RadioCSIRT

Marc Frédéric GOMEZ

🎙 Marc Frédéric Gomez, expert en cybersécurité, vous livre chaque jour l’essentiel des menaces, attaques et stratégies de défense à connaître. 🔎 Au programme :✔️ Décryptage des cyberattaques et vulnérabilités critiques✔️ Veille stratégique pour les CSIRT, CERT et pros de la cybersécurité✔️ Sources et références pour approfondir chaque sujet 💡 Pourquoi écouter RadioCSIRT ?🚀 Restez à jour en quelques minutes par jour🛡️ Anticipez les menaces avec des infos fiables et techniques📢 Une veille indispensable pour les pros de l’IT et de la sécurité 🔗 Écoutez, partagez et sécurisez votre environnement !📲 Abonnez-vous et laissez une note ⭐ sur votre plateforme préférée !

  1. Ep.691 - RadioCSIRT Édition Française - Flash info cybersécurité du jeudi 9 juillet 2026

    -21 h

    Ep.691 - RadioCSIRT Édition Française - Flash info cybersécurité du jeudi 9 juillet 2026

    🛡️ Red Hat et IBM lancent commercialement Lightwell, défense de la chaîne d'approvisionnement open source assistée par IA, élargie à Palo Alto Networks pour le virtual patching, avec Lightwell Network (dépôts signés, backports) et Lightwell Clearinghouse (correctifs sous embargo). 📡 Le CERT-FR publie l'avis CERTFR-2026-AVI-0852 sur de multiples vulnérabilités Juniper Networks (Junos OS, cRPD, CTPView, Junos Space, Network Director), dont CVE-2026-33801, CVE-2026-33799 et CVE-2020-7450, permettant RCE, déni de service et fuite de données. 🛡️ Le CERT-FR publie l'avis CERTFR-2026-AVI-0853 sur plusieurs centaines de vulnérabilités Palo Alto Networks (PAN-OS, Prisma Access, Prisma Browser, Cortex XDR Broker VM), avec RCE à distance, élévation de privilèges, SSRF et XSS. 🐛 Le CERT-FR publie l'avis CERTFR-2026-AVI-0849 sur de multiples vulnérabilités Wireshark (branches antérieures à 4.6.7 et 4.4.17), référençant CVE-2026-15163 à CVE-2026-15174, permettant déni de service et atteinte à la confidentialité. 🪟 Microsoft corrige le zero-day Defender RoguePlanet (CVE-2026-50656), divulgué par Nightmare Eclipse, une race condition donnant les privilèges SYSTEM sur Windows 10 et 11 à jour, corrigée via le Malware Protection Engine 1.1.26060.3008. 🇫🇷 Vincent Strubel, DG de l'ANSSI, alerte les sénateurs sur le mur du patch lié aux vulnérabilités découvertes par l'IA, évoque le cas Mythos 5 d'Anthropic et rappelle que cloisonnement, gestion des accès et mises à jour restent la meilleure protection. 🕵️ The Register et Proofpoint détaillent la campagne d'espionnage chinoise UNK_MassTraction contre des serveurs Roundcube d'universités, exploitant CVE-2024-42009 et CVE-2025-49113 pour déployer le stealer IceCube, le webshell SquareShell et l'implant VShell. 🚨 The Hacker News et Symantec décrivent le ransomware GodDamn, rebranding de Beast, qui utilise le driver noyau signé PoisonX en attaque BYOVD pour désactiver les défenses, avec AnyDesk, NirSoft et PsExec. 🎣 KrebsOnSecurity enquête sur IRIS C2 et Calvexa Group, startup de rachat de zero-days offrant jusqu'à 7 millions de dollars, associée à Jack Burkman et Jacob Wohl, aux lourds antécédents judiciaires. Sources : Lightwell: Red Hat's and IBM's AI Defense Against AI-Based Attacks. FOSS Force : https://fossforce.com/2026/07/lightwell-red-hats-and-ibms-ai-defense-against-ai-based-attacks/Multiples vulnérabilités dans les produits Juniper Networks. CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0852/Multiples vulnérabilités dans les produits Palo Alto Networks. CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0853/Multiples vulnérabilités dans Wireshark. CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0849/Microsoft patches RoguePlanet Defender zero-day vulnerability. BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-patches-rogueplanet-defender-zero-day-vulnerability/L'avertissement de Vincent Strubel face au mur du patch. ZDNET : https://www.zdnet.fr/actualites/ca-va-secouer-pendant-les-trois-prochaines-annees-au-moins-lavertissement-de-vincent-strubel-face-au-mur-du-patch-498468.htm Suspected Chinese snoops caught breaking into universities' Roundcube mailservers. The Register : https://www.theregister.com/security/2026/07/08/suspected-chinese-snoops-caught-breaking-into-universities-roundcube-mailservers/GodDamn Ransomware Uses PoisonX Driver to Disable Endpoint Defenses. The Hacker News : https://thehackernews.com/2026/07/goddamn-ransomware-uses-poisonx-driver.htmlFelons, Fraudsters Flog Offensive Cybersecurity Startup. KrebsOnSecurity : https://krebsonsecurity.com/2026/07/felons-fraudsters-flog-offensive-cybersecurity-startup/⚡️ On ne réfléchit pas, on patch !   📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Lightwell #RedHat #IBM #PaloAltoNetworks #SupplyChain #Juniper #JunosOS #Wireshark #Microsoft #Defender #ZeroDay #RoguePlanet #NightmareEclipse #ANSSI #MurDuPatch #Roundcube #Proofpoint #UNKMassTraction #IceCube #VShell #Ransomware #GodDamn #PoisonX #BYOVD #IRISC2 #Krebs #CVE-2026-50656 #CVE-2024-42009 #CVE-2025-49113 #CVE-2026-33801 #CVE-2026-33799 #CVE-2020-7450 #CVE-2026-15163 #RadioCSIRT

