NewsLetter RadioCSIRT N°24

août 16, 2025 marc Newsletter RadioCSIRT Commentaires fermés sur NewsLetter RadioCSIRT N°24

🎧 RadioCSIRT – La newsletter cyber hebdo du Podcast RadioCSIRT RadioCSIRT

Bonjour,

🎉 RadioCSIRT fête ses 1 an !
Il y a tout juste un an, je lançais RadioCSIRT avec une idée simple mais ambitieuse : apporter chaque jour aux CERT, SOC, RSSI et passionnés de cybersécurité une information fiable, claire et immédiatement utile. En 365 jours, ce projet s’est transformé en une véritable aventure humaine et professionnelle : plus de 390 épisodes quotidiens, une audience fidèle qui dépasse les 30 000 écoutes, et une reconnaissance croissante dans notre écosystème.

🙏 Je tiens à remercier chaleureusement chacun d’entre vous : auditeurs, abonnés LinkedIn, lecteurs de la newsletter et confrères du monde de la cybersécurité. Vos partages, vos retours et votre confiance ont été le moteur de cette réussite.

🚀 Mais ce n’est qu’un début. Les prochains mois seront marqués par plusieurs projets en cours :

  • le développement de la Vidéo RadioCSIRT, pour offrir un contenu encore plus structuré et exploitable,
  • la migration technique de l’infrastructure web et la mise en ligne de nouveaux services dédiés à la CTI pour les abonnés,
  • la professionnalisation de l’image de RadioCSIRT avec une démarche structurée vers la reconnaissance officielle en presse spécialisée,
  • et bien sûr, la poursuite du rythme quotidien pour rester votre bouclier numérique.

Un an de RadioCSIRT, c’est un jalon. Mais ensemble, nous visons plus loin : construire une référence francophone de la veille cybersécurité.

et surtout on ne réfléchit, on patch !

Quelques chiffres, +250.000 écoutes uniques, 100 articles publiés, 389 épisodes publiés 7 jours sur 7 avec des numéros spéciaux…

Bref Merci à vous toutes et à vous tous, sans vous cette aventure ne serait pas possible.

Je vous embrasse très fort

Marc Frédéric GOMEZ

FICHE CTI – WARLOCK RANSOMWARE

1. Présentation générale

  • Nom principal : Warlock
  • Alias : Warlock Group, Warlock Dark Army
  • Attribution principale : affilié au groupe Storm-2603
  • Origine présumée : Chine continentale (niveau de confiance : élevé, corroboré par Microsoft, Halcyon, et TheHackerNews)
  • Type d’acteur : Cybercrime organisé – modèle RaaS (Ransomware-as-a-Service)
  • Première apparition connue : mi-2025
  • Motivations : financières (ransomware avec double extorsion)

2. TTPs – MITRE ATT&CK

PhaseTechniqueID MITREInitial AccessExploitation de vulnérabilités Microsoft SharePoint (CVE-2025-49706 / CVE-2025-49704, chaîne ToolShell)T1190ExecutionWeb shell ASPX (spinstall0.aspx)T1505.003PersistenceModification GPOT1484Privilege EscalationCredential Dumping via LSASS/MimikatzT1003.001Defense EvasionDésactivation Microsoft Defender via registreT1562.001Lateral MovementPsExec, ImpacketT1021.002 / T1021.003CollectionScreen Capture, Keylogging (observé dans échantillons récents)T1113ExfiltrationC2 sur HTTPS, Exfiltration Over Web ServicesT1567.002ImpactRansomware – chiffrement fichiers (.x2anylock)T1486

3. Victimes connues / Secteurs ciblés

  • Agences gouvernementales :
    • ERSAR (Portugal)
    • NCVVO (Croatie)
    • Autorité IT turque
  • Entreprises :
    • Nippon Life India Asset Management
    • Unilever (non confirmé publiquement)
  • Secteurs : Public, Finance, Énergie, Industrie

