Nous ouvrons cet épisode avec une analyse technique publiée par l'ISC SANS sur la manipulation du Process Environment Block. Cette technique exploitée par les malwares permet de masquer les paramètres de lancement des processus via l'API CreateProcess avec le flag CREATE_SUSPENDED. Le PEB, structure user-mode de Windows, peut être modifié en quatre étapes : localisation, lecture, réécriture des paramètres, puis reprise du processus. La technique présente une limitation majeure liée à la longueur des commandes et ne trompe pas les EDR qui journalisent les paramètres originaux à la création.

Trend Micro a déployé le Critical Patch Build 7190 pour corriger le CVE-2025-69258, une vulnérabilité Remote Code Execution dans Apex Central. La faille de type LoadLibraryEX permet l'injection de DLL malveillante dans le processus MsgReceiver.exe sur le port TCP 20001, avec exécution de code sous le contexte SYSTEM. Tenable, qui a découvert la vulnérabilité, a publié les détails techniques et un proof-of-concept. Le patch corrige également deux failles Denial-of-Service.

La CISA procède à sa plus importante clôture groupée avec le retrait de dix Emergency Directives émises entre 2019 et 2024. Les actions requises ont été complétées ou sont désormais couvertes par la Binding Operational Directive 22-01 qui s'appuie sur le catalogue Known Exploited Vulnerabilities. Parmi les directives fermées figurent ED 21-01 sur SolarWinds Orion, ED 21-02 concernant Microsoft Exchange, et ED 24-02 relative à la compromission nation-state du système email corporate de Microsoft.

Une vulnérabilité critique affecte Undertow HTTP server core, composant déployé dans WildFly et JBoss EAP. Le CVE-2025-12543, classé CVSS 9.6, exploite une faiblesse d'Improper Input Validation dans le traitement des HTTP Host headers. Red Hat a publié les patches via RHSA-2026:0386 et RHSA-2026:0383, précisant qu'aucune mitigation alternative ne satisfait les critères de sécurité. Le patching immédiat constitue l'unique mesure recommandée.

Enfin, Security Affairs rapporte qu'un blackout internet national a été imposé en Iran dans un contexte de répression violente des manifestations. NetBlocks confirme que la connectivité est tombée à 1% des niveaux ordinaires. Amnesty International et le groupe Hengaw documentent 42 décès incluant six enfants, avec usage d'armes à feu réelles et arrestations arbitraires massives. Les données Tor Metrics montrent une augmentation significative de l'usage du réseau anonyme par les citoyens iraniens.

Sources :

• ISC SANS – PEB Manipulation : https://isc.sans.edu/diary/rss/32614
• BleepingComputer – Trend Micro Apex Central : https://www.bleepingcomputer.com/news/security/trend-micro-fixes-critical-rce-flaw-in-apex-central-console/
• BleepingComputer – CISA Emergency Directives : https://www.bleepingcomputer.com/news/security/cisa-retires-10-emergency-cyber-orders-in-rare-bulk-closure/
• CyberSecurityNews – Undertow : https://cybersecuritynews.com/undertow-http-server-vulnerability/
• Security Affairs – Iran blackout : https://securityaffairs.com/186718/intelligence/iran-cuts-internet-nationwide-amid-deadly-protest-crackdown.html

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec l'analyse de GoBruteforcer publiée par Check Point Research. Ce botnet modulaire écrit en Go cible les serveurs Linux via brute-force sur FTP, MySQL, PostgreSQL et phpMyAdmin. La variante 2025 introduit un bot IRC réécrit en Go avec obfuscation Garbler et des credentials dynamiques fournies par le Command and Control. Check Point estime que plus de 50 000 serveurs exposés seraient vulnérables. Les chercheurs ont observé une campagne crypto avec récupération d'outils token-sweep pour TRON et Binance Smart Chain sur un hôte compromis, accompagnés d'environ 23 000 adresses TRON. L'analyse on-chain confirme que certaines attaques financières ont réussi.