    13 min
  2. Ep.690 - RadioCSIRT : Flash info cybersécurité du mercredi 8 juillet 2026

    -1 j

    Ep.690 - RadioCSIRT : Flash info cybersécurité du mercredi 8 juillet 2026

    🚨 La CISA ajoute au catalogue KEV la vulnérabilité CVE-2026-48282, un Path Traversal dans Adobe ColdFusion activement exploité, dans le cadre de la directive BOD 26-04 de priorisation par le risque. 🚨 La CISA ajoute trois vulnérabilités exploitées au catalogue KEV : CVE-2026-48908 dans JoomShaper SP Page Builder (upload de fichier dangereux), CVE-2026-55255 dans Langflow (contournement d'autorisation) et CVE-2026-56290 dans Joomlack Page Builder (contrôle d'accès défaillant). 🐧 Canonical fait de l'ARM64 une priorité pour Ubuntu 26.04 LTS : migration des paquets vers archive.ubuntu.com, Livepatch sur ARM64, émulation Steam via FEX, Widevine dans Chrome ARM64 et Secure Boot sur Snapdragon X Elite via stubble. 🚔 La police espagnole arrête à Palencia, sur renseignement du FBI, un homme soupçonné de soutenir les groupes hacktivistes pro-russes CARR, Z-Pentest et NoName057(16), et d'avoir aidé un hacker ukrainien à fuir vers la Russie. 🐛 Unit 42 analyse une campagne diffusant Vidar Stealer et le mineur XMRig via malvertising et faux cracks : loader Factory-v3 en Go, certificats Authenticode contrefaits (JustWatch, Bleacher Report), inflation de fichiers à 491 Mo, bypass AMSI, notifications Telegram X3D MINER. ☁️ Une analyse revient sur la campagne supply chain du groupe TeamPCP (UNC6780) : cascade partie de Trivy vers Checkmarx KICS, LiteLLM et Telnyx à travers PyPI, npm, Docker Hub et OpenVSX, avec CVE-2026-33634 et CVE-2026-45321. 🛡️ Le FIRST présente PR3TACK, framework ouvert dévoilé à FIRSTCON26 qui catalogue des TTP plausibles mais non observées et les associe à des contre-mesures préventives, en complément de MITRE ATT&CK et D3FEND. Sources :  CISA Adds One Known Exploited Vulnerability to Catalog. CISA : https://www.cisa.gov/news-events/alerts/2026/07/07/cisa-adds-one-known-exploited-vulnerability-catalogCISA Adds Three Known Exploited Vulnerabilities to Catalog. CISA : https://www.cisa.gov/news-events/alerts/2026/07/07/cisa-adds-three-known-exploited-vulnerabilities-catalogLe grand bouleversement d'Ubuntu : ARM64 en priorité. GoodTech : https://goodtech.info/ubuntu-26-04-lts-arm64-canonical-processeur/Spain arrests alleged supporter of pro-Russian hacktivist groups after FBI tip. The Record : https://therecord.media/spain-arrest-alleged-supporter-noname-carr-zpentestVidar Stealer Unmasked: Code Signing Abuse, Go Loaders and File Inflation. Unit 42 : https://unit42.paloaltonetworks.com/vidar-stealer-xmrig-miner-campaign-analysis/TeamPCP : anatomie d'une campagne d'attaques de la chaîne d'approvisionnement logicielle. Blog de Marc-Frédéric Gomez : https://blog.marcfredericgomez.fr/teampcp-anatomie-dune-campagne-dattaques-de-la-chaine-dapprovisionnement-logicielle/PR3TACK: The Preemptive Tactics and Countermeasures Knowledgebase. FIRST : https://www.first.org/blog/20260708-FIRSTCON26-PR3TACK⚡️ On ne réfléchit pas, on patch !  📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #BOD2604 #AdobeColdFusion #Langflow #Joomla #JoomShaper #Ubuntu #ARM64 #Canonical #Hacktivism #NoName05716 #CARR #ZPentest #VidarStealer #XMRig #Malvertising #Factoryv3 #Monero #TeamPCP #UNC6780 #SupplyChain #PR3TACK #FIRSTCON26 #MITRE #CVE-2026-48282 #CVE-2026-48908 #CVE-2026-55255 #CVE-2026-56290 #CVE-2026-33634 #CVE-2026-45321 #RadioCSIRT