4. Modes opératoires

  • Exploitation massive de zero-days SharePoint peu après leur divulgation
  • Déploiement rapide via GPO après mouvement latéral
  • Double extorsion : chiffrement + exfiltration + menace de publication sur site de leaks
  • Utilisation de notes de rançon « How to decrypt my data.txt »

5. IOCs connus (état au 15 août 2025)

  • Extensions : .x2anylock
  • Domaines C2 : multiples, hébergés sur serveurs compromis internationaux
  • Hashes : SHA256 (voir référentiels VirusTotal / MalwareBazaar)
  • Certificats TLS : auto-signés, renouvelés fréquemment

6. Évaluation stratégique

  • Niveau de menace : Élevé / critique
  • Tendances futures : exploitation continue de vulnérabilités Microsoft ; probable diversification vers autres plateformes collaboratives (M365, Atlassian)

7. Recommandations

  • Prioriser le patching des CVE-2025-49706 / CVE-2025-49704
  • Activer la journalisation avancée et surveiller tout trafic sortant anormal depuis serveurs SharePoint
  • Bloquer les IOC connus au niveau firewall/proxy/EDR
  • Préparer procédures de réponse ransomware incluant communication externe et activation de plans PRA/PCA

🔎 À lire cette semaine sur mon blog

Je vous propose une nouvelle sélection de mes derniers articles publiés sur mon blog.

🔹 Patch Tuesday d’août 2025 : 107 failles corrigées dont une zero-day Kerberos
Synthèse des correctifs Microsoft, priorités de déploiement, risques associés (dont la zero-day), notes de version et conseils opérationnels pour CERT/SOC.
👉 Lire : https://blog.marcfredericgomez.fr/patch-tuesday-daout-2025-107-failles-corrigees-dont-une-zero-day-kerberos/

🔹 ShinyHunters, Scattered Spider et le malware sp1d3rhunters
Analyse OSINT 2023–2025 : historique, TTPs MITRE ATT&CK, secteurs touchés, IOCs, recommandations de détection/mitigation, et sources complètes.
👉 Lire : https://blog.marcfredericgomez.fr/shinyhunters-scattered-spider-et-le-malware-sp1d3rhunters/

🎙 Récapitulatif des épisodes du podcast de la semaine

Du samedi 09 Août au vendredi 15 Août 2025

📅 Podcast RadioCSIRT du Samedi 09 Août 2025 (Ep.382)

📌 Au programme aujourd’hui :

🐧 Debian 13 “Trixie” – Nouvelle version stable
Publication après deux ans de développement. Support de 5 ans, 14 100 nouveaux paquets, introduction du support officiel riscv64, noyaux Linux 6.12 LTS, mises à jour majeures de GCC, LibreOffice, PostgreSQL, OpenSSL et Python. i386 n’est plus une architecture supportée.
🔗 https://www.debian.org/News/2025/20250809

🛡️ Distributions Linux orientées sécurité – Montée en puissance
Analyse des distributions spécialisées comme Qubes OS, Tails, Whonix, Kali Linux et PureOS. Objectif : cloisonnement applicatif, chiffrement par défaut, absence de télémétrie et outils de confidentialité intégrés. Public cible : journalistes, militants, professions réglementées, utilisateurs soucieux de leur vie privée.
🔗 https://www.linuxjournal.com/content/guardians-privacy-how-security-driven-linux-distributions-are-rising-meet-growing-digital

📄 GnuTLS – Multiples vulnérabilités
Vulnérabilités CVE-2025-32988, CVE-2025-32989, CVE-2025-32990 et CVE-2025-6395 affectant les versions < 3.8.10. Impacts : déni de service à distance et problème de sécurité non spécifié. Correctifs disponibles auprès de l’éditeur.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0663/

📦 WinRAR – Zero-day CVE-2025-8088 exploité par RomCom
Vulnérabilité de traversée de répertoire corrigée en version 7.13. Exploitée dans des campagnes de spear-phishing pour déposer des backdoors RomCom. Impact : exécution de code à distance via les dossiers d’exécution automatique Windows.
🔗 https://www.bleepingcomputer.com/news/security/winrar-zero-day-flaw-exploited-by-romcom-hackers-in-phishing-attacks/

