922: The Suspected Chinese Crime Group is Going Global  : https://www.proofpoint.com/us/blog/threat-insight/ta4922-suspected-chinese-crime-group-going-global
CISA Adds One Known Exploited Vulnerability to Catalog  : https://www.cisa.gov/news-events/alerts/2026/06/16/cisa-adds-one-known-exploited-vulnerability-catalog
The Behavior of Coordinated SSH Brute Force Attacks over the last three months — SANS ISC : https://isc.sans.edu/diary/rss/33086
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #SocGholish #EvilCorp #OperationEndgame #Europol #NGINX #F5 #CVE-2026-42530 #CVE-2026-42055 #CVE-2026-11311 #CVE-2026-50107 #HTTP3 #QUIC #TA4922 #AtlasRAT #RomulusLoader #SilentRunLoader #ValleyRAT #Winos4 #DLLSideloading #Proofpoint #Joomla #CVE-2026-48907 #CISA #KEV #BOD2604 #SSH #BruteForce #DShield #Honeypot #Botnet #HASSH #SANS #RadioCSIRT

🔓 La fuite FortiBleed expose les identifiants VPN de près de 75 000 équipements Fortinet dans 194 pays. La base contient des noms d'utilisateur et des mots de passe en clair d'organisations majeures. Un groupe russophone multi-opérateurs aurait mené plus d'un milliard de tentatives d'authentification. Kevin Beaumont confirme l'authenticité d'une partie des données et estime que la moitié des pare-feu Fortinet exposés sur Internet sont concernés.
☁️ Le Centre canadien pour la cybersécurité publie le bulletin AV26-605 relatif au correctif cumulatif trimestriel d'Oracle pour juin 2026. Des correctifs critiques couvrent MySQL, WebLogic, Solaris, VirtualBox, E-Business Suite, PeopleSoft et de nombreux autres produits.
💾 Le CERT-FR émet l'avis CERTFR-2026-AVI-0762 sur de multiples vulnérabilités dans les produits Qnap (QTS, QuTS hero, QuTS cloud, License Center, QuMagie, QVP). Les risques incluent l'exécution de code à distance, l'élévation de privilèges et le déni de service. Dix-huit CVE sont référencées, dont CVE-2026-44083 et CVE-2026-26236.
🎣 La police néerlandaise interpelle six suspects âgés de 15 à 30 ans opérant un centre d'appels frauduleux à Amsterdam. Les fraudeurs pratiquaient le vishing bancaire et se rendaient au domicile de leurs victimes, principalement des personnes âgées, pour voler leurs fonds.
Sources : 
FortiBleed leak exposes Fortinet VPN credentials for 73,000 devices — BleepingComputer : https://www.bleepingcomputer.com/news/security/fortibleed-leak-exposes-fortinet-vpn-credentials-for-73-000-devices/
Bulletin de sécurité Oracle – Correctif cumulatif trimestriel juin 2026 (AV26-605) — Centre canadien pour la cybersécurité : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-oracle-correctif-cumulatif-trimestriel-juin-2026-av26-605
Multiples vulnérabilités dans les produits Qnap (CERTFR-2026-AVI-0762) — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0762/
Helpdesk scammers are making house calls to make their lies feel more real — The Register : https://www.theregister.com/cyber-crime/2026/06/17/helpdesk-scammers-are-making-house-calls-to-make-their-lies-feel-more-real/5257454
⚡️ On ne réfléchit pas, on patch ! 
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #FortiBleed #Fortinet #FortiGate #VPN #SSL #Oracle #PatchTuesday #MySQL #WebLogic #Solaris #Qnap #QTS #CERTFR #Vishing #BankFraud #Netherlands #CVE-2026-44083 #CVE-2026-26236 #CVE-2026-26237 #CVE-2026-22893 #CVE-2025-59382 #RadioCSIRT