    11 min
  3. Ep.689 - RadioCSIRT - Flash info cybersécurité du mardi 7 juillet 2026

    -2 j

    Ep.689 - RadioCSIRT - Flash info cybersécurité du mardi 7 juillet 2026

    🛡️ Une chercheuse a accédé au panneau de gestion du streaming en production de la Coupe du monde 2026 via un simple compte public FIFA. La faille : une autorisation NO_ROLES vérifiée uniquement côté client, tandis que les serveurs répondaient à toutes les requêtes. Étaient exposés les clés de flux RTMP, les contrôles start/stop et le Commentator Information System d'un événement diffusé à trois milliards de téléspectateurs. La faille a été corrigée. 🐘 Le CERT-FR publie l'avis CERTFR-2026-AVI-0843 sur de multiples vulnérabilités dans PHP (branches 8.2 à 8.5), référençant CVE-2026-12184 et CVE-2026-14355. 📧 Le CERT-FR publie l'avis CERTFR-2026-AVI-0842 sur de multiples vulnérabilités dans Postfix, permettant un déni de service, avec un large éventail de branches affectées jusqu'à postfix-3.11.5. 📡 L'Internet Storm Center analyse l'usage croissant des enregistrements DNS NAPTR pour le protocole RCS, avec le service SIPS+D2T et un mécanisme d'expressions régulières encore inexploité. 🇨🇦 Le Communications Security Establishment canadien révèle trois opérations cyber offensives menées en 2025 contre un groupe extrémiste, des trafiquants de fentanyl et un gang de ransomware-as-a-service, plus des perturbations contre dix gangs majeurs. 🎣 Malwarebytes documente une campagne de phishing usurpant Netflix, Coca-Cola, Adidas et la FIFA, avec au moins 34 domaines et de fausses fenêtres Google, abusant de PeopleForce et Salesforce Marketing Cloud pour cibler le marketing. 🐛 Cisco Talos détaille le nouvel arsenal de l'acteur China-nexus UAT-7810 (réseau ORB LapDogs) : LONGLEASH, DOGLEASH et JARLEASH, avec exploitation n-day des routeurs Ruckus et ASUS AiCloud. ☁️ AWS présente un modèle d'autorisation least-privilege en trois couches pour les chaînes multi-agents d'IA, basé sur Cedar, OAuth 2.0, HMAC-SHA256 et Amazon Verified Permissions, contre le risque OWASP ASI03. Sources :  Une hackeuse a pris le contrôle du streaming du Mondial 2026. Clubic : https://www.clubic.com/actualite-619945-une-hackeuse-a-pris-le-controle-du-streaming-du-mondial-2026-et-a-failli-troller-3-milliards-de-telespectateurs.htmlMultiples vulnérabilités dans PHP. CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0843/Multiples vulnérabilités dans Postfix. CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0842/RCS and DNS: The NAPTR Record. SANS Internet Storm Center : https://isc.sans.edu/diary/rss/33124Canadian spy agency reports hacking three criminal groups in 2025. The Record : https://therecord.media/canada-cse-2025-cyber-operations-ransomware-drugs-extremismFake Netflix, Coca-Cola, and FIFA job scams target marketers. Malwarebytes : https://www.malwarebytes.com/blog/scams/2026/07/fake-netflix-coca-cola-and-fifa-job-scams-target-marketersUAT-7810 continues building ORB networks using new malware. Cisco Talos : https://blog.talosintelligence.com/uat-7810/Enforce least-privilege authorization in multi-agent AI chains using Cedar. AWS Security Blog : https://aws.amazon.com/fr/blogs/security/enforce-least-privilege-authorization-in-multi-agent-ai-chains-using-cedar/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #FIFA #WorldCup2026 #RTMP #BrokenAccessControl #PHP #Postfix #CERTFR #DNS #NAPTR #RCS #SIP #CSE #Canada #Ransomware #Phishing #JobScam #PeopleForce #UAT7810 #ORB #LapDogs #LONGLEASH #DOGLEASH #JARLEASH #Ruckus #ASUS #AWS #Cedar #OAuth #OWASP #CVE-2026-12184 #CVE-2026-14355 #CVE-2020-22653 #CVE-2020-22658 #CVE-2023-25717 #CVE-2025-2492 #RadioCSIRT

