La CISA ajoute le 30 mars 2026 la CVE-2026-3055 à son catalogue Known Exploited Vulnerabilities. La faille, de type Out-of-Bounds Read, affecte Citrix NetScaler et fait l'objet d'une exploitation active confirmée. Les agences fédérales civiles américaines sont soumises à une obligation de remédiation dans les délais fixés par la Binding Operational Directive 22-01.

Selon ANY.RUN, une campagne Magecart active depuis au moins vingt-quatre mois cible des sites e-commerce WooCommerce, avec une concentration notable en Espagne, en France et aux États-Unis. Les attaquants déploient un framework de checkout hijacking en plusieurs étapes : un Loader JavaScript obfusqué injecté dans le site compromis charge dynamiquement un payload principal via une infrastructure de plus de cent domaines avec mécanisme de fallback. L'exfiltration des données de carte — numéro complet, date d'expiration, CVV — s'effectue via WebSocket vers un serveur C2 déguisé en domaine Redsys, contournant les outils de surveillance HTTP traditionnels. Le même payload distribue également un APK Android malveillant via ingénierie sociale.

Selon Synthient Research, le botnet proxy Socks5Systemz, actif depuis 2013 et précédemment commercialisé sous la bannière PROXY[.]AM, opère désormais sous le nom ProxyBox après le sinkholing de son infrastructure en 2024. Le service maintient entre 32 000 et 35 000 adresses IP actives quotidiennement, concentrées en Russie, au Brésil et en Inde. La chaîne d'infection repose sur des sites de logiciels piratés distribuant un Loader en plusieurs étapes : auto-écrasement en mémoire, extraction d'une DLL chiffrée en RC4 depuis la section ressource, et persistance via service Windows ou clé de registre. La communication C2 utilise un User-Agent MSIE 9.0 falsifié et alterne HTTPS et HTTP avec mécanisme de fallback.

Sources :

• https://www.cisa.gov/news-events/alerts/2026/03/30/cisa-adds-one-known-exploited-vulnerability-catalog
• https://any.run/cybersecurity-blog/banks-magecart-campaign/
• https://synthient.com/blog/proxybox-socks5systemz-lives-on

⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

Les systèmes d'IA agentique introduisent une surface d'attaque émergente dans les environnements financiers — selon AWS, les vecteurs identifiés incluent le privilege escalation via des agents mal scopés, la manipulation de contexte dans les workflows multi-agents et le behavior drift silencieux, dans un contexte réglementaire SR 11-7, SS1/23 et BCE imposant désormais une traçabilité complète des décisions automatisées.

Elastic Security Labs publie une analyse technique du rootkit Linux VoidLink, attribué à un acteur sinophone — architecture hybride LKM-eBPF, quatre générations de développement itératif assisté par LLM, canal C2 covert en ICMP avec rotation de clé à la volée et masquage des connexions réseau via manipulation des buffers Netlink par bpf_probe_write_user.

Selon Group-IB, des acteurs cybercriminels exploitent des cloud phones — dispositifs Android virtuels hébergés en datacenter — pour neutraliser les mécanismes de device fingerprinting des applications bancaires mobiles, en combinant social engineering, pré-chauffe comportementale et Authorized Push Payment fraud vers des comptes mules, pour un coût d'infrastructure inférieur à 0,50 dollar par heure.

Le ministère de la Défense letton documente une campagne de désinformation russe coordonnée ciblant les trois États baltes, amplifiée par des bots ciblant les audiences russophones et les jeunes utilisateurs, avec pour objectifs le discrédit de l'OTAN et l'érosion de la confiance institutionnelle.

La Commission européenne enquête sur une compromission de son infrastructure cloud Amazon — un acteur malveillant revendique l'exfiltration de 350 Go de données incluant bases de données et accès à un serveur mail, et annonce une publication ultérieure sans intention d'extorsion, deux mois après une première brèche liée à des vulnérabilités Ivanti EPMM.

Selon Rapid7 Labs, le groupe APT Red Menshen, lié à la Chine, déploie des implants BPFDoor évolutifs dans des réseaux télécoms au Moyen-Orient et en Asie — les variants récents dissimulent les magic packets dans du trafic HTTPS légitime, intègrent un chiffrement RC4-MD5 et inspectent le trafic SCTP pour accéder aux systèmes de signalisation SS7 et Diameter.

Sources :

• https://aws.amazon.com/fr/blogs/security/preparing-for-agentic-ai-a-financial-services-approach/
• https://www.elastic.co/security-labs/illuminating-voidlink
• https://www.malwarebytes.com/blog/news/2026/03/criminals-are-renting-virtual-phones-to-bypass-bank-security
• https://therecord.media/latvia-accuses-russia-of-disinformation-campaign-ukraine-war
• https://www.bleepingcomputer.com/news/security/european-commission-investigating-breach-after-amazon-cloud-hack/
• https://securityaffairs.com/190029/malware/china-linked-red-menshen-apt-deploys-stealthy-bpfdoor-implants-in-telecom-networks.html

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

La CISA ajoute la CVE-2026-33017 à son catalogue KEV — une vulnérabilité de type Code Injection affectant Langflow, plateforme open source de création de workflows IA, dont l'exploitation active dans la nature est confirmée et qui constitue un vecteur d'intrusion à portée étendue au-delà du périmètre fédéral américain.

