Bienvenue sur votre podcast quotidien de cybersécurité.

Nous ouvrons cette édition par plusieurs avis de sécurité publiés par le CERT-FR concernant des vulnérabilités critiques affectant des composants majeurs de l’écosystème Linux et des environnements d’entreprise. Les bulletins portent notamment sur Ubuntu, Red Hat et des produits IBM, exposés à des failles permettant des élévations de privilèges, des exécutions de code arbitraire ou des atteintes à la confidentialité. Ces vulnérabilités concernent des composants largement déployés dans les infrastructures serveurs et cloud, soulignant l’importance d’une gestion rigoureuse des correctifs dans les environnements critiques.

Nous analysons ensuite une vulnérabilité affectant le webmail Roundcube, référencée CVE-2025-68461. Cette faille permet à un attaquant distant d’exploiter des mécanismes de traitement des entrées utilisateur afin de compromettre la sécurité des sessions ou d’exécuter du code malveillant dans le contexte de l’utilisateur ciblé. Compte tenu de la large adoption de Roundcube dans les infrastructures de messagerie, cette vulnérabilité représente un risque significatif pour les organisations exposées sur Internet.

Enfin, nous revenons sur une vulnérabilité de sécurité corrigée par Microsoft, identifiée sous la référence CVE-2025-13699. Cette faille affecte un composant du système Windows et peut être exploitée pour contourner des mécanismes de sécurité ou obtenir des privilèges élevés. Microsoft a publié des correctifs dans le cadre de son guide de mises à jour, et recommande une application rapide afin de réduire les risques d’exploitation active.

Sources

• CERT-FR – Vulnérabilités Ubuntu : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1139/
• CERT-FR – Vulnérabilités Red Hat : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1141/
• CERT-FR – Vulnérabilités produits IBM : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1137/
• Vulnérabilité Roundcube – CVE-2025-68461 : https://cyberveille.esante.gouv.fr/alertes/roundcube-cve-2025-68461-2025-12-26
• Microsoft – CVE-2025-13699 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-13699

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.

Nous ouvrons cette édition par une affaire mêlant cybercriminalité et renseignement en Europe de l’Est. En Géorgie, l’ancien chef du contre-espionnage a été arrêté dans le cadre d’une enquête portant sur des centres d’escroquerie opérant à grande échelle. Les autorités le soupçonnent d’avoir facilité ou couvert des activités frauduleuses structurées, notamment des opérations de type scam centers visant des victimes internationales, illustrant une nouvelle fois l’imbrication entre criminalité organisée, corruption et cyberfraude.

Nous analysons ensuite une campagne de phishing ciblant les utilisateurs de cryptomonnaies via de faux courriels se faisant passer pour Grubhub. Les messages promettent un rendement multiplié par dix sur des cryptomonnaies envoyées par les victimes. Les fonds transférés sont immédiatement redirigés vers des portefeuilles contrôlés par les attaquants, sans possibilité de récupération, démontrant une exploitation classique mais toujours efficace de l’ingénierie sociale appliquée aux actifs numériques.

Enfin, nous revenons sur une opération attribuée à Evasive Panda, un groupe lié à la Chine, qui a mené des activités d’espionnage via une infrastructure DNS détournée. Les attaquants ont utilisé des techniques avancées de résolution DNS et de redirection de trafic afin de déployer des charges malveillantes furtives, tout en contournant plusieurs mécanismes de détection réseau. Cette campagne illustre l’évolution continue des TTP des groupes APT dans le domaine du cyberespionnage étatique.

Sources

• Arrestation en Géorgie – centres d’escroquerie :https://therecord.media/republic-of-georgia-former-spy-chief-arrested-scam-centers
• Campagne de phishing crypto – faux emails Grubhub :https://www.bleepingcomputer.com/news/security/fake-grubhub-emails-promise-tenfold-return-on-sent-cryptocurrency/
• APT Evasive Panda – infrastructure DNS malveillante :https://thehackernews.com/2025/12/china-linked-evasive-panda-ran-dns.html

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.