    12 min
  4. Ep.688 - RadioCSIRT Flash info cybersécurité du lundi 6 juillet 2026

    -3 j

    Ep.688 - RadioCSIRT Flash info cybersécurité du lundi 6 juillet 2026

    🕵️ Check Point Research documente Cavern, framework C2 modulaire opéré par le groupe iranien Cavern Manticore, avec liens vers MuddyWater et Lyceum, contre fournisseurs IT et entités gouvernementales israéliennes. Chaîne via abus de la mise à jour SysAid, DLL side-loading vers uxtheme.dll trojanisée, cinq modules DLL couvrant fichiers, SQL, Active Directory, réseau et tunneling SOCKS5. Trois formats de compilation .NET dont Native AOT comme couche anti-analyse. 🖥️ Vulnérabilité use-after-free CVE-2026-53359, baptisée Januscape, dans le shadow MMU de KVM, permettant une évasion guest-to-host sur Intel et AMD. PoC public provoquant un panic de l'hôte, exploit privé menant à l'exécution de code. Passée inaperçue seize ans, corrigée le 19 juin, versions stables publiées le 4 juillet. Contournement : désactiver la virtualisation imbriquée. 🇯🇵 La police de Tokyo arrête un lycéen de 15 ans ayant exploité une faille des serveurs de Bandai Channel pour annuler plus de 46 000 abonnements. Il aurait analysé le trafic réseau puis automatisé l'attaque avec ChatGPT. Données frauduleuses envoyées en novembre 2025, service suspendu plus d'un mois. Persistance par changement d'adresse IP après blocage. 🔐 L'ANSSI cessera de certifier les produits de sécurité sans chiffrement résistant au quantique dès 2027, avec un objectif d'achats exclusivement quantum-safe d'ici 2030. Mesure motivée par le risque harvest now, decrypt later. Certification requise pour agences et infrastructures critiques françaises. Plan quantique national de trois milliards d'euros ; menace située au milieu des années 2030. 🛠️ Flipper Devices maintiendra le firmware du Flipper Zero avec une équipe réduite et davantage de contributions communautaires, le développement de fonctionnalités à temps plein étant terminé. Recentrage sur Flipper One et Busy Bar. Nouvelle approche : demandes évaluées chaque semaine, communication via GitHub Discussions avec votes, pull requests sous revue stricte, tests obligatoires. Vigilance sur le code généré par IA. 📱 Qualcomm publie son bulletin de sécurité de juillet 2026. Faille critique CVE-2026-25268 : stack-based buffer overflow dans WLAN Host, CVSS 8,8, vecteur distant. Trois failles élevées : CVE-2026-21379 (buffer over-read, Windows Compute), CVE-2026-21383 (réutilisation de nonce AES-GCM, HLOS), CVE-2026-25271 (race condition TOCTOU, DSP Service). Correctifs partagés avec les OEM. Sources : Iran-Linked Hackers Use New Cavern C2 Framework to Target Israeli Organizations : The Hacker News : https://thehackernews.com/2026/07/iran-linked-hackers-use-new-cavern-c2.html16-Year-Old Linux KVM Flaw Lets Guest VMs Escape to Host on Intel and AMD x86 Systems : The Hacker News : https://thehackernews.com/2026/07/16-year-old-linux-kvm-flaw-lets-guest.htmlJapanese teen arrested over cyberattack that disrupted anime streaming service : The Record : https://therecord.media/japanese-teen-arrested-over-attack-disrupted-streaming-serviceFrance to stop certifying non-quantum-safe encryption : Schneier on Security : https://www.schneier.com/blog/archives/2026/07/france-to-stop-certifying-non-quantum-safe-encryption.htmlFrance to stop certifying products without quantum-safe encryption : Reuters : https://www.reuters.com/legal/litigation/france-stop-certifying-products-without-quantum-safe-encryption-2026-06-16/Flipper Zero firmware development continues with community help : BleepingComputer : https://www.bleepingcomputer.com/news/security/flipper-zero-firmware-development-continues-with-community-help/July 2026 Security Bulletin : Qualcomm : https://docs.qualcomm.com/securitybulletin/july-2026-bulletin.html⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Iran #CavernManticore #MuddyWater #OilRig #KVM #Linux #Januscape #Hyperviseur #Qualcomm #Snapdragon #ANSSI #QuantumSafe #PQC #FlipperZero #ChatGPT #BandaiChannel #CVE-2026-53359 #CVE-2026-25268 #RadioCSIRT

