Episodes

  • Ep.606 - RadioCSIRT Édition Française - Veille cyber du lundi 23 mars 2026

    Ep.606 - RadioCSIRT Édition Française - Veille cyber du lundi 23 mars 2026
    Mar 23 2026

    Microsoft détecte une campagne de Phishing massive usurpant l'IRS ayant frappé 29 000 utilisateurs dans 10 000 organisations le 10 février 2026, distribuant via Amazon SES un ScreenConnect malveillant protégé par Cloudflare contre l'analyse automatisée.

    Le groupe TeamPCP déploie CanisterWorm, un Wiper ciblant les systèmes configurés sur le fuseau horaire iranien, propagé via Docker APIs et clusters Kubernetes exposés, avec une infrastructure C2 basée sur des canisters ICP blockchain, après avoir compromis les scanners Trivy et KICS via des supply chain attacks sur GitHub Actions.

    La Shadowserver Foundation identifie 511 000 instances Microsoft IIS en fin de vie exposées sur Internet, dont 227 000 en état End-of-Support complet sans aucun correctif disponible, majoritairement concentrées en Chine et aux États-Unis.

    Le CERT-FR publie l'avis CERTFR-2026-AVI-0338 signalant la CVE-2026-32746, permettant une exécution de code arbitraire à distance sur plusieurs branches DSM de Synology, sans correctif disponible pour DSMUC 3.1.

    Le CERT-FR publie l'avis CERTFR-2026-AVI-0337 concernant les CVE-2026-3055 et CVE-2026-4368 affectant NetScaler ADC et Gateway, permettant atteinte à la confidentialité et contournement de politique de sécurité.

    Le CERT-FR publie l'avis CERTFR-2026-AVI-0336 signalant douze CVE dans les composants QNAP — QuFTP Service, QuNetSwitch, QuRouter et QVR Pro — couvrant exécution de code arbitraire à distance, déni de service et injections XSS.

    Qualys révèle CrackArmor, neuf vulnérabilités dans le code AppArmor du noyau Linux permettant élévation de privilèges locale vers root et théoriquement une container escape dans les environnements conteneurisés, affectant toutes les versions Ubuntu supportées, avec correctifs disponibles pour le noyau, sudo et util-linux.

    Sources :

    • https://thehackernews.com/2026/03/microsoft-warns-irs-phishing-hits-29000.html
    • https://krebsonsecurity.com/2026/03/canisterworm-springs-wiper-attack-targeting-iran/
    • https://gbhackers.com/511000-end-of-life-iis-instances-found-online/
    • https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0338/
    • https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0337/
    • https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0336/
    • https://canonical.com/blog/apparmor-vulnerability-fixes-available

    On ne réfléchit pas, on patch !

    Vos retours sont les bienvenus.
    Répondeur : 07 68 72 20 09
    Email : radiocsirt@gmail.com
    Site web : www.radiocsirt.org
    Newsletter Hebdo : https://radiocsirt.substack.com
    Show more Show less
    8 mins
  • Ep.605 - RadioCSIRT Édition Française - Veille cyber du dimanche 22 mars 2026

    Ep.605 - RadioCSIRT Édition Française - Veille cyber du dimanche 22 mars 2026
    Mar 22 2026

    VoidStealer, infostealer distribué en Malware-as-a-Service depuis décembre 2025, contourne la protection Application-Bound Encryption de Chrome en exploitant des hardware breakpoints pour extraire la v20_master_key directement depuis la mémoire du navigateur, sans élévation de privilèges ni injection de code.

    Proton Mail a transmis aux autorités suisses des métadonnées de facturation associées à un compte anonyme, relayées au FBI pour identifier un militant du mouvement Stop Cop City à Atlanta, illustrant les limites opérationnelles des services de messagerie chiffrée face aux réquisitions légales.

    Une opération internationale coordonnée par Europol et Eurojust démantèle un service de proxy IP criminel actif dans 102 pays, ayant compromis 369 000 équipements via un malware installé sur des routeurs et modems, avec 24 serveurs neutralisés et 3,5 millions d'euros en cryptomonnaies saisis.

    L'analyse forensique de deux téléphones saisis en Suède déclenche le démantèlement d'un réseau criminel international de trafic de stupéfiants et de blanchiment, aboutissant à 15 arrestations dans quatre pays et la saisie de 1,2 tonne de drogues synthétiques.