📧 Microsoft Exchange – 28 000 serveurs vulnérables à la CVE-2025-53786
Vulnérabilité CVSS 8.0 exploitant le partage du service principal Exchange Server / Exchange Online. Risque d’escalade de privilèges dans Microsoft 365 hybride. Correctif disponible depuis avril 2025. Directive d’urgence CISA 25-02 pour correction avant le 11 août.
🔗 https://cybersecuritynews.com/microsoft-exchange-servers-vulnerable/

⚖️ Allemagne – Limitation légale de l’usage des spywares policiers
Décision de la Cour constitutionnelle fédérale : usage des logiciels espions uniquement pour les infractions passibles de plus de trois ans de prison. Motif : atteinte grave au secret des télécommunications et à l’intégrité des systèmes informatiques.
🔗 https://securityaffairs.com/180976/laws-and-regulations/germany-limits-police-spyware-use-to-serious-crimes.html

📅 Podcast RadioCSIRT du Dimanche 10 Août 2025 (Ep.383)

📌 Au programme aujourd’hui :

🤖 DARPA AI Cyber Challenge – Victoire de Team Atlanta à DEF CON
L’équipe composée de Georgia Tech, Samsung Research, KAIST et POSTECH remporte la compétition de deux ans visant à créer des systèmes d’IA capables de détecter et corriger automatiquement des vulnérabilités. Score final : 77 % des failles corrigées sur 54 millions de lignes de code. Les outils issus du concours seront déployés dans des secteurs critiques comme la santé.
🔗 https://therecord.media/darpa-ai-code-competition-winner-def-con

🛡️ NetApp – CVE-2025-26513
Vulnérabilité dans SAN Host Utilities pour Windows permettant à un attaquant authentifié localement d’obtenir des privilèges élevés. Risques : divulgation d’informations, modification de données, déni de service. Toutes les versions antérieures à 8.0 sont concernées. Aucun contournement, correctif disponible.
🔗 http://cyberveille.esante.gouv.fr/alertes/netapp-cve-2025-26513-2025-08-08

📧 Google Ads – Fuite de données dans Salesforce CRM
Compromission attribuée au groupe ShinyHunters/Scattered Spider (Sp1d3rHunters), exposant noms d’entreprises, numéros de téléphone et notes commerciales de prospects Google Ads. Nouvelle méthode d’exfiltration via scripts Python personnalisés. Rançon demandée : 20 bitcoins (~2,3 M$).
🔗 https://www.bleepingcomputer.com/news/security/google-confirms-data-breach-exposed-potential-google-ads-customers-info/

📦 RubyGems – 60 paquets malveillants volent des identifiants
Campagne ciblant principalement des développeurs sud-coréens avec 60 gems téléchargés plus de 275 000 fois depuis mars 2023. Les outils se font passer pour des automatisateurs légitimes (WordPress, Telegram, Naver…) tout en exfiltrant identifiants et adresses MAC vers des serveurs C2. 16 gems encore en ligne.
🔗 https://www.bleepingcomputer.com/news/security/60-malicious-ruby-gems-downloaded-275-000-times-steal-credentials/

📅 Podcast RadioCSIRT du Lundi 11 Août 2025 (Ep.384)

📌 Au programme aujourd’hui :

🛡️ Liferay – CERTFR-2025-AVI-0672
Multiples vulnérabilités dans Liferay, permettant une falsification de requêtes côté serveur (SSRF) et une injection de code indirecte à distance (XSS).
Produits affectés : DXP 2024.x < 2024.Q1.16 et 2024.Q2.0 ; DXP 2025.x < 2025.Q1.6 et 2025.Q2.0 ; Portal sans correctif.
CVE-2025-4576 (XSS réfléchi), CVE-2025-4581 (SSRF blind) et CVE-2025-4655 (SSRF via FreeMarker). Correctifs disponibles chez l’éditeur.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0672/