Une nouvelle initiative allie des experts bénévoles de la cybersécurité pour renforcer la défense des systèmes informatiques des services d’eau face à des menaces croissantes. Des groupes de volontaires chevronnés issus de la communauté DEF CON Franklin ont été jumelés avec des services publics de distribution d’eau à travers plusieurs états américains pour effectuer des évaluations, cartographier les technologies opérationnelles (OT) et mettre en place des mesures de sécurité adaptées aux contraintes des infrastructures critiques. Ce modèle communautaire vise à compenser le manque de ressources internes et à améliorer la résilience face aux attaques industrielles ciblant ces systèmes essentiels.

Une vulnérabilité d’exécution de code à distance au cœur des frameworks React et Next.js, baptisée « React2Shell », affecte les composants serveur utilisés dans des millions d’applications web. Cette faille permet à des attaquants non authentifiés d’exécuter du code arbitraire sur des serveurs exposés sans nécessiter de privilèges, exposant l’écosystème web à un risque maximal si elle n’est pas corrigée immédiatement.

Une campagne de compromission massive, associée au malware PCPcat, a exploité des vulnérabilités critiques dans Next.js et React pour compromettre plus de 59 000 serveurs en moins de 48 heures. L’opération exploite des failles d’exécution de code à distance pour extraire des identifiants, des clés SSH, des variables d’environnement et établir des accès persistants via des tunnels et processus dissimulés, signifiant une industrialisation des attaques contre les piles JavaScript modernes.

En France, les services en ligne de La Poste et sa branche bancaire La Banque Postale ont été perturbés par une attaque par déni de service distribué (DDoS) au plus fort de la période des fêtes, rendant indisponibles plusieurs services de suivi et de paiement. Les interruptions ont entraîné des retards significatifs dans les livraisons de colis et des perturbations des opérations bancaires en ligne, bien que les données clients n’aient pas été compromises selon les premières évaluations des autorités.

Enfin, la société MongoDB met en garde les administrateurs à propos de vulnérabilités critiques dans des bibliothèques de l’écosystème (notamment Mongoose) qui pourraient permettre l’exécution de code à distance sur des serveurs Node.js. Des exploits de preuve de concept ont été publiés, et il est recommandé de mettre à jour les versions concernées immédiatement pour réduire la surface d’attaque dans les applications dépendantes de ces composants.

Sources :
DEF CON Franklin Cyber Volunteers : https://therecord.media/def-con-franklin-water-utility-cybersecurity-volunteers
React2Shell React/Next.js RCE : https://undercodenews.com/react2shell-exposed-inside-cve-2025-55182-and-the-critical-threat-shaking-react-and-nextjs-ecosystems
PCPcat large-scale compromises : https://gbhackers.com/pcpcat-malware/
La Poste DDoS disruption : https://apnews.com/article/09bd0156aae99e14e619051756574853
MongoDB RCE concerns : https://www.securityweek.com/vulnerabilities-in-mongodb-library-allow-rce-on-node-js-servers

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.

La CISA a intégré la vulnérabilité CVE-2023-52163 à son catalogue KEV en raison de preuves d'exploitation active. Cette faille d'autorisation manquante affecte les enregistreurs vidéo réseau Digiever DS-2105 Pro, permettant à des acteurs malveillants de contourner les contrôles d'accès. Bien que la directive BOD 22-01 cible les agences fédérales, la CISA exhorte toutes les organisations à appliquer immédiatement les mises à jour de firmware. Ce type de vulnérabilité est un vecteur fréquent pour l'accès initial et les mouvements latéraux au sein des réseaux IoT et des infrastructures de surveillance.

Genians Security Center détaille la campagne « Artemis » menée par le groupe APT37 contre des cibles sud-coréennes via des documents HWP malveillants. L'attaque utilise des objets OLE pour déclencher une chaîne d'exécution exploitant la technique du DLL side-loading via l'utilitaire légitime VolumeId pour charger le module RoKRAT. La campagne se distingue par l'usage de la stéganographie dans des images pour masquer la charge utile et l'utilisation de services cloud légitimes comme Yandex Cloud et pCloud pour les communications C2. L'identification est rendue complexe par l'exécution du payload dans le contexte de processus système fiables.

SoundCloud confirme une intrusion via un tableau de bord de service auxiliaire, exposant les données de 20 % de ses utilisateurs, soit environ 26 millions de comptes. Les informations compromises incluent les adresses e-mail et les données publiques des profils, sans impact sur les mots de passe ou données financières. L'incident a été suivi d'attaques DDoS perturbant la disponibilité du site. Les mesures de remédiation, incluant le renforcement des contrôles IAM, ont causé des problèmes de connectivité temporaires pour les utilisateurs sous VPN.