    Une campagne active exploite Google Forms pour distribuer le RAT PureHVNC via des leurres professionnels diffusés sur LinkedIn, avec une chaîne d'infection en plusieurs étapes reposant sur le DLL hijacking, un shellcode Donut et l'injection dans SearchUI.exe.

    Un ressortissant américain plaide coupable pour une fraude au streaming musical ayant détourné plus de 8 millions de dollars en royalties entre 2017 et 2024, via le déploiement de 10 000 comptes bot simultanés générant artificiellement des milliards de streams sur les principales plateformes.

    Sources :

    • https://www.bleepingcomputer.com/news/security/voidstealer-malware-steals-chrome-master-key-via-debugger-trick/
    • https://www.schneier.com/blog/archives/2026/03/proton-mail-shared-user-information-with-the-police.html
    • https://www.eurojust.europa.eu/news/servers-used-cybercrime-around-world-taken-down
    • https://www.eurojust.europa.eu/news/seized-phones-small-swedish-town-expose-major-international-criminal-network
    • https://www.malwarebytes.com/blog/threat-intel/2026/03/that-job-brief-on-google-forms-could-infect-your-device
    • https://therecord.media/man-pleads-guilty-8-million-ai-music-scheme

    On ne réfléchit pas, on patch !

    Vos retours sont les bienvenus.
    Répondeur : 07 68 72 20 09
    Email : radiocsirt@gmail.com
    Site web : www.radiocsirt.org
    Newsletter Hebdo : https://radiocsirt.substack.com
    Show more Show less
    9 mins
  • Ep.604 - RadioCSIRT Édition Française - Veille cyber du samedi 21 mars 2026

    Ep.604 - RadioCSIRT Édition Française - Veille cyber du samedi 21 mars 2026
    Mar 21 2026

    La CISA et le FBI alertent sur des campagnes de phishing menées par des acteurs liés aux services de renseignement russes visant Signal, WhatsApp et autres CMA, avec compromission de comptes utilisateurs pour accéder aux messages, contacts et propager des attaques sans casser le chiffrement.

    La CISA ajoute CVE-2026-20963 au KEV Catalog : une vulnérabilité critique de désérialisation dans Microsoft SharePoint permettant une Remote Code Execution sans authentification ni interaction, activement exploitée par des acteurs inconnus.

    Sansec révèle la vulnérabilité PolyShell dans Magento et Adobe Commerce : upload de fichiers non authentifié via API REST, exposant à Remote Code Execution ou stored XSS selon la configuration serveur, sans patch disponible pour les versions en production.

    Oracle publie une alerte critique sur CVE-2026-21992 affectant Identity Manager et Web Services Manager, permettant une Remote Code Execution sans authentification via requêtes réseau, avec impact direct sur les infrastructures d’identité et de services web.

    Sources :

    • https://www.cisa.gov/resources-tools/resources/russian-intelligence-services-target-commercial-messaging-application-accounts
    • https://www.theregister.com/2026/03/19/unknown_attackers_exploit_yet_another/
    • https://securityaffairs.com/189744/security/polyshell-flaw-exposes-magento-and-adobe-commerce-to-file-upload-attacks.html
    • https://cyberpress.org/oracle-releases-urgent-patch-for-critical-rce-flaw/

    On ne réfléchit pas, on patch !

    Vos retours sont les bienvenus.
    Répondeur : 07 68 72 20 09
    Email : radiocsirt@gmail.com
    Site web : www.radiocsirt.org
    Newsletter Hebdo : https://radiocsirt.substack.com
    Show more Show less
    7 mins
  • Ep.603 - RadioCSIRT Édition Française - Veille cyber du vendredi 20 mars 2026