    10 min
  5. Ep.687 - RadioCSIRT Flash info cybersécurité du dimanche 5 juillet 2026

    -5 j

    Ep.687 - RadioCSIRT Flash info cybersécurité du dimanche 5 juillet 2026

    🐧 Seconde vague d'attaques contre le dépôt AUR d'Arch Linux, quelques heures après la clôture d'un incident ayant conduit au retrait de plus de 1 500 paquets malveillants. La nouvelle campagne utilise du code obfusqué exécuté après installation, qui télécharge silencieusement du JavaScript depuis Internet. Plus de 50 paquets infectés recensés, créations de comptes AUR temporairement bloquées. 🖥️ Le projet NsCDE, environnement de bureau rétro reproduisant le Common Desktop Environment des UNIX des années 90 sur base FVWM, annonce le retour de son développement actif à l'automne après trois ans de pause. Au programme : reprise des thèmes Firefox et Thunderbird devenus incompatibles et corrections diverses. Dernière version publiée : 2.3, juin 2023. 🐛 Vulnérabilité critique CVE-2026-59509 dans cve-search, outil open source utilisé par les CERT et CSIRT. Le point de terminaison POST /fetch_cve_data permet à un attaquant distant non authentifié de lire des collections MongoDB arbitraires, dont la collection mgmt_users contenant identifiants administrateurs et empreintes de mots de passe. Score CVSS 4.0 de 9,2. Correctif proposé via pull request sur GitHub. 🔓 The Register publie une tribune sur les banques laissant le MFA optionnel, à travers le récit d'un vol de 30 000 dollars subi par une cliente de 84 ans. Réutilisation de mots de passe, compromission de Gmail avec filtres masquant les alertes bancaires : le FIDO Alliance plaide pour les passkeys résistantes au phishing face aux OTP jugés inadéquats. 🎣 Securelist documente Armored Likho, groupe APT inédit ciblant gouvernements et secteur électrique en Russie, au Brésil et au Kazakhstan. Spear-Phishing avec droppers NSIS et fichiers LNK piégés, déploiement de l'infostealer Python BusySnake protégé par PyArmor, persistance par tâches planifiées et loaders de premier étage générés par IA. Sources :  AUR to Arch: 'Houston, We've Got a Problem…We're Under Attack Again' : FOSS Force : https://fossforce.com/2026/06/aur-to-arch-houston-weve-got-a-problem-were-under-attack-again/ Not so Common Desktop Environment (NsCDE) : GitHub : https://github.com/NsCDE/NsCDE CVE-2026-59509 : Unauthenticated arbitrary MongoDB collection read in cve-search : CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-59509 MFA-optional banks leave safe doors (and accounts) wide open for thieves to pillage : The Register : https://www.theregister.com/security/2026/07/05/mfa-optional-banks-leave-safe-doors-and-accounts-wide-open-for-thieves-to-pillage/5266161 Armored Likho APT Deploys BusySnake Stealer Against Government and Power Sector Targets : GBHackers : https://gbhackers.com/busysnake-stealer-malware/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #ArchLinux #AUR #NsCDE #FVWM #CVESearch #MongoDB #MFA #Passkeys #FIDO #ArmoredLikho #BusySnake #Infostealer #Phishing #APT #Securelist #CVE-2026-59509 #RadioCSIRT