The Record rapporte des changements à la NSA. David Imbordino assumera les fonctions de directeur par intérim de la cybersecurity directorate fin janvier, avec Holly Baroody comme deputy chief. La directorate est sans chef permanent depuis début 2024. Le lieutenant général Josh Rudd a été désigné pour diriger Cyber Command et la NSA.

Cisco Talos révèle UAT-7290, un acteur China-nexus actif depuis 2022 ciblant les télécoms en Asie du Sud. L'arsenal comprend RushDrop, DriveSwitch, SilentRaid et Bulbature qui convertit les dispositifs en Operational Relay Boxes. Talos observe des chevauchements avec APT10 et Red Foxtrot lié à la PLA Unit 69010.

Enfin, Unit 42 analyse les risques du vibe coding. Les chercheurs documentent plusieurs incidents catastrophiques : compromise d'application, indirect prompt injection avec exfiltration de données, et suppression de base production. Unit 42 propose le framework SHIELD incluant Separation of Duties, Human in the Loop, Input/Output Validation, Security-Focused Helper Models, Least Agency et Defensive Technical Controls.

Sources :

• Check Point Research – GoBruteforcer : https://research.checkpoint.com/2026/inside-gobruteforcer-ai-generated-server-defaults-weak-passwords-and-crypto-focused-campaigns/
• The Record – NSA leadership : https://therecord.media/nsa-cyber-directorate-new-acting-leadership
• Cisco Talos – UAT-7290 : https://blog.talosintelligence.com/uat-7290/
• Unit 42 – Vibe coding : https://unit42.paloaltonetworks.com/securing-vibe-coding-tools/

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec les prévisions de vulnérabilités publiées par FIRST pour 2026. L'organisation anticipe le franchissement du seuil des 50 000 CVE avec une estimation médiane à 59 000 vulnérabilités pour l'année. L'intervalle de confiance à 90% s'établit entre 30 000 et 118 000 CVE, les scénarios les plus probables évoquant une fourchette de 70 000 à 100 000 vulnérabilités. FIRST a revu sa méthodologie en adoptant un nouveau modèle qui intègre le changement structurel observé en 2017 dans les tendances de publication de CVE.

BleepingComputer rapporte la publication de correctifs par Veeam pour trois vulnérabilités dans Backup & Replication. La CVE-2025-59470, initialement classée critique puis réévaluée en haute sévérité, permet à un utilisateur disposant des rôles Backup Operator ou Tape Operator d'exécuter du code distant en tant qu'utilisateur postgres. La version 13.0.1.1071 publiée le 6 janvier corrige également les CVE-2025-55125 et CVE-2025-59468. Les serveurs VBR constituent une cible privilégiée des opérateurs ransomware, plusieurs groupes ayant précédemment exploité des vulnérabilités similaires dans des campagnes documentées.

VulnCheck signale une vulnérabilité critique d'injection de commandes affectant plusieurs modèles de routeurs DSL D-Link. La CVE-2026-0625, avec un score CVSS de 9.3, exploite le endpoint dnscfg.cgi et permet à un attaquant distant non authentifié d'exécuter des commandes shell arbitraires. Les modèles DSL-526B, DSL-2640B, DSL-2740R et DSL-2780B sont concernés. The Shadowserver Foundation a observé des preuves d'exploitation le 27 novembre 2025. D-Link a déclaré l'ensemble des équipements en statut End-of-Life début 2020.

Le CERT-FR a publié l'avis CERTFR-2026-AVI-0010 concernant six vulnérabilités dans Curl. Les versions 7.17 à 8.x antérieures à 8.18.0 sont affectées. L'exploitation permet une atteinte à la confidentialité des données et un contournement de la politique de sécurité. La version 8.18.0 corrige l'ensemble des failles identifiées.

Enfin, la CISA a ajouté deux vulnérabilités à son catalogue KEV le 7 janvier. La CVE-2009-0556 affecte Microsoft Office PowerPoint et la CVE-2025-37164 concerne HPE OneView, toutes deux permettant l'injection de code. L'agence confirme des preuves d'exploitation active dans les deux cas.