    Ep.603 - RadioCSIRT Édition Française - Veille cyber du vendredi 20 mars 2026
    Mar 20 2026
    Mandiant publie l'Exfiltration Framework, un modèle de détection comportementale documentant l'abus d'outils légitimes — PowerShell, rclone, AWS CLI, AzCopy — pour l'exfiltration de données, face à l'inefficacité croissante des IOCs statiques et des stratégies de blocage par liste blanche.Google identifie DarkSword, une chaîne d'exploitation iOS en six vulnérabilités ciblant les versions 18.4 à 18.7, utilisée par des acteurs étatiques et des éditeurs de spyware commercial dans des campagnes observées en Ukraine, Arabie Saoudite, Turquie et Malaisie. Le payload Ghostblade exfiltre l'intégralité des données personnelles et cible les applications de cryptomonnaies.McAfee Labs documente une campagne de faux téléchargements intégrant du code généré par LLM : 443 fichiers ZIP malveillants, 17 kill chains distinctes, distribution via Discord et SourceForge, avec déploiement de cryptomineurs et d'infostealers.Le FBI saisit quatre domaines opérés par le groupe Handala, attribué au MOIS iranien, en lien avec l'attaque wiper contre Stryker — plus de 200 000 appareils effacés via Microsoft Intune — et des opérations contre l'Albanie et des responsables israéliens.L'Opération Alice, coordonnée par Europol avec 23 pays, aboutit au démantèlement de plus de 373 000 sites dark web opérés par un unique individu basé en Chine, proposant du CSAM et des offres de Cybercrime-as-a-Service.Le SANS ISC publie l'analyse d'un script Bash déployant un backdoor GSocket multi-plateforme, combinant persistance via cron et .profile avec une technique anti-forensique de restauration de timestamps.Une analyse des TTPs du cluster Handala / Void Manticore détaille les vecteurs de Lateral Movement utilisés dans les campagnes wiper iraniennes et les stratégies de containment applicables.Un chercheur indépendant publie les détails d'une vulnérabilité critique dans les chipsets UNISOC T612, T616, T606 et T7250, permettant une Remote Code Execution unauthenticated via un simple appel cellulaire SIP/SDP — aucun patch disponible à ce jour.Le Département de Justice américain, avec le Canada et l'Allemagne, démantèle l'infrastructure de quatre botnets IoT — Aisuru, Kimwolf, JackSkid et Mossad — responsables de plus de 300 000 commandes d'attaque DDoS sur plus de trois millions d'appareils compromis.Office.eu est officiellement lancée à La Haye : une suite bureautique souveraine européenne basée sur Nextcloud, compatible avec les formats Microsoft et LibreOffice, avec déploiement grand public prévu au deuxième trimestre 2026.La CISA ajoute cinq vulnérabilités activement exploitées au KEV Catalog : trois affectant des produits Apple (CVE-2025-31277, CVE-2025-43510, CVE-2025-43520), une dans Craft CMS (CVE-2025-32432) et une dans Laravel Livewire (CVE-2025-54068).Sources :Talos Intelligence — Exfiltration Framework : https://blog.talosintelligence.com/everyday-tools-extraordinary-crimes-the-ransomware-exfiltration-playbook/Malwarebytes — DarkSword iOS : https://www.malwarebytes.com/blog/mobile/2026/03/a-darksword-hangs-over-unpatched-iphonesMcAfee — AI-written malware : https://www.mcafee.com/blogs/internet-security/new-research-hackers-are-using-ai-written-code-to-spread-malware/The Record — FBI / Handala / MOIS : https://therecord.media/fbi-takes-down-leak-sites-iran-moisEuropol — Opération Alice : https://www.europol.europa.eu/media-press/newsroom/news/global-cybercrime-crackdown-over-373-000-dark-web-sites-shut-downSANS ISC — GSocket backdoor : https://isc.sans.edu/diary/rss/32816BleepingComputer — Wiper iraniens / CISOs : https://www.bleepingcomputer.com/news/security/how-cisos-can-survive-the-era-of-geopolitical-cyberattacks/GBHackers — UNISOC T612 RCE : https://gbhackers.com/critical-unisoc-t612-modem-flaw/KrebsOnSecurity — Botnets IoT DDoS : https://krebsonsecurity.com/2026/03/feds-disrupt-iot-botnets-behind-huge-ddos-attacks/GoodTech — Office.eu : https://goodtech.info/office-eu-suite-bureautique-souveraine-europeenne-nextcloud-alternative-microsoft-365/CISA — KEV 5 vulnérabilités : https://www.cisa.gov/news-events/alerts/2026/03/20/cisa-adds-five-known-exploited-vulnerabilities-catalogOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com
    Show more Show less
    9 mins
  • Ep.602 - RadioCSIRT Édition Française - Veille cyber du jeudi 19 mars 2026

