Les systèmes d'IA agentique introduisent une surface d'attaque émergente dans les environnements financiers — selon AWS, les vecteurs identifiés incluent le privilege escalation via des agents mal scopés, la manipulation de contexte dans les workflows multi-agents et le behavior drift silencieux, dans un contexte réglementaire SR 11-7, SS1/23 et BCE imposant désormais une traçabilité complète des décisions automatisées.

Elastic Security Labs publie une analyse technique du rootkit Linux VoidLink, attribué à un acteur sinophone — architecture hybride LKM-eBPF, quatre générations de développement itératif assisté par LLM, canal C2 covert en ICMP avec rotation de clé à la volée et masquage des connexions réseau via manipulation des buffers Netlink par bpf_probe_write_user.

Selon Group-IB, des acteurs cybercriminels exploitent des cloud phones — dispositifs Android virtuels hébergés en datacenter — pour neutraliser les mécanismes de device fingerprinting des applications bancaires mobiles, en combinant social engineering, pré-chauffe comportementale et Authorized Push Payment fraud vers des comptes mules, pour un coût d'infrastructure inférieur à 0,50 dollar par heure.

Le ministère de la Défense letton documente une campagne de désinformation russe coordonnée ciblant les trois États baltes, amplifiée par des bots ciblant les audiences russophones et les jeunes utilisateurs, avec pour objectifs le discrédit de l'OTAN et l'érosion de la confiance institutionnelle.

La Commission européenne enquête sur une compromission de son infrastructure cloud Amazon — un acteur malveillant revendique l'exfiltration de 350 Go de données incluant bases de données et accès à un serveur mail, et annonce une publication ultérieure sans intention d'extorsion, deux mois après une première brèche liée à des vulnérabilités Ivanti EPMM.

Selon Rapid7 Labs, le groupe APT Red Menshen, lié à la Chine, déploie des implants BPFDoor évolutifs dans des réseaux télécoms au Moyen-Orient et en Asie — les variants récents dissimulent les magic packets dans du trafic HTTPS légitime, intègrent un chiffrement RC4-MD5 et inspectent le trafic SCTP pour accéder aux systèmes de signalisation SS7 et Diameter.

Sources :

• https://aws.amazon.com/fr/blogs/security/preparing-for-agentic-ai-a-financial-services-approach/
• https://www.elastic.co/security-labs/illuminating-voidlink
• https://www.malwarebytes.com/blog/news/2026/03/criminals-are-renting-virtual-phones-to-bypass-bank-security
• https://therecord.media/latvia-accuses-russia-of-disinformation-campaign-ukraine-war
• https://www.bleepingcomputer.com/news/security/european-commission-investigating-breach-after-amazon-cloud-hack/
• https://securityaffairs.com/190029/malware/china-linked-red-menshen-apt-deploys-stealthy-bpfdoor-implants-in-telecom-networks.html

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

La CISA ajoute la CVE-2026-33017 à son catalogue KEV — une vulnérabilité de type Code Injection affectant Langflow, plateforme open source de création de workflows IA, dont l'exploitation active dans la nature est confirmée et qui constitue un vecteur d'intrusion à portée étendue au-delà du périmètre fédéral américain.

Le CERT-FR publie un avis sur quatre vulnérabilités affectant ISC BIND — CVE-2026-1519, CVE-2026-3104, CVE-2026-3119 et CVE-2026-3591 — exposant les branches 9.18.x, 9.20.x et 9.21.x à des dénis de service à distance, des atteintes à la confidentialité et des contournements de politique de sécurité sur des infrastructures DNS critiques.

L'extinction progressive du réseau 2G en France, initiée par Orange dès le 31 mars 2026, soulève une problématique de continuité opérationnelle pour les équipements IoT industriels, systèmes d'alarme, terminaux M2M et dispositifs SCADA encore dépendants de cette technologie, dont la déconnexion non anticipée crée une surface d'exposition opérationnelle.

Le propriétaire présumé de LeakBase est arrêté en Russie dans la région de Rostov, dans le prolongement de l'opération internationale « Operation Leak » coordonnée par Europol et le FBI en mars 2026 — la saisie du domaine et l'exploitation de la base de données du forum, incluant logs IP et messages privés, alimentent les procédures judiciaires en cours dans quinze pays.

Sources :

• https://www.cisa.gov/news-events/alerts/2026/03/25/cisa-adds-one-known-exploited-vulnerability-catalog
• https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0360/
• https://www.clubic.com/actualite-606448-orange-commence-l-arret-du-reseau-2g-a-partir-de-ce-coin-de-la-france.html
• https://www.bleepingcomputer.com/news/security/russia-arrests-suspected-owner-and-admin-of-leakbase-cybercrime-forum/

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Le ressortissant russe Aleksei Volkov, Initial Access Broker de 26 ans, est condamné à 81 mois de prison aux États-Unis après avoir revendu des accès à au moins sept organisations américaines sur des forums criminels — dont au groupe Yanluowang — en touchant jusqu'à 20 % des rançons versées, pour 9 millions de dollars de pertes réelles documentées.

