🎧 RadioCSIRT – La newsletter cyber hebdo du Podcast RadioCSRT
Bonjour
Cette semaine marque une étape clé dans la transformation de mon infrastructure technique. Je suis actuellement en pleine refonte complète de l’infrastructure de RadioCSIRT, avec une migration progressive vers OVH, en remplacement de mes systèmes personnels autohébergés.
💡 Pourquoi ce changement ?
Pour vous offrir, dès la fin août, plus de stabilité, plus de services, et une montée en puissance de la plateforme. Hébergement renforcé, sécurité accrue, performances optimisées : tout est mis en œuvre pour professionnaliser encore davantage votre podcast quotidien dédié à la cybersécurité.
🔧 La semaine a été particulièrement intense côté technique, mais cette transition est indispensable pour continuer à faire grandir RadioCSIRT dans les meilleures conditions.
🎉 Et en parlant de croissance… le 15 août marquera le tout premier anniversaire de RadioCSIRT !
À cette occasion, je vous prépare quelques surprises que je dévoilerai dans les prochains jours…
🙏 Merci pour votre fidélité, votre écoute et vos encouragements. Restez connectés, la suite arrive très vite !
Marc Frédéric GOMEZ
⚠️ Menace émergente : Reqwest, un code source de ransomware modulaire inédit
Un nouveau code source de ransomware écrit en Rust a récemment été mis en vente pour 30 000 dollars par un acteur se faisant appeler Reqwest. Ce kit complet, présenté comme une vente exclusive (une seule copie), propose une architecture hautement modulaire, capable de cibler des systèmes Windows, Unix, BSD et ESXi. Cette offre se démarque nettement des fuites habituelles de code ou des binaires partagés sur les forums cybercriminels.
🧩 Un projet abouti, conçu pour l’opérationnel
Contrairement aux outils bricolés ou partiellement fonctionnels souvent rencontrés sur les forums, le projet Reqwest se distingue par son maturité technique et sa richesse fonctionnelle. Il inclut :
- un encryptor, un decryptor, et un builder,
- un builder totalement offline, capable de générer une clé secrète par itération,
- une documentation complète,
- un support étendu pour les architectures et plateformes cibles, avec tests réels à l’appui.
Le chiffrement repose sur une combinaison robuste de curve25519, XChaCha20 et blake3, avec génération d’une clé par fichier, assurant un très haut niveau de sécurité.
🔐 Fonctionnalités techniques avancées
Les capacités de ce ransomware couvrent l’ensemble du cycle de chiffrement, avec notamment :
- gestion détaillée des chemins, extensions, noms de fichiers/dossiers à inclure ou exclure,
- élévation automatique des privilèges jusqu’au niveau SYSTEM sous Windows (via bypass UAC),
- suppression des Volume Shadow Copies, nettoyage de la corbeille, démontage/remontage de volumes,
- prise en charge des partages réseau,
- cryptage par chunk ou complet selon la taille des fichiers, pour un compromis performance/sécurité optimisé,
- journalisation précise sans données sensibles.
Les exécutables sont légers (environ 600 Ko) et disposent d’un très large panel d’options CLI, permettant une personnalisation fine de l’opération.
🛠️ Composants Unix et prise en charge ESXi
Pour les environnements Unix-like, une version unique (nix-build) gère l’exécution en tâche de fond, avec :
- suppression des snapshots des machines virtuelles ESXi,
- terminaison des VM en cours d’exécution,
- gestion des ressources réseaux,
- adaptation automatique selon les systèmes de fichiers et distributions supportées.
Les plateformes testées couvrent un large éventail :
- Windows Server (2008R2 à 2025),
- ESXi (versions 3.5 à 8.0),
- distributions BSD,
- architectures ARM, x86, aarch64, RISC-V, PowerPC, etc.
⚙️ Un arsenal redoutable pour un usage ciblé
Chaque binaire (encryptor, decryptor) possède sa propre interface CLI avec plusieurs dizaines d’options, notamment :
- définition de chemins prioritaires,
- filtrage dynamique,
- désactivation granulaire de modules (mutex, élévation, renommage, suppression de snapshots, etc.),
- contrôle du nombre de threads utilisés,
- configuration des délais d’exécution.