    Ep.602 - RadioCSIRT Édition Française - Veille cyber du jeudi 19 mars 2026
    Mar 19 2026
    La CISA ajoute deux vulnérabilités activement exploitées au KEV Catalog : CVE-2026-20131 affectant Cisco Secure Firewall via une faille de désérialisation, et CVE-2026-20963 impactant Microsoft SharePoint, confirmant l’exploitation active de ce vecteur critique.La CISA alerte également sur des activités malveillantes exploitant des solutions de gestion des endpoints, suite à l’attaque de Stryker, avec un abus des mécanismes Microsoft Intune et des accès privilégiés.Un bulletin de sécurité Ubiquiti signale une vulnérabilité critique dans UniFi Network affectant plusieurs versions, exposant les environnements de gestion réseau sans détails publics sur le vecteur d’exploitation.Le CERT-FR publie une série d’avis couvrant Microsoft, Roundcube, Mitel, Splunk, Python et VMware Tanzu. Les impacts incluent XSS, SSRF, CSRF et contournement de sécurité, avec plusieurs cas où l’impact reste non documenté.L’avis CERTFR-2026-AVI-0316 met en évidence plus de 100 CVE dans l’écosystème VMware Tanzu, illustrant un risque lié à la Supply Chain logicielle et aux dépendances Buildpack.Les chercheurs d’IBM X-Force et Flare Research révèlent une opération nord-coréenne impliquant jusqu’à 100 000 faux travailleurs IT infiltrant des entreprises occidentales, générant environ 500 millions de dollars annuels.Le NCSC publie des recommandations sur la sécurisation des outils de visioconférence, mettant en avant les risques liés aux accès non contrôlés, aux données partagées et aux fonctionnalités intégrant de l’IA.Sources :• CISA — KEV Cisco CVE-2026-20131 : https://www.cisa.gov/news-events/alerts/2026/03/19/cisa-adds-one-known-exploited-vulnerability-catalog• CISA — KEV SharePoint CVE-2026-20963 : https://www.cisa.gov/news-events/alerts/2026/03/18/cisa-adds-one-known-exploited-vulnerability-catalog-0• CISA — Endpoint management attack : https://www.cisa.gov/news-events/alerts/2026/03/18/cisa-urges-endpoint-management-system-hardening-after-cyberattack-against-us-organization• Cyber.gc.ca — Ubiquiti UniFi : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-ubiquiti-av26-258• CERT-FR — Microsoft : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0321/• CERT-FR — Roundcube : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0320/• CERT-FR — Mitel : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0319/• CERT-FR — Splunk : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0318/• CERT-FR — Python : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0317/• CERT-FR — VMware Tanzu : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0316/• NCSC — Online meetings security : https://www.ncsc.gov.uk/guidance/how-to-secure-your-online-meetings• The Register — North Korea fake IT workers : https://www.theregister.com/2026/03/18/researchers_lift_the_lid_on/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com
    Show more Show less
    18 mins
  • Ep.601 - RadioCSIRT Édition Française - Veille cyber du mercredi 18 mars 2026