    11 min
  6. Ep.686 - RadioCSIRT : Flash info cybersécurité du samedi 4 juillet 2026

    -5 j

    Ep.686 - RadioCSIRT : Flash info cybersécurité du samedi 4 juillet 2026

    🛡️ Le Centre canadien pour la cybersécurité publie le bulletin AV26-649 relayant les correctifs WatchGuard du 2 juillet. Plusieurs branches de Fireware OS sont concernées, ainsi que le client Mobile VPN with SSL pour Windows. Les avis couvrent une Race Condition avec Use-After-Free dans Mobile VPN with IKEv2 et une élévation de privilèges locale dans le client SSL Windows. 🔓 Cisco Talos dissèque ARToken, un panneau d'affiliation Phishing-as-a-Service lié à EvilTokens et ciblant Microsoft 365. Plus de 80 points d'API couvrent le Device Code Phishing, la persistance par Primary Refresh Token résistante aux changements de mot de passe et les opérations BEC. Le kit embarque un système anti-analyse en sept couches et des charges chiffrées en XOR. 🎣 Malwarebytes documente une publicité sponsorisée sur X, publiée depuis un compte vérifié, qui imite l'utilitaire macOS DynamicLake pour installer Atomic Stealer via des commandes Terminal. La technique ConsentFix vole en parallèle des jetons de session Microsoft 365 sans malware ni mot de passe, en contournant la MFA par un simple glisser de lien localhost. 🤖 Unit 42 décrit le phantom squatting, l'enregistrement préventif de domaines hallucinés par les LLM. Sur 2,1 millions d'URL générées pour 913 marques, 13 229 étaient déjà malveillantes et 250 000 domaines restent enregistrables par des attaquants. Le cas Montana Empire montre un kit de Phishing développé avec un assistant IA sur un domaine prédit 23 jours avant son enregistrement. 🕵️ WatchGuard analyse une campagne TimbreStealer visant des entreprises mexicaines par DLL side-loading des binaires EdgeUpdate et GoogleUpdater. Les DLL malveillantes de 45 à 50 Mo utilisent des déchiffreurs RC4, un géorepérage UTC-5 à UTC-8 et exfiltrent les données de navigateurs, messageries et dossiers cloud. 💰 Security Affairs relaie le rapport Ransom-ISAC sur une entité gouvernementale américaine ayant versé environ 1 million de dollars en Bitcoin au groupe Kairos, sans qu'aucun Ransomware n'ait jamais été relié au groupe. Extorsion fondée uniquement sur le vol de 2 To de données, preuve de suppression invérifiable et traçage blockchain vers ByBit, OKX et BELQI. 🇰🇵 The Hacker News détaille la campagne nord-coréenne PolinRider, liée à Contagious Interview : 108 paquets et extensions malveillants sur npm, Packagist, Go et Chrome, 1 951 dépôts GitHub compromis, tâches VS Code à exécution automatique, réécriture d'historique Git et charges finales DEV#POPPER RAT et OmniStealer via des infrastructures blockchain. Sources :  Bulletin de sécurité WatchGuard (AV26-649) : Centre canadien pour la cybersécurité : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-watchguard-av26-649 ARToken: Inside an EvilTokens affiliate panel targeting Microsoft 365 : Cisco Talos : https://blog.talosintelligence.com/artoken-inside-an-eviltokens-affiliate-panel-targeting-microsoft-365/Verified X ad spreads Mac malware, while ConsentFix steals Microsoft accounts : Malwarebytes : https://www.malwarebytes.com/blog/news/2026/07/verified-x-ad-spreads-mac-malware-while-consentfix-steals-microsoft-accountsPhantom Squatting: AI-Hallucinated Domains as a Software Supply Chain Vector : Palo Alto Networks Unit 42 : https://unit42.paloaltonetworks.com/phantom-squatting-hallucinated-web-domains/Hackers Abuse EdgeUpdate and GoogleUpdater to Deploy TimbreStealer Infostealer : Cyber Press : https://cyberpress.org/timbrestealer-infostealer-attack/U.S. Government Agency Paid $1M to Data Extortion Group Kairos : Security Affairs : https://securityaffairs.com/194750/security/u-s-government-agency-paid-1m-to-data-extortion-group-kairos.htmlNorth Korean Hackers Publish 108 Malicious Packages and Extensions in PolinRider Campaign : The Hacker News : https://thehackernews.com/2026/07/north-korean-hackers-publish-108.html⚡️ On ne réfléchit pas, on patch !  📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #WatchGuard #Fireware #PhaaS #EvilTokens #ARToken #Microsoft365 #ClickFix #ConsentFix #macOS #AtomicStealer #PhantomSquatting #LLM #SupplyChain #TimbreStealer #Infostealer #Kairos #Extortion #ContagiousInterview #PolinRider #npm #BeaverTail #RadioCSIRT