📞 AOL – Fin du 56k après 34 ans
AOL annonce la fin de son offre d’accès RTC lancée en 1991. Coupure prévue le 30 septembre 2025. Les logiciels AOL Dialer et AOL Shield seront abandonnés. En 2015, 1,5 million d’abonnés utilisaient encore ce service aux États-Unis, aujourd’hui réduits à quelques milliers.
🔗 https://www.01net.com/actualites/aol-debranche-enfin-son-internet-56k-apres-34-ans-de-service.html

💻 Microsoft Windows – CVE-2025-49730
Exploit public EDB-ID 52399 permettant de vérifier la présence d’une version vulnérable du pilote storqosflt.sys (Storage QoS Filter Driver). Version corrigée : 10.0.26100.1. Vérifications incluses : version, signature, hachage SHA-256 et journaux système.
🔗 https://www.exploit-db.com/exploits/52399

🔓 MuddyWater – DarkBit ransomware déchiffré
Profero casse le chiffrement AES-128-CBC / RSA-2048 du ransomware DarkBit suite à une faiblesse dans la génération de clés. Victimes ciblées : serveurs VMware ESXi. Lien établi avec MuddyWater, APT iranien. Rançon demandée : 80 bitcoins.
🔗 https://www.bleepingcomputer.com/news/security/muddywaters-darkbit-ransomware-cracked-for-free-data-recovery/

📍 Instagram – Fonction “Map” de localisation en temps réel
Meta déploie une fonctionnalité de partage de localisation continue avec des contacts choisis. Risques : stalking, harcèlement, profilage, effet mosaïque. Données conservées jusqu’à trois jours.
🔗 https://www.mcafee.com/blogs/internet-security/instagrams-new-tracking-feature-what-you-need-to-know-to-stay-safe/

📦 WinRAR – Exploitation par RomCom et Paper Werewolf
Deux groupes distincts exploitent la CVE-2025-8088 (0-day corrigé le 24 juillet 2025). RomCom cible finance, industrie, défense, logistique en Europe et au Canada. Paper Werewolf exploite également la CVE-2025-6218 contre des organisations russes.
🔗 https://therecord.media/winrar-zero-day-exploited-romcom-paper-werewolf-goffee-hackers

📅 Podcast RadioCSIRT du Mardi 12 Août 2025 (Ep.385)

📌 Au programme aujourd’hui :

🤖 Le Patch Tuesday d’août 2025
107 failles corrigées, dont une zero-day Kerberos
🔗 https://blog.marcfredericgomez.fr/patch-tuesday-daout-2025-107-failles-corrigees-dont-une-zero-day-kerberos/

🤖 Agentic Frameworks – AI et SOC
Présentation des cadres « agentiques » pour optimiser les opérations de sécurité : triage d’alertes, enrichissement automatisé avec threat intelligence, adaptation dynamique des règles de détection et intégration d’agents IA spécialisés.
🔗 https://www.elastic.co/security-labs/agentic-ai-summary

🛡️ Microsoft Windows Hyper-V – CVE-2025-49751
Vulnérabilité de type CWE-820 (Missing Synchronization) permettant, depuis un invité Hyper-V à faibles privilèges, de provoquer un déni de service sur l’hôte via un réseau virtuel HNV. Gravité : Important, score CVSS : 6.8. Correctif officiel disponible.
🔗 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-49751

💻 Project AK47 – Exploitation des vulnérabilités SharePoint
Activité CL-CRI-1040, attribuée à Storm-2603, exploitant les vulnérabilités CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 et CVE-2025-53771 via la chaîne ToolShell. Déploiement de backdoors (AK47C2), ransomware AK47/X2ANYLOCK et loaders par DLL side-loading. Liens avec LockBit 3.0 et Warlock Client.
🔗 https://unit42.paloaltonetworks.com/ak47-activity-linked-to-sharepoint-vulnerabilities/

📦 IBM Tivoli – CVE-2025-3320
Débordement de tas (CWE-122) dans IBM Tivoli Monitoring permettant l’exécution de code arbitraire ou un déni de service à distance, sans authentification. Versions affectées : 6.3.0.7 à 6.3.0.7 SP20 inclus. Correctif disponible : 6.3.0.7-SP0021.
🔗 https://cyberveille.esante.gouv.fr/alertes/ibm-tivoli-cve-2025-3320-2025-08-12