    Ep.601 - RadioCSIRT Édition Française - Veille cyber du mercredi 18 mars 2026
    Mar 18 2026
    Apple corrige une vulnérabilité WebKit référencée CVE-2026-20643 permettant un contournement de la same-origin policy via un problème cross-origin dans la Navigation API. Cette faille pourrait permettre l’accès à des données inter-domaines dans Safari et les composants associés.Une compromission majeure touche le fournisseur bancaire Marquis Software. Plus de 672 000 personnes sont affectées après exfiltration de données sensibles incluant identifiants fiscaux et informations financières, dans un scénario de Supply Chain impactant de multiples institutions.La CISA indique ne pas observer d’augmentation significative de l’activité cyber iranienne malgré les frappes récentes, maintenant une posture de vigilance face à un écosystème de menaces toujours actif.Les chercheurs de Unit 42 démontrent la fragilité persistante des LLM face aux attaques de prompt fuzzing. Des variantes automatisées permettent de contourner les guardrails avec des taux d’évasion élevés selon les modèles et les mots-clés.Le SANS Institute observe une augmentation des scans ciblant Adminer, avec une recherche automatisée de fichiers spécifiques incluant versions et variantes, indiquant une phase de reconnaissance active.Le CERT-FR publie un avis sur plusieurs vulnérabilités dans Suricata, affectant les versions antérieures à 7.0.15 et 8.0.4, avec un impact potentiel sur les capacités de détection réseau.Une vulnérabilité critique CVE-2026-3888 affecte Ubuntu Desktop 24.04+, permettant une élévation de privilèges root via une interaction entre snap-confine et systemd-tmpfiles.Le groupe Interlock exploite une zero-day dans Cisco Secure Firewall Management Center, CVE-2026-20131, permettant une Remote Code Execution non authentifiée sur des équipements exposés.La CISA ajoute CVE-2025-66376 au KEV Catalog. Cette vulnérabilité Cross-Site Scripting affecte Zimbra Collaboration Suite et est confirmée comme activement exploitée.Sources :Malwarebytes — WebKit CVE-2026-20643 : https://www.malwarebytes.com/blog/news/2026/03/apple-patches-webkit-bug-that-could-let-sites-access-your-dataThe Record — Marquis Software breach : https://therecord.media/marquis-bank-vendor-data-breachThe Record — CISA Iran cyber posture : https://therecord.media/cisa-official-says-agency-has-not-seen-uptick-cyber-threats-iranUnit 42 — LLM prompt fuzzing : https://unit42.paloaltonetworks.com/genai-llm-prompt-fuzzing/SANS ISC — Adminer scans : https://isc.sans.edu/diary/rss/32808CERT-FR — Suricata : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0309/Security Affairs — Ubuntu CVE-2026-3888 : https://securityaffairs.com/189614/security/cve-2026-3888-ubuntu-desktop-24-04-vulnerable-to-root-exploit.htmlBleepingComputer — Marquis breach details : https://www.bleepingcomputer.com/news/security/marquis-ransomware-gang-stole-data-of-672-000-people-in-2025-cyberattack/CISA — KEV Zimbra CVE-2025-66376 : https://www.cisa.gov/news-events/alerts/2026/03/18/cisa-adds-one-known-exploited-vulnerability-catalogOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com
    Show more Show less
    18 mins
  • Ep.600 - RadioCSIRT Édition Française - Veille cyber du mardi 17 mars 2026

    Ep.600 - RadioCSIRT Édition Française - Veille cyber du mardi 17 mars 2026
    Mar 17 2026

    La CISA ajoute CVE-2025-47813 à son catalogue KEV : la faille d'Information Disclosure dans Wing FTP Server est confirmée comme activement exploitée et exploitable en chaîne avec une Remote Code Execution critique référencée CVE-2025-47812. Les agences fédérales américaines disposent de deux semaines pour remédier.

    Le CERT-FR publie quatre avis simultanés : CVE-2026-3909 dans Google Chrome et CVE-2026-3910 dans Microsoft Edge sont toutes deux confirmées comme activement exploitées. OpenSSL est affecté par CVE-2026-2673 sur les branches 3.5.x et 3.6.x. Plusieurs composants Azure Linux — coredns, giflib, golang et azurelinux-image-tools — font l'objet de six CVE additionnelles.

    La startup Starcloud soumet à la FCC une demande de déploiement de 88 000 satellites en orbite héliosynchrone pour constituer une infrastructure de data centers orbitaux produisant 5 gigawatts. Soutenue par NVIDIA, la société a déjà démontré l'exécution d'inférences IA depuis l'orbite via un GPU H100 embarqué.

    Le groupe APT Laundry Bear, également référencé UAC-0190 et Void Blizzard, est suspecté d'utiliser un nouveau backdoor baptisé DRILLAPP contre des organisations ukrainiennes. La technique repose sur l'abus des paramètres de debug de Microsoft Edge en mode headless pour accéder au système de fichiers, au microphone, à la caméra et à l'écran sans déclencher d'alerte.

    Sources :

    • CISA — Wing FTP Server KEV : https://www.cisa.gov/news-events/alerts/2026/03/16/cisa-adds-one-known-exploited-vulnerability-catalog
    • BleepingComputer — Wing FTP Server flaw actively exploited : https://www.bleepingcomputer.com/news/security/cisa-flags-wing-ftp-server-flaw-as-actively-exploited-in-attacks/
    • CERT-FR — OpenSSL CVE-2026-2673 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0296/
    • CERT-FR — Google Chrome CVE-2026-3909 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0297/
    • CERT-FR — Microsoft Edge multiples vulnérabilités : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0298/
    • CERT-FR — Produits Microsoft Azure Linux : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0299/
    • Clubic — Starcloud data centers orbitaux : https://www.clubic.com/actualite-604813-data-centers-dans-l-espace-lumiere-sur-le-projet-fou-de-la-startup-starcloud.html
    • Security Affairs — DRILLAPP backdoor Laundry Bear : https://securityaffairs.com/189519/malware/russia-linked-apt-uses-drillapp-backdoor-to-spy-on-ukrainian-targets.html

    On ne réfléchit pas, on patch !