Le builder permet également de personnaliser les notes de rançon, les extensions de fichiers chiffrés, et d’intégrer des variables dynamiques.
🎯 Conclusion
Ce projet Reqwest illustre une tendance croissante à la professionnalisation des outils ransomware : modularité, qualité de code, prise en charge multi-plateforme et adaptabilité opérationnelle. Pour les équipes CTI, CERT et SOC, ce niveau de sophistication justifie une veille attentive, tant pour les indicateurs techniques que pour l’analyse comportementale et les chaînes d’exécution potentielles.
Source :
Tammy Harper, Senior Threat Intelligence Researcher @ Flare.io,
« Emerging Threat: Reqwest’s Unusually Modular Source Code », 30 juillet 2025.
🔎 À lire cette semaine sur LinkedIn
Je vous propose une nouvelle sélection de mes derniers articles publiés sur LinkedIn.
🔹 Synthèse des vulnérabilités CISA – semaine du 21 juillet
Un résumé technique des vulnérabilités critiques recensées par la CISA, accompagné de leur score CVSS, des vecteurs d’attaque, et des liens vers les bulletins de sécurité.
👉 Lire : https://www.linkedin.com/pulse/synth%C3%A8se-des-vuln%C3%A9rabilit%C3%A9s-cisa-semaine-du-21-juillet-gomez-6e5ne
📅 Podcast RadioCSIRT du Samedi 26 Juillet 2025 (Ep.367)
📌 Au programme aujourd’hui :
🦠 Chaos – Un nouveau ransomware émerge après le démantèlement de Blacksuit
La prise de contrôle de l’infrastructure de Blacksuit par les forces de l’ordre n’aura pas laissé un vide bien longtemps. Un groupe baptisé Chaos émerge, utilisant les artefacts techniques et la communication de Blacksuit, mais avec des tactiques plus agressives.
🔗 https://arstechnica.com/security/2025/07/after-blacksuit-is-taken-down-new-ransomware-group-chaos-emerges/
🇰🇵 Espionnage – Des hackers nord-coréens opéraient une ferme de laptops aux États-Unis
Le DOJ révèle que des agents nord-coréens géraient une ferme de freelancing frauduleuse depuis le domicile d’une Américaine en Arizona. Objectif : infiltrer des entreprises US via de fausses identités pour collecter des revenus, voler du code, et compromettre des réseaux internes.
🔗 https://arstechnica.com/security/2025/07/north-korean-hackers-ran-us-based-laptop-farm-from-arizona-womans-home/
🛡️ Linux – Sécurité renforcée avec AppArmor et SELinux
Les distributions Linux renforcent progressivement leurs politiques de sécurité avec AppArmor et SELinux. Un point sur les évolutions récentes et les implications pour les administrateurs système.
🔗 https://www.linuxjournal.com/content/securing-linux-steady-momentum-apparmor-and-selinux-uptake
🏗️ CERT-FR – Vulnérabilités critiques dans VMware Tanzu
Le CERT-FR publie l’avis CERTFR-2025-AVI-0622 suite à la divulgation de 19 bulletins de sécurité VMware. Des failles majeures impactent Tanzu Application Service, Cloud Foundry, GenAI, SSO et autres composants. Risques d’exécution de code, élévation de privilèges et fuite de données.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0622/
🐧 CERT-FR – Failles multiples dans les noyaux Ubuntu
Nouvel avis critique, CERTFR-2025-AVI-0625, concernant Ubuntu 20.04, 22.04, 24.04 et 25.04. Les vulnérabilités touchent notamment Netfilter, io_uring, Bluetooth, V4L2 et BPF. Mises à jour et redémarrage impératifs.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0625/
🧠 Koske – Un malware Linux généré par IA détecté dans la nature
Le malware Koske, visiblement produit avec l’aide d’une intelligence artificielle, cible des distributions Linux, notamment dans des environnements cloud. Techniques polymorphes, obfuscation avancée, et détection difficile.