Socket Security a découvert deux extensions Chrome malveillantes, Phantom Shuttle, détournant le trafic de plus de 170 domaines d'entreprise dont AWS, GitHub et Azure. Ces extensions injectent silencieusement des identifiants de proxy via l'écouteur chrome.webRequest.onAuthRequired pour capturer les flux de données en position de Man-in-the-Middle. Les attaquants utilisent des scripts PAC pour rediriger le trafic sensible et exfiltrer identifiants, cookies de session et clés API en texte clair vers le serveur C2 phantomshuttle[.]space.

Le collectif Anna’s Archive a publié une base de données massive contenant 86 millions de titres et les métadonnées de 256 millions de morceaux extraits de Spotify. L'opération de scraping, totalisant 300 téraoctets, a été réalisée via l'automatisation de comptes tiers sur plusieurs mois par stream-ripping. Spotify a désactivé les comptes impliqués et déployé de nouveaux mécanismes de surveillance pour détecter les comportements de lecture automatisés. L'ampleur de cette exfiltration pose des risques majeurs pour la protection des droits des créateurs et la propriété intellectuelle.

Sources :
CISA KEV Digiever : https://www.cisa.gov/news-events/alerts/2025/12/22/cisa-adds-one-known-exploited-vulnerability-catalog
APT37 Artemis : https://www.genians.co.kr/en/blog/threat_intelligence/dll
SoundCloud Breach : https://www.theregister.com/2025/12/16/soundcloud_cyberattack_data_leak/
Chrome Phantom Shuttle : https://thehackernews.com/2025/12/two-chrome-extensions-caught-secretly.html
Spotify Scraping : https://therecord.media/spotify-disables-scraping-annas

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.

Pornhub alerte ses abonnés Premium suite à une exposition de données le 8 novembre 2025 via le prestataire d'analytics Mixpanel. Les cybercriminels menacent de contacter directement les utilisateurs impactés par email. Mixpanel conteste que les données proviennent de son incident de sécurité du 8 novembre, indiquant aucune preuve d'exfiltration depuis ses systèmes. Pornhub confirme que les mots de passe, détails de paiement et informations financières ne sont pas compromis, l'exposition concernant un ensemble limité d'événements analytiques. Les attaquants exploitent ces données pour des campagnes de sextortion ciblant spécifiquement les utilisateurs Premium identifiés.

Intezer documente une campagne du groupe Goffee ciblant le personnel militaire russe et les organisations de défense. L'attaque initiale identifiée en octobre utilise un fichier XLL malveillant uploadé depuis l'Ukraine puis la Russie sur VirusTotal, titré "enemy's planned targets". Le fichier déploie le backdoor EchoGather pour collecter des informations système, exécuter des commandes et exfiltrer des fichiers vers un serveur C2 déguisé en site de livraison de nourriture. Les leurres de phishing incluent une fausse invitation à un concert pour officiers supérieurs et une lettre imitant le Ministère de l'Industrie et du Commerce russe demandant des documents de justification tarifaire pour contrats de défense.

CISA et NIST publient le draft de l'Interagency Report 8597 sur la protection des tokens et assertions d'identité contre falsification, vol et usage malveillant. Le document répond aux incidents récents chez les fournisseurs cloud majeurs ciblant le vol, la modification ou la falsification de tokens d'identité pour accéder aux ressources protégées. Le rapport couvre les contrôles IAM pour systèmes utilisant assertions et tokens signés numériquement dans les décisions d'accès. NIST demande aux CSPs d'appliquer les principes Secure by Design, priorisant transparence, configurabilité et interopérabilité. Les agences fédérales doivent comprendre l'architecture et modèles de déploiement de leurs CSPs pour aligner posture de risque et environnement de menace.

Sources :

• Pornhub sextortion : https://www.malwarebytes.com/blog/news/2025/12/pornhub-tells-users-to-expect-sextortion-emails-after-data-exposure
• Goffee APT : https://therecord.media/cyber-spies-fake-new-year-concert-russian-phishing
• NIST/CISA tokens : https://www.cisa.gov/news-events/alerts/2025/12/22/nist-and-cisa-release-draft-interagency-report-protecting-tokens-and-assertions-tampering-theft-and

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.