    15 min
  7. Ep.685 : RadioCSIRT Édition Française : Flash info cybersécurité du vendredi 3 juillet 2026

    -6 j

    Ep.685 : RadioCSIRT Édition Française : Flash info cybersécurité du vendredi 3 juillet 2026

    🇫🇷 Le CERT-FR publie un avis sur une vulnérabilité dans FreeBSD affectant les séries 14.x et 15.0 avec risque d'atteinte à la confidentialité. La CVE-2026-49424 nécessite application des correctifs depuis le bulletin FreeBSD-SA-26:47. 💰 Un développeur accuse Google Cloud d'avoir facturé onze mille dollars de frais frauduleux liés à Gemini après compromission de Firebase Admin SDK, malgré suspension de compte et preuves de piratage. 🕸️ Google et le FBI ont dégradé le botnet NetNut comptant environ deux millions d'appareils proxies résidentiels utilisés par trois cents clusters menaçants distincts durant une seule semaine en juin 2026. 🚨 Citizen Lab révèle qu'un ancien député européen enquêteur sur Pegasus a été hacké avec l'espion NSO Group via zero-click exploit PWNYOURHOME alors qu'il siégeait au comité PEGA entre 2022 et 2023. 🤖 Anthropic précise que Claude Fable 5 sera temporairement restreint aux subscriptions au-delà du 7 juillet pour raisons de capacité, mais promet un retour complet sous forme standard quand les capacités le permettront. Sources : Vulnérabilité dans FreeBSD : CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0830/Dev says Google warned him about account hijack then charged him eleven thousand anyway : The Register : https://www.theregister.com/cyber-crime/2026/07/03/dev-says-google-warned-him-about-account-hijack-then-charged-him-11000-anyway/5266234NetNut cracked as Google and FBI target two million device botnet : The Register : https://www.theregister.com/security/2026/07/03/netnut-cracked-as-google-and-fbi-target-2-million-device-botnet/5266414European Parliament Member Investigating Spyware Was Hacked With Pegasus : The Hacker News : https://thehackernews.com/2026/07/european-parliament-member.htmlClaude Fable 5 isn't permanently leaving subscriptions : BleepingComputer : https://www.bleepingcomputer.com/news/artificial-intelligence/claude-fable-5-isnt-permanently-leaving-subscriptions-anthropic-says/⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #FreeBSD #CVE-2026-49424 #GoogleCloud #Gemini #NetNut #FBI #Botnet #Pegasus #NSOGroup #CitizenLab #PEGA #Anthropic #Claude #Fable #RadioCSIRT

    10 min
  8. Ep.684 - RadioCSIRT - Flash info cybersécurité du jeudi 2 juillet 2026

    2 juil.