🔗 https://securityaffairs.com/180355/malware/koske-a-new-ai-generated-linux-malware-appears-in-the-threat-landscape.html
📅 Podcast RadioCSIRT du Dimanche 27 Juillet 2025 (Ep.368)
📌 Au programme aujourd’hui :
🏁 NASCAR – Fuite de données après une cyberattaque en mars
La fédération de NASCAR confirme une compromission de données suite à une attaque détectée le 3 avril. Des numéros de sécurité sociale ont été exposés. Le groupe Medusa est suspecté. Enquête toujours en cours.
🔗 https://therecord.media/nascar-confirms-data-breach
💥 Amazon Q – Code malveillant injecté dans l’assistant IA de développement
Un hacker a réussi à insérer un « wiper » inactif dans la version 1.84.0 de l’extension Amazon Q pour VS Code. Amazon a publié une version corrigée (1.85.0) après signalement.
🔗 https://www.bleepingcomputer.com/news/security/amazon-ai-coding-agent-hacked-to-inject-data-wiping-commands/
📨 WordPress – 200 000 sites vulnérables via le plugin Post SMTP
La CVE-2025-24000 permet à un utilisateur faiblement autorisé de détourner un compte administrateur via les logs de mails. Moins de la moitié des utilisateurs ont appliqué la mise à jour vers la version 3.3.0.
🔗 https://www.bleepingcomputer.com/news/security/post-smtp-plugin-flaw-exposes-200k-wordpress-sites-to-hijacking-attacks/
📅 Podcast RadioCSIRT du Lundi 28 Juillet 2025 (Ep.369)
📌 Au programme aujourd’hui :
📊 Salesforce Tableau – Exécution de code à distance et contournement d’authentification
Huit failles critiques dont la CVE-2025-52449 (CVSS 8.5) affectent Tableau Server < 2025.1.3. Risques : RCE, accès non autorisé aux bases sensibles, SSRF, path traversal. Mises à jour urgentes recommandées.
🔗 https://cybersecuritynews.com/salesforce-tableau-vulnerabilities/
🪪 Tea App – Données d’identités volées diffusées en ligne
72 000 images extraites d’un stockage Firebase non sécurisé, dont 13 000 photos d’identités, ont été publiées sur des forums cybercriminels. La fuite vise les utilisateurs inscrits avant février 2024.
🔗 https://therecord.media/tea-app-data-breach-stolen-ids-leaked
✈️ Aeroflot – 49 vols annulés après une compromission prolongée
Les groupes Silent Crow et Cyberpartisans revendiquent un an d’accès aux systèmes critiques de la compagnie. 7 000 serveurs auraient été détruits. 22 To de données auraient été exfiltrées.
🔗 https://www.theregister.com/2025/07/28/aeroflot_system_compromise/
📨 Sécurité email – Toujours bloquée dans l’ère antivirus ?
Analyse critique des Secure Email Gateways : inefficaces face aux compromissions post-livraison. Une approche type EDR devient nécessaire selon Material Security.
🔗 https://thehackernews.com/2025/07/email-security-is-stuck-in-antivirus.html
🛠️ CISA – Trois nouvelles failles ajoutées au catalogue KEV
La CVE-2023-2533 touche PaperCut (CSRF). Deux injections dans Cisco ISE (CVE-2025-20281, CVE-2025-20337) sont activement exploitées.
🔗https://www.cisa.gov/news-events/alerts/2025/07/28/cisa-adds-three-known-exploited-vulnerabilities-catalog
📅 Podcast RadioCSIRT du Mardi 29 Juillet 2025 (Ep.370)
📌 Au programme aujourd’hui :
📱 SarangTrap – Malware mobile de grande ampleur en Asie
Plus de 250 fausses apps Android et des profils iOS détournés visent la Corée du Sud. Objectifs : exfiltration de données, surveillance et chantage. Usurpation de services de rencontre et de messagerie. Exploitation du bug Janus sur Android 5.0–8.0.
🔗 https://thehackernews.com/2025/07/cybercriminals-use-fake-apps-to-steal.html
🧠 ToolShell – Double 0-day SharePoint bloqué par CrowdStrike
Exploitation active des CVE-2025-53770 (RCE via désérialisation) et CVE-2025-53771 (spoofing serveur). Webshell .aspx, vol de clés IIS, détection par comportement via Falcon Insight XDR. Vulnérabilités critiques patchées.