Sources :

• FIRST – Prévisions vulnérabilités 2026 : https://www.first.org/blog/20260211-vulnerability-forecast-2026
• BleepingComputer – Vulnérabilités Veeam : https://www.bleepingcomputer.com/news/security/new-veeam-vulnerabilities-expose-backup-servers-to-rce-attacks/
• VulnCheck – D-Link DSL injection : https://www.vulncheck.com/advisories/dlink-dsl-command-injection-via-dns-configuration-endpoint
• CERT-FR – Vulnérabilités Curl : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0010/
• CISA – KEV Catalog : https://www.cisa.gov/news-events/alerts/2026/01/07/cisa-adds-two-known-exploited-vulnerabilities-catalog

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec une vulnérabilité critique dans n8n rapportée par Security Online. La CVE-2025-68668, avec un score CVSS de 9.9, permet à un utilisateur authentifié d'échapper au sandbox Python de la plateforme d'automatisation pour exécuter des commandes système arbitraires, transformant le Code Node en vecteur de compromission totale du système hôte.

CVEfeed.io signale une faille de chargement de DLL non contrôlé dans AsusSoftwareManagerAgent. La CVE-2025-12793, évaluée à 8.5 en CVSS 4.0, exploite un chemin de recherche non fiable permettant à un attaquant local d'exécuter du code arbitraire via la manipulation de Namespaces de DLL.

Clubic revient sur la disparition du domaine principal d'Anna's Archive. Le registre a placé annas-archive.org sous statut serverHold deux semaines après la mise en ligne de 300 téraoctets de données Spotify, suggérant une action légale du Public Interest Registry suite aux poursuites de l'OCLC pour extraction de 2,2 téraoctets de données WorldCat.

Phoronix rapporte une situation critique pour le projet Debian : les trois membres délégués de la Data Protection Team ont démissionné simultanément, laissant le projet sans équipe active pour gérer les obligations RGPD. Le leader du projet Andreas Tille assure désormais ce rôle de manière ad-hoc en attendant de nouveaux volontaires.

Enfin, le CERT-FR a émis l'avis CERTFR-2026-AVI-0004 concernant la CVE-2025-13699 affectant plusieurs branches de MariaDB. L'éditeur n'a pas spécifié la nature exacte du problème de sécurité, mais recommande une mise à jour vers les versions 10.11.15, 10.6.24, 11.4.9 ou 11.8.4.

Sources :

• Security Online – n8n CVE-2025-68668 : https://securityonline.info/n8n-sandbox-escape-how-cve-2025-68668-turns-workflows-into-weapons/
• CVEfeed.io – CVE-2025-12793 ASUS : https://cvefeed.io/vuln/detail/CVE-2025-12793
• Clubic – Anna's Archive domaine : https://www.clubic.com/actualite-593797-le-site-qui-avait-pirate-spotify-perd-son-nom-de-domaine.html
• Phoronix – Debian Data Protection Team : https://www.phoronix.com/news/No-Debian-Data-Protection-Team
• CERT-FR – Vulnérabilité MariaDB : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0004/

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec l'évolution des tactiques du groupe UAC-0184 rapportée par The Hacker News. L'acteur aligné sur les intérêts russes exploite désormais Viber pour cibler les entités ukrainiennes et déployer le Hijack Loader, facilitant l'infection par Remcos RAT.

Bruce Schneier relaie une enquête sur l'écosystème Telegram, devenu le plus grand Darknet Market pour les groupes criminels chinois. Ces plateformes facilitent désormais le Money-laundering et les opérations de Pig butchering à une échelle industrielle.

BleepingComputer revient sur le démenti de NordVPN concernant une prétendue compromission. L'entreprise affirme que les données exfiltrées proviennent d'un environnement de test tiers isolé contenant uniquement des Dummy data et aucune donnée de production.

Par ailleurs, une vulnérabilité de type Supply Chain affecte les IDE basés sur l'IA comme Cursor et Windsurf. Des chercheurs ont démontré que l'héritage de recommandations d'extensions inexistantes sur OpenVSX permettait à des attaquants d'enregistrer des Namespaces malveillants pour distribuer du code hostile.