Spamhaus recense plus de 21 000 serveurs C2 Mirai actifs au second semestre 2025, avec une croissance de 50 % sur l'année — la famille Aisuru-Kimwolf est liée à une attaque DDoS record à 31,4 Tbps et exploite des proxies résidentiels via IPIDEA pour infecter smart TVs et mobiles Android à des fins de credential stuffing et de fraude.

La FCC intègre l'ensemble des routeurs grand public fabriqués à l'étranger à sa Covered List, les soumettant à une interdiction d'importation et de commercialisation sur le territoire américain — les campagnes Volt Typhoon, Flax Typhoon et Salt Typhoon sont explicitement citées comme cas documentés d'exploitation de ces équipements à des fins d'espionnage.

TP-Link publie des correctifs pour sa gamme Archer NX — CVE-2025-15517 (CVSS 8.6) permet à un attaquant non authentifié d'uploader un firmware ou de modifier la configuration via des endpoints CGI exposés ; CVE-2025-15605 documente la présence d'une clé cryptographique codée en dur permettant le déchiffrement et la modification des fichiers de configuration.

Kali Linux 2026.1 est disponible avec un kernel 6.18 et huit nouveaux outils dont AdaptixC2, MetasploitMCP, SSTImap et XSStrike — Kali NetHunter reçoit un premier patch d'injection sans fil pour chipsets Qualcomm QCACLD 3.0 ; l'écosystème GNU Radio est actuellement défaillant dans cette version.

La NSA, le Centre canadien pour la cybersécurité, l'ACSC australienne et le NCSC néo-zélandais publient un guide conjoint sur la cybersécurité des systèmes LEO SATCOM, structuré autour de quatre segments de risque — spatial, terrestre, utilisateur final et liaisons RF — et identifiant le brouillage, le spoofing et l'interception comme vecteurs principaux sur des constellations dont la surface d'attaque croît avec le nombre de satellites déployés.

Sources :

• https://www.theregister.com/2026/03/24/russian_iab_sentenced/
• https://gbhackers.com/mirai-botnets/
• https://securityaffairs.com/189959/security/fcc-targets-foreign-router-imports-amid-rising-cybersecurity-concerns.html
• https://www.bleepingcomputer.com/news/security/tp-link-warns-users-to-patch-critical-router-auth-bypass-flaw/
• https://www.bleepingcomputer.com/news/linux/kali-linux-20261-released-with-8-new-tools-new-backtrack-mode/
• https://www.cyber.gc.ca/fr/nouvelles-evenements/guide-conjoint-securite-spatiale-cybersecurite-telecommunications-satellite-orbite-terrestre-basse

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Le groupe iranien Pay2Key cible une organisation de santé américaine fin février avec un ransomware amélioré, sans exfiltration de données, compromettant un compte administrateur plusieurs jours avant chiffrement et effaçant les journaux post-intrusion — pattern cohérent avec une opération à finalité stratégique conduite en parallèle des hostilités militaires avec les États-Unis.

Le CERT Esanté publie l'avis CVE-2026-30911 signalant une vulnérabilité Missing Authorization dans l'Execution API d'Apache Airflow sur les endpoints Human-in-the-Loop, permettant à tout utilisateur authentifié de lire, approuver ou rejeter des workflows d'autres instances sans vérification d'appartenance, affectant les versions 3.1.0 à 3.1.7, corrigée en 3.1.8.

Le SANS Internet Storm Center documente deux méthodes de détection des IP KVM sur Linux — analyse USB via lsusb et interrogation des données EDID transmises par HDMI — et souligne qu'aucune solution de protection endpoint ne vérifie actuellement les chaînes EDID, vecteur exploité notamment par des acteurs nord-coréens pour accès furtif à distance.

Microsoft résout un incident de synchronisation dans Classic Outlook affectant les comptes Gmail et Yahoo depuis le 26 février 2026, générant les codes d'erreur 0x800CCC0F et 0x80070057 sans prompt de reconnexion OAuth — deux incidents restent ouverts : erreurs EWS lors de création de groupes et disparition du curseur souris.

Le ministère néerlandais des Finances confirme une intrusion détectée le 19 mars 2026 ciblant des systèmes du département politique, sans impact sur l'administration fiscale ni les douanes — nombre d'employés concernés, données potentiellement exfiltrées et durée de présence des attaquants non communiqués, aucune revendication à ce stade.