🔗 https://www.crowdstrike.com/en-us/blog/crowdstrike-detects-blocks-sharepoint-zero-day-exploitation/
🖥️ FreeBSD 15.0 – Vers une installation Desktop simplifiée
Annonce d’un installeur KDE complet, à faible interaction, prévu pour FreeBSD 15.0. Détection automatique des pilotes graphiques et passage progressif vers Wayland. Objectif : démocratiser l’usage desktop de BSD.
🔗 https://www.linux-magazine.com/Online/News/FreeBSD-Promises-a-Full-Desktop-Installer
⚖️ Telegram vs France – Troisième interrogatoire de Pavel Durov
Poursuite de l’enquête sur la complicité de Telegram avec des activités criminelles. Durov, naturalisé français, comparait de nouveau à Paris. Coopération renforcée depuis 2024, mais contestation en cours de la légalité de la procédure.
🔗 https://www.clubic.com/actualite-574374-telegram-contre-la-france-pavel-durov-de-nouveau-pris-entre-quatre-yeux-par-les-juges-a-paris.html
📅 Podcast RadioCSIRT du Mercredi 30 Juillet 2025 (Ep.371)
📌 Au programme aujourd’hui :
🧩 GLPI – 8 vulnérabilités critiques avant la 10.0.19
Fuite de données, contournement de sécurité, XSS et SSRF : plusieurs bulletins GHSA pour des failles référencées de la CVE-2025-27514 à la CVE-2025-53357. Versions concernées : GLPI < 10.0.19.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0632/
🐍 Python – Déni de service via la CVE-2025-8194
Une vulnérabilité dans CPython non corrigé permettrait un déni de service à distance. Correctif disponible via le canal officiel.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0634/
🍏 Apple – 29 failles corrigées dans iOS 18.6 et iPadOS 18.6
CVE-2025-43227 (exposition de données), CVE-2025-43228 (spoofing d’URL), CVE-2025-43217 (indicateurs de confidentialité) et CVE-2025-31229 (VoiceOver). Corrections également sur macOS, watchOS et tvOS.
🔗 https://www.malwarebytes.com/blog/news/2025/07/apple-patches-multiple-vulnerabilities-in-ios-and-ipados-update-now
🌐 Chrome – Use after free dans Media Stream (CVE-2025-8292)
Faille critique dans Chrome < 138.0.7204.183. Exploitation possible via page HTML piégée. Vulnérabilité à distance, score CVSS 8.8.
🔗 https://cvefeed.io/vuln/detail/CVE-2025-8292
🕳️ BreachForums – De retour sur Tor malgré l’opération judiciaire
Forum réactivé un mois après l’action du parquet de Paris. L’individu connu sous le pseudo IntelBroker, alias Kai West, a été identifié via des transactions Bitcoin. Inculpé pour administration de plateforme illégale.
🔗 https://www.zdnet.fr/actualites/increvable-le-site-de-fuite-de-donnees-breachforums-est-a-nouveau-en-ligne-479470.htm
🇪🇺 Souveraineté numérique – La Commission européenne dévoile sa feuille de route open source
70 mesures proposées : standards interopérables, fonds de souveraineté, politique d’achat public « Open Source First ». Objectif : autonomie technologique dans le Cloud, Edge et IoT.
🔗 https://linuxfr.org/news/la-commission-europeenne-publie-une-feuille-de-route-sur-le-logiciel-libre
📅 Podcast RadioCSIRT du Jeudi 31 Juillet 2025 (Ep.372)
📌 Au programme aujourd’hui :
🛠️ CISA – Un outil stratégique pour l’éviction des intrus
La CISA publie l’Eviction Strategies Tool. Il intègre le Playbook-NG et COUN7ER, une base de contre-mesures post-compromission, pour soutenir les phases de confinement et d’éviction.