Enfin, le CERT-FR a émis un avis concernant de multiples vulnérabilités critiques dans les produits Qnap, incluant des risques d'Injection SQL (SQLi) et de Déni de service.

Sources :

• The Hacker News – UAC-0184 / Viber : https://thehackernews.com/2026/01/russia-aligned-hackers-abuse-viber-to.html
• Schneier on Security – Telegram Darknet Markets : https://www.schneier.com/blog/archives/2026/01/telegram-hosting-worlds-largest-darknet-market.html
• BleepingComputer – NordVPN Breach Denial : https://www.bleepingcomputer.com/news/security/nordvpn-denies-breach-claims-says-attackers-have-dummy-data/
• BleepingComputer – VSCode IDE Forks : https://www.bleepingcomputer.com/news/security/vscode-ide-forks-expose-users-to-recommended-extension-attacks/
• CERT-FR – Vulnérabilités Qnap : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0003/

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.

Nous ouvrons avec le conflit opposant Resecurity au groupe Scattered Lapsus$ Hunters, rapporté par BleepingComputer. Alors que les attaquants revendiquent une compromission de l'infrastructure, Resecurity affirme qu'il s'agissait d'un honeypot. L'équipe DFIR avait détecté la reconnaissance dès novembre et isolé les intrus dans un environnement contenant des synthetic datasets et de faux logs de transactions. Les tentatives d'exfiltration ont permis d'identifier les IP réelles des attaquants malgré l'usage de residential proxies.

Cyber Security News revient sur les allégations du groupe Handala concernant le piratage de mobiles d'officiels israéliens. Une analyse forensique menée par KELA révèle que l'incident se limite à une compromission de comptes Telegram et non à un full device takeover. Les attaquants ont exploité du phishing et du vol d'OTP, la majorité des données fuitées n'étant que des fiches de contacts vides générées par la synchronisation de l'application.

Enfin, Unit 42 a publié une analyse technique du VVS Stealer, un malware ciblant Discord qui utilise Pyarmor pour l'obfuscation. Distribué sous forme de package PyInstaller, le malware utilise le chiffrement AES-128 et le mode BCC pour entraver le reverse engineering. Il injecte des payloads JavaScript pour intercepter les sessions via le Chrome DevTools Protocol et exfiltrer les tokens et credentials via des webhooks avant de s'auto-terminer.

Sources

• BleepingComputer – Resecurity Honeypot : https://www.bleepingcomputer.com/news/security/hackers-claim-resecurity-hack-firm-says-it-was-a-honeypot/
• Cyber Security News – Handala Analysis : https://cyberpress.org/telegram-account-compromise/
• Unit 42 – VVS Stealer : https://unit42.paloaltonetworks.com/vvs-stealer/

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web :www.radiocsirt.org
Newsletter Hebdo :https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.

Avant de commencer : la newsletter RadioCSIRT numéro 43 est disponible en quatre langues sur Substack — français, anglais, allemand, italien et espagnol. Tous les liens sur radiocsirt.org.

Nous ouvrons avec un retour d'expérience de Johannes Ullrich, chercheur chez SANS, sur l'analyse de latences DNS avec tshark. L'outil a révélé que 50 pour cent du trafic DNS provenait de requêtes PTR générées par son serveur NTP. Après désactivation, la moyenne est passée à 33 millisecondes avec des pics à 8 secondes. Quatre DNS resolvers testés ont montré des performances quasi identiques. La méthodologie démontre l'efficacité de tshark pour le diagnostic réseau.

Gavin Webb, coordinateur de l'Operation Cronos contre LockBit, a reçu le titre d'Officer of the Order of the British Empire. LockBit représentait 25 pour cent des attaques ransomware 2023-2024. Sept autres officiers du NCA ont été distingués. Jacob Riggs, chercheur britannique de 36 ans, a obtenu le visa australien Subclass 858 National Innovation après avoir signalé une vulnérabilité critique au Department of Foreign Affairs and Trade. Il figure parmi les 4 chercheurs ayant reporté avec succès un bug sous le programme DFAT.