    Ep.684 - RadioCSIRT - Flash info cybersécurité du jeudi 2 juillet 2026

    🐧 Anthropic publie une version bêta officielle de Claude Desktop pour Linux, prenant en charge Ubuntu 22.04 et supérieur et Debian 12 et supérieur, sur x86_64 et arm64. Installation par dépôt apt ou fichier .deb, avec les environnements Chat, Claude Cowork et Claude Code. La fonction Computer Use, la saisie vocale et les raccourcis Wayland restent exclus de cette préversion. 📱 Clubic rapporte une faille non corrigée dans la fonction Masquer mon e-mail d'Apple. Selon le chercheur Tyler Murphy, une rétro-ingénierie permet de remonter d'une adresse relais au compte Apple d'origine, avec un taux de réussite de cent pour cent selon 404 Media. Signalée en juin 2025, la faille persiste, tandis qu'Apple migre les alias vers @private.icloud.com. 🎣 The Hacker News détaille ChocoPoC, un RAT documenté par YesWeHack et Sekoia. Il se cache dans une dépendance Python (frint puis skytext) de faux dépôts de PoC sur GitHub ciblant les chercheurs. Il vole identifiants, cookies et fichiers, et pilote son C2 via Mapbox, DNS-over-HTTPS et domain fronting. Sept faux dépôts identifiés, liés à une campagne active depuis fin 2025. 🚨 Security Affairs signale l'exploitation active de CVE-2026-46817 dans Oracle E-Business Suite. La faille touche Oracle Payments 12.2.3 à 12.2.15 et permet une prise de contrôle non authentifiée via HTTP. Oracle a corrigé lors de son dernier Critical Patch Update. Shadowserver dénombre environ 950 instances encore exposées, majoritairement aux États-Unis. 🕵️ Schneier on Security décrit une campagne publicitaire fondée sur la surveillance, menée par Papa John's avec NBCUniversal, Instacart et Carat. En s'appuyant sur les achats de produits de base réalisés sur Instacart, l'opération prédit les jours où les consommateurs sont à court de provisions pour diffuser des publicités ciblées sur le streaming NBCUniversal. 🛡️ BleepingComputer relie la campagne FortiBleed aux rançongiciels INC et Lynx. Selon SOCRadar, un outil FortiGate Sniffer interceptait les identifiants VPN sur les pare-feu compromis. La campagne aurait visé plus de 430 000 pare-feu FortiGate et déployé des sniffers sur environ 19 000 équipements. Un Zero-Day Nextcloud non divulgué et des comptes backdoor adminin sont évoqués. 🐛 Check Point Research documente une technique de Ransomware exécutée uniquement dans le navigateur, dérivée d'un échantillon attribué à DeepSeek. Elle exploite la File System Access API des navigateurs Chromium, disponible sous Android depuis Chrome 132, sans payload natif ni exploitation de vulnérabilité. Le PoC, déguisé en outil d'amélioration d'images, cible les répertoires de photos. Sources :  Anthropic déploie l'application Claude Desktop sur Linux : GoodTech : https://goodtech.info/claude-desktop-linux-beta-anthropic-developpeurs/Masquer mon e-mail : la faille d'Apple qui révèle vos vraies adresses : Clubic : https://www.clubic.com/actualite-619570-masquer-mon-e-mail-la-faille-d-apple-qui-revele-vos-vraies-adresses-depuis-plus-d-un-an.htm l New ChocoPoC RAT Targets Vulnerability Researchers via Fake PoC Exploit Repos : The Hacker News : https://thehackernews.com/2026/07/new-chocopoc-rat-targets-vulnerability.htmlOracle E-Business Suite Flaw Under Active Attack, 950 Systems Exposed : Security Affairs : https://securityaffairs.com/194599/security/oracle-e-business-suite-flaw-under-active-attack-950-systems-exposed.htmlPapa Johns Surveillance-Based Advertising : Schneier on Security : https://www.schneier.com/blog/archives/2026/07/papa-johns-surveillance-based-advertising.htmlFortiBleed credential-theft campaign linked to Lynx ransomware : BleepingComputer : https://www.bleepingcomputer.com/news/security/fortibleed-credential-theft-campaign-linked-to-lynx-ransomware/Browser-Only Ransomware: From LLM Hallucinations to a Practical Attack Technique : Check Point Research : https://research.checkpoint.com/2026/browser-only-ransomware-from-llm-hallucinations-to-a-practical-attack-technique/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Anthropic #Claude #Linux #Ubuntu #Debian #Apple #HideMyEmail #ChocoPoC #RAT #SupplyChain #YesWeHack #Sekoia #GitHub #PyPI #Oracle #EBusinessSuite #Shadowserver #Privacy #Surveillance #Instacart #FortiBleed #Fortinet #FortiGate #INCRansom #Lynx #Ransomware #Nextcloud #ZeroDay #CheckPoint #DeepSeek #Chromium #FileSystemAccessAPI #CVE-2026-46817 #RadioCSIRT

    13 min

À propos

🎙 Marc Frédéric Gomez, expert en cybersécurité, vous livre chaque jour l’essentiel des menaces, attaques et stratégies de défense à connaître. 🔎 Au programme :✔️ Décryptage des cyberattaques et vulnérabilités critiques✔️ Veille stratégique pour les CSIRT, CERT et pros de la cybersécurité✔️ Sources et références pour approfondir chaque sujet 💡 Pourquoi écouter RadioCSIRT ?🚀 Restez à jour en quelques minutes par jour🛡️ Anticipez les menaces avec des infos fiables et techniques📢 Une veille indispensable pour les pros de l’IT et de la sécurité 🔗 Écoutez, partagez et sécurisez votre environnement !📲 Abonnez-vous et laissez une note ⭐ sur votre plateforme préférée !

Vous aimeriez peut‑être aussi