    Vos retours sont les bienvenus.
    Répondeur : 07 68 72 20 09
    Email : radiocsirt@gmail.com
    Site web : www.radiocsirt.org
    Newsletter Hebdo : https://radiocsirt.substack.com
    Show more Show less
    11 mins
  • Ep.599 - RadioCSIRT Édition Française - Veille cyber du lundi 16 mars 2026

    Ep.599 - RadioCSIRT Édition Française - Veille cyber du lundi 16 mars 2026
    Mar 16 2026

    Meta supprime le chiffrement de bout en bout des messages privés Instagram à compter du 8 mai 2026. La fonctionnalité E2EE, disponible depuis trois ans en mode opt-in, est abandonnée au profit d'une architecture permettant à Meta d'analyser les contenus échangés. Les utilisateurs souhaitant maintenir un canal chiffré au sein de l'écosystème Meta sont redirigés vers WhatsApp.

    Le groupe Storm-2561, actif depuis mai 2025, distribue de faux clients VPN enterprise via SEO poisoning en usurpant les marques Cisco, Fortinet, CheckPoint, Ivanti, SonicWall, Sophos et WatchGuard. Les installeurs MSI malveillants sideloadent deux DLL — dwmapi.dll et inspector.dll — capturant les credentials saisis avant de rediriger silencieusement la victime vers le site officiel du vendor.

    Le cluster CL-STA-1087, suspecté d'origine chinoise, conduit depuis 2020 des opérations d'espionnage ciblant des organisations militaires d'Asie du Sud-Est. L'arsenal déployé comprend les backdoors AppleChris et MemFun, et le credential harvester Getpass. Les deux backdoors utilisent Pastebin comme dead drop resolver pour récupérer les adresses C2.

    Starbucks notifie une violation de données affectant 889 employés suite à une campagne de phishing ciblant le portail RH Partner Central entre le 19 janvier et le 11 février 2026. Les données exposées incluent numéros de sécurité sociale, dates de naissance et coordonnées bancaires.

    Le SDK web d'AppsFlyer a été compromis dans une attaque supply chain entre le 9 et le 11 mars 2026. Un payload JavaScript de clipboard hijacking a été distribué depuis websdk.appsflyer.com, ciblant les wallets Bitcoin, Ethereum, Solana, Ripple et TRON sur les applications de 15 000 entreprises clientes.

    Microsoft publie le hotpatch OOB KB5084597 pour corriger trois RCE dans le snap-in RRAS de Windows 11 Enterprise : CVE-2026-25172, CVE-2026-25173 et CVE-2026-26111. Le correctif applique les fixes via in-memory patching sans redémarrage, exclusivement sur les endpoints gérés via Windows Autopatch.

    Sources :

    • Clubic — Instagram supprime le chiffrement de bout en bout : https://www.clubic.com/actualite-604663-instagram-supprime-le-chiffrement-des-messages-de-bout-en-bout-vos-conversations-privees-bientot-lisibles.html
    • The Register — VPN clients spoofed by Storm-2561 : https://www.theregister.com/2026/03/13/vpn_clients_spoofed/
    • The Hacker News — Chinese hackers target Southeast Asian militaries : https://thehackernews.com/2026/03/chinese-hackers-target-southeast-asian.html
    • Security Affairs — Starbucks data breach 889 employees : https://securityaffairs.com/189438/security/starbucks-data-breach-impacts-889-employees.html
    • BleepingComputer — AppsFlyer Web SDK crypto stealer : https://www.bleepingcomputer.com/news/security/appsflyer-web-sdk-used-to-spread-crypto-stealer-javascript-code/
    • BleepingComputer — Microsoft Windows 11 OOB hotpatch RRAS RCE : https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-windows-11-oob-hotpatch-to-fix-rras-rce-flaw/

    On ne réfléchit pas, on patch !

    Vos retours sont les bienvenus.
    Répondeur : 07 68 72 20 09
    Email : radiocsirt@gmail.com
    Site web : www.radiocsirt.org
    Newsletter Hebdo : https://radiocsirt.substack.com
    Show more Show less
    14 mins