Benjamin Brundage a documenté le botnet Kimwolf : 2 millions de devices infectés via les réseaux proxy résidentiels IPIDEA. Les attaquants exploitent le DNS pour contourner les restrictions NAT et ciblent des Android TV boxes avec Android Debug Bridge activé sans authentification. IPIDEA a patché le 25 décembre. Kimwolf se monétise via DDoS-as-a-service, ad fraud et account takeover.

Sources

• SANS ISC : https://isc.sans.edu/diary/rss/32592
• The Register – LockBit honours : https://www.theregister.com/2026/01/02/nca_new_year_honours/
• The Register – Aussie visa : https://www.theregister.com/2026/01/02/brit_security_australia_visa/
• Krebs on Security : https://krebsonsecurity.com/2026/01/the-kimwolf-botnet-is-stalking-your-local-network/
• Newsletter FR : https://radiocsirt.substack.com/p/newsletter-n43?r=57c3ye
• Newsletter EN : https://radiocsirtenglishedition.substack.com/p/newsletter-radiocsirt-january-03?r=57c3ye
• Newsletter IT : https://radiocsirtitalianedition.substack.com/p/newsletter-radiocsirt-3-gennaio-2026?r=57c3ye
• Newsletter DE : https://radiocsirtgermanedition.substack.com/p/newsletter-radiocsirt-3-januar-2026?r=57c3ye
• Newsletter SP : https://radiocsirtspanishedition.substack.com/p/newsletter-radiocsirt-3-de-enero?r=57c3ye

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.

Nous ouvrons cette édition avec un avis publié par le CERT-FR le 2 janvier 2026 concernant de multiples vulnérabilités affectant les produits IBM. Référencé CERTFR-2026-AVI-0002, cet avis indique que certaines vulnérabilités permettent un déni de service à distance, une atteinte à la confidentialité et à l'intégrité des données, une injection XSS ainsi qu'un contournement de la politique de sécurité. Les systèmes concernés incluent Sterling Partner Engagement Manager versions 6.2.3.x et 6.2.4.x, ainsi que WebSphere eXtreme Scale 8.6.1.x sans le correctif PH69398 iFix. Quatorze CVE sont référencées. IBM a publié les correctifs via les bulletins de sécurité 7255899 et 7256003 datés des 29 et 30 décembre 2025.

Nous poursuivons avec une compromission d'infrastructures femtocells déployées par Korea Telecom. Selon The Register, plusieurs milliers de femtocells utilisaient un certificat unique partagé, valide dix ans, stocké en plaintext sans root password. Le service SSH était activé sans restriction. Cette configuration a permis l'extraction du certificat et le clonage de femtocells reconnues comme légitimes. Au moins vingt femtocells clonées ont été identifiées, exposant les subscriber numbers, le contenu des SMS et les numéros appelés. Le système de micropaiements a permis une fraude de 169 000 dollars touchant 368 clients. Treize individus ont été arrêtés. Les enquêteurs ont établi un lien potentiel avec une compromission antérieure par BPFDoor entre 2022 et 2025.

Nous terminons cette édition avec de nouvelles campagnes APT36 ciblant des entités gouvernementales et académiques en Inde. Selon The Hacker News, le vecteur initial exploite un fichier LNK déguisé en PDF distribué via spear-phishing. L'exécution déclenche un script HTA via mshta.exe chargeant le RAT directement en mémoire. La persistance s'adapte selon l'antivirus détecté. Le RAT iinneldc.dll offre des capacités de contrôle distant, d'exfiltration de données et de capture d'écran. Une seconde campagne utilise un loader .NET récupérant l'installeur nikmights.msi depuis aeroclubofindia.co.in. Le payload communique avec dns.wmiprovider.com via des endpoints inversés.

Sources

• CERT-FR – Multiples vulnérabilités dans les produits IBM : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0002/
• The Register – Korean telco failed at femtocell security : https://www.theregister.com/2025/12/30/kt_telecom_femtocell_security_fail/
• The Hacker News – Transparent Tribe Launches New RAT Attacks : https://thehackernews.com/2026/01/transparent-tribe-launches-new-rat.html

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web :www.radiocsirt.org
Newsletter Hebdo :https://radiocsirt.substack.com