Le CERT-FR publie un avis sur quatre vulnérabilités affectant ISC BIND — CVE-2026-1519, CVE-2026-3104, CVE-2026-3119 et CVE-2026-3591 — exposant les branches 9.18.x, 9.20.x et 9.21.x à des dénis de service à distance, des atteintes à la confidentialité et des contournements de politique de sécurité sur des infrastructures DNS critiques.

L'extinction progressive du réseau 2G en France, initiée par Orange dès le 31 mars 2026, soulève une problématique de continuité opérationnelle pour les équipements IoT industriels, systèmes d'alarme, terminaux M2M et dispositifs SCADA encore dépendants de cette technologie, dont la déconnexion non anticipée crée une surface d'exposition opérationnelle.

Le propriétaire présumé de LeakBase est arrêté en Russie dans la région de Rostov, dans le prolongement de l'opération internationale « Operation Leak » coordonnée par Europol et le FBI en mars 2026 — la saisie du domaine et l'exploitation de la base de données du forum, incluant logs IP et messages privés, alimentent les procédures judiciaires en cours dans quinze pays.

Sources :

• https://www.cisa.gov/news-events/alerts/2026/03/25/cisa-adds-one-known-exploited-vulnerability-catalog
• https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0360/
• https://www.clubic.com/actualite-606448-orange-commence-l-arret-du-reseau-2g-a-partir-de-ce-coin-de-la-france.html
• https://www.bleepingcomputer.com/news/security/russia-arrests-suspected-owner-and-admin-of-leakbase-cybercrime-forum/

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Le ressortissant russe Aleksei Volkov, Initial Access Broker de 26 ans, est condamné à 81 mois de prison aux États-Unis après avoir revendu des accès à au moins sept organisations américaines sur des forums criminels — dont au groupe Yanluowang — en touchant jusqu'à 20 % des rançons versées, pour 9 millions de dollars de pertes réelles documentées.

Spamhaus recense plus de 21 000 serveurs C2 Mirai actifs au second semestre 2025, avec une croissance de 50 % sur l'année — la famille Aisuru-Kimwolf est liée à une attaque DDoS record à 31,4 Tbps et exploite des proxies résidentiels via IPIDEA pour infecter smart TVs et mobiles Android à des fins de credential stuffing et de fraude.

La FCC intègre l'ensemble des routeurs grand public fabriqués à l'étranger à sa Covered List, les soumettant à une interdiction d'importation et de commercialisation sur le territoire américain — les campagnes Volt Typhoon, Flax Typhoon et Salt Typhoon sont explicitement citées comme cas documentés d'exploitation de ces équipements à des fins d'espionnage.

TP-Link publie des correctifs pour sa gamme Archer NX — CVE-2025-15517 (CVSS 8.6) permet à un attaquant non authentifié d'uploader un firmware ou de modifier la configuration via des endpoints CGI exposés ; CVE-2025-15605 documente la présence d'une clé cryptographique codée en dur permettant le déchiffrement et la modification des fichiers de configuration.

Kali Linux 2026.1 est disponible avec un kernel 6.18 et huit nouveaux outils dont AdaptixC2, MetasploitMCP, SSTImap et XSStrike — Kali NetHunter reçoit un premier patch d'injection sans fil pour chipsets Qualcomm QCACLD 3.0 ; l'écosystème GNU Radio est actuellement défaillant dans cette version.

La NSA, le Centre canadien pour la cybersécurité, l'ACSC australienne et le NCSC néo-zélandais publient un guide conjoint sur la cybersécurité des systèmes LEO SATCOM, structuré autour de quatre segments de risque — spatial, terrestre, utilisateur final et liaisons RF — et identifiant le brouillage, le spoofing et l'interception comme vecteurs principaux sur des constellations dont la surface d'attaque croît avec le nombre de satellites déployés.

Sources :

• https://www.theregister.com/2026/03/24/russian_iab_sentenced/
• https://gbhackers.com/mirai-botnets/
• https://securityaffairs.com/189959/security/fcc-targets-foreign-router-imports-amid-rising-cybersecurity-concerns.html
• https://www.bleepingcomputer.com/news/security/tp-link-warns-users-to-patch-critical-router-auth-bypass-flaw/
• https://www.bleepingcomputer.com/news/linux/kali-linux-20261-released-with-8-new-tools-new-backtrack-mode/
• https://www.cyber.gc.ca/fr/nouvelles-evenements/guide-conjoint-securite-spatiale-cybersecurite-telecommunications-satellite-orbite-terrestre-basse

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com