🌐 Citrix NetScaler – CVE-2025-6543
Vulnérabilité critique de type memory overflow (CVSS : 9.2) exploitée en zéro-day depuis mai 2025 pour exécution de code à distance et effacement de traces. Impacte NetScaler ADC et Gateway avant certaines versions (13.1-59.19, 13.1-37.236-FIPS, 14.1-47.46). Plusieurs organisations critiques néerlandaises compromises.
🔗 https://securityaffairs.com/181070/hacking/dutch-ncsc-citrix-netscaler-zero-day-breaches-critical-orgs.html

📋 CISA – Ajout de 3 vulnérabilités au catalogue KEV

📅 Podcast RadioCSIRT du Mercredi 13 Août 2025 (Ep.386)

📌 Au programme aujourd’hui :

🤖 PS1Bot – Campagne de malvertising
Analyse d’une campagne publicitaire malveillante utilisant l’infrastructure PS1Bot pour propager des charges utiles via des annonces sponsorisées. Techniques d’obfuscation, mécanismes de redirection et cibles prioritaires détaillés.
🔗 https://blog.talosintelligence.com/ps1bot-malvertising-campaign/

🛡️ Nouvelles tendances de phishing et scams en 2025
Présentation des dernières méthodes employées par les acteurs malveillants : hameçonnage vocal (vishing), QR phishing, détournement d’authentification MFA, et campagnes ciblant les services de messagerie chiffrée.
🔗 https://securelist.com/new-phishing-and-scam-trends-in-2025/117217/

💻 Fortinet FortiSIEM – Alerte de sécurité
Mise en garde contre une vulnérabilité critique dans FortiSIEM permettant l’exécution de code à distance. Exploitation active observée dans la nature. Correctifs disponibles et recommandations de mitigation.
🔗 https://thehackernews.com/2025/08/fortinet-warns-about-fortisiem.html

📅 Podcast RadioCSIRT du Jeudi 14 Août 2025 (Ep.387)

📌 Au programme aujourd’hui :

💔 Arrestations pour escroqueries sentimentales au Ghana
Démantèlement d’un réseau impliqué dans des fraudes amoureuses en ligne, accusé d’avoir détourné plus de 100 millions de dollars. Détails des opérations et charges retenues.
🔗 https://www.malwarebytes.com/blog/news/2025/08/romance-scammers-in-ghana-arrested-charged-with-more-than-100-million-in-theft

🧸 Labubu – Des jouets viraux aux arnaques en ligne
Analyse d’une vague d’escroqueries exploitant la popularité des figurines Labubu : faux sites, diffusions en direct trompeuses et contrefaçons.
🔗 https://www.mcafee.com/blogs/internet-security/going-lacoocoo-over-labubu-how-viral-toy-trends-are-becoming-scams/

📅 Podcast RadioCSIRT du Vendredi 15 Août 2025 (Ep.388)

🎙 RadioCSIRT souffle sa première bougie !

Aujourd’hui, 388 épisodes, 365 jours d’actualité cyber, plus de 100 articles publiés sur mon blog et LinkedIn, 23 newsletters… et +250 000 écoutes uniques toutes plateformes confondues.

La majorité des podcasts s’arrêtent après quelques épisodes.
Grâce à vous, RadioCSIRT est là 7 jours sur 7 depuis un an. 🙏

Dans cet épisode spécial anniversaire :

Les coulisses d’une année de production 100% en solo
Les ressources mises à votre disposition : site web, newsletter Substack, blog

Un bilan transparent : réussites, échecs, retards… et projets à venir

💱 Sanctions renouvelées contre Garantex et Grinex
Le département du Trésor américain prolonge ses sanctions contre ces plateformes, accusées de faciliter le blanchiment d’argent lié à la cybercriminalité.
🔗 https://therecord.media/treasury-department-renews-sanctions-garantex-grinex