🔗 https://www.cisa.gov/news-events/alerts/2025/07/30/eviction-strategies-tool-released
🕵️ Tails 6.0 – Un bouclier contre la surveillance
Refonte complète : verrouillage USB à l’écran bloqué, alertes stockage chiffré, Tor Browser 13.0.10, nouvelles règles anti-intrusion et retrait de fonctions obsolètes.
🔗 https://www.linuxjournal.com/content/veil-vigilance-tails-60s-new-frontiers-surveillance-resistance
🎰 Arnaques massives sur Discord – 1 200 faux sites de jeux en ligne
Un réseau de 1 200+ domaines usurpe l’image de personnalités comme MrBeast, pour escroquer via des crédits fictifs et des dépôts crypto irrécupérables. Un seul backend, même chatbot IA, IP tracking, et réseau de portefeuilles dynamiques.
🔗 https://thehackernews.com/2025/07/hackers-exploit-critical-wordpress.html
💥 WordPress – CVE-2025-5394, site compromis via thème “Alone”
Faille critique (CVSS 9.8) dans les versions ≤ 7.8.3 du thème Alone. Plugin installable à distance sans authentification via la fonction alone_import_pack_install_plugin(). Exploitation active depuis le 12 juillet.
🔗 https://thehackernews.com/2025/07/hackers-exploit-critical-wordpress.html
📉 Splunk – 25 CVE corrigées, dont la CVE-2025-27144
Produits concernés : Enterprise Security < 8.1.0 et UBA < 5.4.3. Vulnérabilités diverses sans impact détaillé public.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0641/
🧯 FunkSec – Le rançongiciel démantelé, outil de déchiffrement disponible
Rançongiciel Rust, actif depuis fin 2024, démantelé par Avast et Gen Digital. Déchiffreur publié via No More Ransom. Fichiers .funksec, IA utilisée pour générer le code, affiliation revendiquée à Ghost Algéria.
🔗 https://securityaffairs.com/180616/malware/researchers-released-a-decryptor-for-the-funksec-ransomware.html
📅 Podcast RadioCSIRT du Vendredi 1er Août 2025 (Ep.373)
📌 Au programme aujourd’hui :
📵 Russie – Record de coupures d’Internet mobile en juillet
Plus de 2 000 coupures recensées à travers le pays, officiellement en réponse aux attaques de drones ukrainiens. Bilan : près de 26 milliards de roubles de pertes économiques et une multiplication des achats de routeurs Wi-Fi.
🔗 https://therecord.media/russia-mobile-internet-shutdowns-record
🇫🇷 Tchap – La messagerie par défaut pour les ministères dès le 1er septembre
Une circulaire du Premier ministre incite tous les ministères à généraliser l’usage de Tchap pour sécuriser les communications. Olvid reste autorisée, mais Tchap est désormais prioritaire pour les échanges inter-administrations.
🔗 https://www.zdnet.fr/actualites/tchap-promue-messagerie-instantanee-par-defaut-des-ministeres-et-cabinets-479763.htm
💧 Secteur de l’eau – Risques cyber majeurs selon les autorités US et européennes
Rançongiciels, phishing, compromission d’environnements ICS/OT : les incidents se multiplient à l’échelle mondiale. 97 réseaux d’eau américains sont jugés critiques. L’UE renforce via NIS2, mais l’EPA subit des coupes budgétaires historiques.
🔗 https://www.helpnetsecurity.com/2025/08/01/water-sector-cybersecurity-risk/
🐧 Debian – la CVE-2025-8454 dans devscripts permet de contourner la vérification OpenPGP
L’utilitaire uscan ignore la validation PGP si l’archive est déjà présente, même après un échec de vérification antérieur. Vulnérabilité à distance, score CVSS 9.8.
🔗 https://cvefeed.io/vuln/detail/CVE-2025-8454
🖥️ Synology – la CVE-2025-54158 dans BeeDrive for Desktop permet une exécution locale de code
Un attaquant authentifié peut exécuter du code arbitraire sur les versions antérieures à 1.4.2-13960. Pas de contournement disponible. Score CVSS non communiqué.
🔗 https://cyberveille.esante.gouv.fr/alertes/synology-cve-2025-54158-2025-08-01