Microsoft détecte une campagne de Phishing massive usurpant l'IRS ayant frappé 29 000 utilisateurs dans 10 000 organisations le 10 février 2026, distribuant via Amazon SES un ScreenConnect malveillant protégé par Cloudflare contre l'analyse automatisée.

Le groupe TeamPCP déploie CanisterWorm, un Wiper ciblant les systèmes configurés sur le fuseau horaire iranien, propagé via Docker APIs et clusters Kubernetes exposés, avec une infrastructure C2 basée sur des canisters ICP blockchain, après avoir compromis les scanners Trivy et KICS via des supply chain attacks sur GitHub Actions.

La Shadowserver Foundation identifie 511 000 instances Microsoft IIS en fin de vie exposées sur Internet, dont 227 000 en état End-of-Support complet sans aucun correctif disponible, majoritairement concentrées en Chine et aux États-Unis.

Le CERT-FR publie l'avis CERTFR-2026-AVI-0338 signalant la CVE-2026-32746, permettant une exécution de code arbitraire à distance sur plusieurs branches DSM de Synology, sans correctif disponible pour DSMUC 3.1.

Le CERT-FR publie l'avis CERTFR-2026-AVI-0337 concernant les CVE-2026-3055 et CVE-2026-4368 affectant NetScaler ADC et Gateway, permettant atteinte à la confidentialité et contournement de politique de sécurité.

Le CERT-FR publie l'avis CERTFR-2026-AVI-0336 signalant douze CVE dans les composants QNAP — QuFTP Service, QuNetSwitch, QuRouter et QVR Pro — couvrant exécution de code arbitraire à distance, déni de service et injections XSS.

Qualys révèle CrackArmor, neuf vulnérabilités dans le code AppArmor du noyau Linux permettant élévation de privilèges locale vers root et théoriquement une container escape dans les environnements conteneurisés, affectant toutes les versions Ubuntu supportées, avec correctifs disponibles pour le noyau, sudo et util-linux.

Sources :

• https://thehackernews.com/2026/03/microsoft-warns-irs-phishing-hits-29000.html
• https://krebsonsecurity.com/2026/03/canisterworm-springs-wiper-attack-targeting-iran/
• https://gbhackers.com/511000-end-of-life-iis-instances-found-online/
• https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0338/
• https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0337/
• https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0336/
• https://canonical.com/blog/apparmor-vulnerability-fixes-available

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

VoidStealer, infostealer distribué en Malware-as-a-Service depuis décembre 2025, contourne la protection Application-Bound Encryption de Chrome en exploitant des hardware breakpoints pour extraire la v20_master_key directement depuis la mémoire du navigateur, sans élévation de privilèges ni injection de code.

Proton Mail a transmis aux autorités suisses des métadonnées de facturation associées à un compte anonyme, relayées au FBI pour identifier un militant du mouvement Stop Cop City à Atlanta, illustrant les limites opérationnelles des services de messagerie chiffrée face aux réquisitions légales.

Une opération internationale coordonnée par Europol et Eurojust démantèle un service de proxy IP criminel actif dans 102 pays, ayant compromis 369 000 équipements via un malware installé sur des routeurs et modems, avec 24 serveurs neutralisés et 3,5 millions d'euros en cryptomonnaies saisis.

L'analyse forensique de deux téléphones saisis en Suède déclenche le démantèlement d'un réseau criminel international de trafic de stupéfiants et de blanchiment, aboutissant à 15 arrestations dans quatre pays et la saisie de 1,2 tonne de drogues synthétiques.

Une campagne active exploite Google Forms pour distribuer le RAT PureHVNC via des leurres professionnels diffusés sur LinkedIn, avec une chaîne d'infection en plusieurs étapes reposant sur le DLL hijacking, un shellcode Donut et l'injection dans SearchUI.exe.

Un ressortissant américain plaide coupable pour une fraude au streaming musical ayant détourné plus de 8 millions de dollars en royalties entre 2017 et 2024, via le déploiement de 10 000 comptes bot simultanés générant artificiellement des milliards de streams sur les principales plateformes.

Sources :

• https://www.bleepingcomputer.com/news/security/voidstealer-malware-steals-chrome-master-key-via-debugger-trick/
• https://www.schneier.com/blog/archives/2026/03/proton-mail-shared-user-information-with-the-police.html
• https://www.eurojust.europa.eu/news/servers-used-cybercrime-around-world-taken-down
• https://www.eurojust.europa.eu/news/seized-phones-small-swedish-town-expose-major-international-criminal-network
• https://www.malwarebytes.com/blog/threat-intel/2026/03/that-job-brief-on-google-forms-could-infect-your-device
• https://therecord.media/man-pleads-guilty-8-million-ai-music-scheme

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

La CISA et le FBI alertent sur des campagnes de phishing menées par des acteurs liés aux services de renseignement russes visant Signal, WhatsApp et autres CMA, avec compromission de comptes utilisateurs pour accéder aux messages, contacts et propager des attaques sans casser le chiffrement.

La CISA ajoute CVE-2026-20963 au KEV Catalog : une vulnérabilité critique de désérialisation dans Microsoft SharePoint permettant une Remote Code Execution sans authentification ni interaction, activement exploitée par des acteurs inconnus.

Sansec révèle la vulnérabilité PolyShell dans Magento et Adobe Commerce : upload de fichiers non authentifié via API REST, exposant à Remote Code Execution ou stored XSS selon la configuration serveur, sans patch disponible pour les versions en production.

Oracle publie une alerte critique sur CVE-2026-21992 affectant Identity Manager et Web Services Manager, permettant une Remote Code Execution sans authentification via requêtes réseau, avec impact direct sur les infrastructures d’identité et de services web.

Sources :

• https://www.cisa.gov/resources-tools/resources/russian-intelligence-services-target-commercial-messaging-application-accounts
• https://www.theregister.com/2026/03/19/unknown_attackers_exploit_yet_another/
• https://securityaffairs.com/189744/security/polyshell-flaw-exposes-magento-and-adobe-commerce-to-file-upload-attacks.html
• https://cyberpress.org/oracle-releases-urgent-patch-for-critical-rce-flaw/

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com