Une majorité de domaines récemment enregistrés et stationnés diffusent désormais du contenu malveillant. L’analyse montre une bascule progressive des services de domain parking vers l’hébergement de pages de phishing, de fausses mises à jour logicielles et de redirections vers des kits de scams. Ces domaines sont fréquemment utilisés comme infrastructure éphémère pour contourner les mécanismes de réputation et accélérer les campagnes de fraude et de malware delivery.

Le groupe APT iranien Infy refait surface avec une nouvelle campagne ciblée. Les attaques reposent sur des documents piégés diffusés par spear-phishing, utilisant des leurres politiques et diplomatiques. Les charges malveillantes intègrent des backdoors mises à jour, des mécanismes de persistance via le registre Windows et des canaux C2 HTTP(S) dissimulés, indiquant une reprise opérationnelle structurée après une période de faible activité.

Le NIST publie de nouvelles recommandations de sécurité pour l’usage des smart speakers dans les environnements de télé-santé à domicile. Les risques identifiés incluent l’interception de flux vocaux non chiffrés, la compromission de données de santé et l’utilisation de ces appareils comme points de pivot vers les systèmes hospitaliers. Les mesures préconisées portent sur le chiffrement des communications, la segmentation réseau et le contrôle strict des accès aux dispositifs et aux plateformes cloud associées.

Sources :
Domain parking malveillant : https://krebsonsecurity.com/2025/12/most-parked-domains-now-serving-malicious-content/
APT Infy : https://thehackernews.com/2025/12/iranian-infy-apt-resurfaces-with-new.html
NIST smart speakers : https://www.nist.gov/news-events/news/2025/12/securing-smart-speakers-home-health-care-nist-offers-new-guidelines

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.

Amazon révèle avoir identifié une infiltration liée à la Corée du Nord lors d’un recrutement IT. Un administrateur système déclaré comme basé aux États-Unis a été détecté via une latence de frappe clavier supérieure à 110 millisecondes vers les serveurs de Seattle, indiquant un pilotage distant intercontinental. L’infrastructure de contrôle a été tracée jusqu’en Chine. Amazon indique avoir bloqué plus de 1 800 tentatives de recrutement frauduleux associées à la Corée du Nord depuis avril 2024, avec une hausse trimestrielle de 27 %.

Un acteur APT russe mène une campagne de phishing ciblant des entités gouvernementales des Balkans et de la région baltique. Les attaques reposent sur des pièces jointes HTML déguisées en PDF, intégrant des leurres institutionnels et des formulaires d’authentification factices. Les identifiants sont exfiltrés via formcarry.com, avec réutilisation de code JavaScript et de regex observée depuis au moins 2023.

Microsoft confirme une panne globale de Microsoft Teams ayant affecté l’envoi et la réception des messages sur l’ensemble des régions et des clients. L’incident débute à 14h30 heure de la côte Est et est entièrement résolu une heure plus tard. Aucun indicateur d’activité malveillante n’est communiqué.

Une campagne malware exploite des documents Microsoft Office, des fichiers SVG et des archives compressées pour compromettre des systèmes Windows. Les attaquants exploitent CVE-2017-11882, utilisent la stéganographie PNG et du process hollowing via RegAsm.exe pour livrer RATs et stealers, dont AsyncRAT, Remcos et PureLog Stealer.

Aux États-Unis, des attaques d’ATM jackpotting sont attribuées à un groupe criminel déployant le malware Ploutus via accès physique aux distributeurs automatiques. La compromission repose sur la modification ou le remplacement des disques durs des ATM, permettant le contrôle du module de distribution de billets. Les pertes sont estimées à plus de 40 millions de dollars depuis 2020.

On ne réfléchit pas, on patch !

Sources :
Amazon : https://www.clubic.com/actualite-592366-amazon-infiltre-par-un-espion-nord-coreen-finalement-repere-a-cause-de-sa-frappe-clavier.html
APT russe : https://strikeready.com/blog/russian-apt-actor-phishes-the-baltics-and-the-balkans/
Microsoft Teams : https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-teams-is-down-and-messages-are-delayed/
SVG / Office : https://cybersecuritynews.com/hackers-weaponize-svg-files-and-office-documents/
ATM Ploutus : https://www.theregister.com/2025/12/19/tren_de_aragua_atm/

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com