Sources :

• https://therecord.media/iran-linked-ransomware-gang-targeted-us-healthcare-org
• https://cyberveille.esante.gouv.fr/alertes/apache-cve-2026-30911-2026-03-24
• https://isc.sans.edu/diary/rss/32824
• https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-bug-causing-outlook-sync-issues-for-gmail-users/
• https://www.bleepingcomputer.com/news/security/dutch-ministry-of-finance-discloses-breach-affecting-employees/

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Microsoft détecte une campagne de Phishing massive usurpant l'IRS ayant frappé 29 000 utilisateurs dans 10 000 organisations le 10 février 2026, distribuant via Amazon SES un ScreenConnect malveillant protégé par Cloudflare contre l'analyse automatisée.

Le groupe TeamPCP déploie CanisterWorm, un Wiper ciblant les systèmes configurés sur le fuseau horaire iranien, propagé via Docker APIs et clusters Kubernetes exposés, avec une infrastructure C2 basée sur des canisters ICP blockchain, après avoir compromis les scanners Trivy et KICS via des supply chain attacks sur GitHub Actions.

La Shadowserver Foundation identifie 511 000 instances Microsoft IIS en fin de vie exposées sur Internet, dont 227 000 en état End-of-Support complet sans aucun correctif disponible, majoritairement concentrées en Chine et aux États-Unis.

Le CERT-FR publie l'avis CERTFR-2026-AVI-0338 signalant la CVE-2026-32746, permettant une exécution de code arbitraire à distance sur plusieurs branches DSM de Synology, sans correctif disponible pour DSMUC 3.1.

Le CERT-FR publie l'avis CERTFR-2026-AVI-0337 concernant les CVE-2026-3055 et CVE-2026-4368 affectant NetScaler ADC et Gateway, permettant atteinte à la confidentialité et contournement de politique de sécurité.

Le CERT-FR publie l'avis CERTFR-2026-AVI-0336 signalant douze CVE dans les composants QNAP — QuFTP Service, QuNetSwitch, QuRouter et QVR Pro — couvrant exécution de code arbitraire à distance, déni de service et injections XSS.

Qualys révèle CrackArmor, neuf vulnérabilités dans le code AppArmor du noyau Linux permettant élévation de privilèges locale vers root et théoriquement une container escape dans les environnements conteneurisés, affectant toutes les versions Ubuntu supportées, avec correctifs disponibles pour le noyau, sudo et util-linux.

Sources :

• https://thehackernews.com/2026/03/microsoft-warns-irs-phishing-hits-29000.html
• https://krebsonsecurity.com/2026/03/canisterworm-springs-wiper-attack-targeting-iran/
• https://gbhackers.com/511000-end-of-life-iis-instances-found-online/
• https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0338/
• https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0337/
• https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0336/
• https://canonical.com/blog/apparmor-vulnerability-fixes-available

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

VoidStealer, infostealer distribué en Malware-as-a-Service depuis décembre 2025, contourne la protection Application-Bound Encryption de Chrome en exploitant des hardware breakpoints pour extraire la v20_master_key directement depuis la mémoire du navigateur, sans élévation de privilèges ni injection de code.

Proton Mail a transmis aux autorités suisses des métadonnées de facturation associées à un compte anonyme, relayées au FBI pour identifier un militant du mouvement Stop Cop City à Atlanta, illustrant les limites opérationnelles des services de messagerie chiffrée face aux réquisitions légales.

Une opération internationale coordonnée par Europol et Eurojust démantèle un service de proxy IP criminel actif dans 102 pays, ayant compromis 369 000 équipements via un malware installé sur des routeurs et modems, avec 24 serveurs neutralisés et 3,5 millions d'euros en cryptomonnaies saisis.

L'analyse forensique de deux téléphones saisis en Suède déclenche le démantèlement d'un réseau criminel international de trafic de stupéfiants et de blanchiment, aboutissant à 15 arrestations dans quatre pays et la saisie de 1,2 tonne de drogues synthétiques.

Une campagne active exploite Google Forms pour distribuer le RAT PureHVNC via des leurres professionnels diffusés sur LinkedIn, avec une chaîne d'infection en plusieurs étapes reposant sur le DLL hijacking, un shellcode Donut et l'injection dans SearchUI.exe.

Un ressortissant américain plaide coupable pour une fraude au streaming musical ayant détourné plus de 8 millions de dollars en royalties entre 2017 et 2024, via le déploiement de 10 000 comptes bot simultanés générant artificiellement des milliards de streams sur les principales plateformes.

Sources :

• https://www.bleepingcomputer.com/news/security/voidstealer-malware-steals-chrome-master-key-via-debugger-trick/
• https://www.schneier.com/blog/archives/2026/03/proton-mail-shared-user-information-with-the-police.html
• https://www.eurojust.europa.eu/news/servers-used-cybercrime-around-world-taken-down
• https://www.eurojust.europa.eu/news/seized-phones-small-swedish-town-expose-major-international-criminal-network
• https://www.malwarebytes.com/blog/threat-intel/2026/03/that-job-brief-on-google-forms-could-infect-your-device
• https://therecord.media/man-pleads-guilty-8-million-ai-music-scheme

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com