🦠 Donut – Guide d’analyse technique
Tutoriel complet sur l’analyse du malware Donut : fonctionnement interne, méthodes d’obfuscation et détection.
🔗 https://unit42.paloaltonetworks.com/donut-malware-analysis-tutorial/

✉️ Campagne de phishing ciblant Booking.com
Utilisation d’un caractère japonais homoglyphique pour créer des liens trompeurs, redirigeant vers des sites malveillants et distribuant des malwares.
🔗 https://www.bleepingcomputer.com/news/security/bookingcom-phishing-campaign-uses-sneaky-character-to-trick-you/

⚙️ Première panne causée par du code écrit par un LLM
Retour d’expérience sur un incident chez sketch.dev, dû à une modification mineure passée inaperçue lors d’une refactorisation automatisée.
🔗 https://sketch.dev/blog/our-first-outage-from-llm-written-code

📂 Manpower – Fuite de données
Conséquences d’une attaque par ransomware RansomHub ayant compromis les données de plus de 144 000 personnes.
🔗 https://securityaffairs.com/181122/cyber-crime/manpower-data-breach-impacted-144180-individuals.html

📅 Podcast RadioCSIRT du Vendredi 15 Août 2025 II (Ep.389)

📌 Au programme aujourd’hui :

🎯 Phishing ciblant les professionnels du marketing via de faux recrutements Netflix
Une campagne sophistiquée visant à voler les identifiants Facebook des responsables marketing et social media.
🔗 https://www.malwarebytes.com/blog/news/2025/08/netflix-scammers-target-jobseekers-to-trick-them-into-handing-over-their-facebook-logins

🛡️ UAT-7237 – APT chinois ciblant l’infrastructure web taïwanaise
Analyse complète des TTPs, outils personnalisés comme SoundBill et persistance via VPN SoftEther.
🔗 https://blog.talosintelligence.com/uat-7237-targets-web-hosting-infra/

💧 Sabotage de barrage en Norvège attribué à des hackers pro-russes
Intrusion dans un système de contrôle ayant ouvert les vannes pendant quatre heures, revendiquée par Z-Alliance.
🔗 https://therecord.media/norway-police-suspect-pro-russian-hackers-dam-sabotage

⚠️ Alerte Plex – Mettez à jour immédiatement votre serveur
Une vulnérabilité non documentée affecte Plex Media Server 1.41.7.x à 1.42.0.x.
🔗 https://www.bleepingcomputer.com/news/security/plex-warns-users-to-patch-security-vulnerability-immediately/

🔥 Faille critique dans le moteur Snort 3 de Cisco
CVE-2025-20217 – Permet un DoS à distance non authentifié sur Cisco Secure Firewall Threat Defense.
🔗 https://cybersecuritynews.com/snort-3-detection-engine-vulnerability/

🤖 Shadow AI – Les risques des applications GenAI non validées
Focus sur l’utilisation d’IA génératives hors contrôle des équipes sécurité et les dérives potentielles.
🔗 https://www.helpnetsecurity.com/2025/08/15/shadow-ai-genai-apps/

💥 Ransomware Blue Locker – Ciblage du secteur pétrolier et gazier au Pakistan
Impact majeur sur Pakistan Petroleum Limited, avertissement national du NCERT.
🔗 https://securityaffairs.com/181173/malware/blue-locker-ransomware-targeting-oil-gas-sector-in-pakistan.html

🔒 Faille critique dans Zoom pour Windows
CVE-2025-49457 – Escalade de privilèges possible via un chemin de recherche non approuvé.
🔗 https://securityaffairs.com/181140/security/zoom-patches-critical-windows-flaw-allowing-privilege-escalation.html

Pour ne rien manquer

📞 Partagez vos retours :
📱 Répondeur : 07 68 72 20 09
📧 Email : radiocsirt@gmail.com

🎧 Disponible sur :
Apple Podcasts • Deezer • Spotify • YouTube • Amazon Music

🌐 Site : https://www.radiocsirt.org

🛡️ On ne réfléchit pas. On patch !