🎧 RadioCSIRT – La newsletter cyber hebdo du Podcast RadioCSIRT

Chers lectrices et lecteurs,

Dans cette édition, je reviens sur un incident majeur qui a marqué l’écosystème SaaS ces dernières semaines. L’intégration Salesloft Drift avec Salesforce a été compromise, permettant à des acteurs malveillants d’accéder à des données sensibles via des jetons OAuth détournés.

Cette attaque illustre les risques une nouvelle fois liés aux applications tierces connectées aux environnements critiques et souligne l’importance d’un contrôle strict des intégrations. Mon objectif est de vous présenter les faits tels qu’ils ont été établis, sans interprétation, afin de nourrir votre veille stratégique et d’éclairer vos pratiques opérationnelles.

Vol massif de données Salesforce via l’intégration Salesloft Drift

Dans le cadre de ma veille stratégique, je me penche sur une campagne récente de vol de données visant les instances Salesforce de multiples entreprises. Des attaquants ont exploité la compromission d’une intégration tierce – la plateforme Salesloft Drift – pour accéder aux données sensibles de nombreuses organisations, dont Palo Alto Networks. L’attaque, qui s’est déroulée en août 2025, est caractérisée par son ampleur et sa cible privilégiée : les informations d’identification et autres “secrets” stockés dans les systèmes de gestion de la relation client (CRM).

Compromission de l’intégration Salesloft Drift

Salesloft propose un connecteur nommé SalesDrift reliant l’agent conversationnel Drift AI à Salesforce, permettant de synchroniser les conversations de chat, les leads et les tickets de support dans le CRM. En août 2025, cette intégration a été compromise par des acteurs malveillants. Ces derniers ont réussi à dérober les jetons OAuth (et leurs jetons de renouvellement) utilisés par Salesloft pour accéder aux instances Salesforce de ses clients. Grâce à ces accès, les attaquants ont pu mener une campagne d’exfiltration de données entre le 8 et le 18 août 2025, ciblant toutes les entreprises utilisatrices de l’intégration Drift-Salesforce.

D’après le rapport de sécurité de Salesloft, les premières analyses ont montré que l’objectif principal de l’attaquant était de voler des informations d’identification. Plus précisément, il s’est focalisé sur des données sensibles telles que des clés d’accès Amazon Web Services (AWS) (p. ex. commençant par AKIA), des mots de passe ou encore des jetons d’accès Snowflake. En clair, tout client Salesloft ayant connecté Drift à Salesforce a potentiellement exposé dans son CRM des secrets que l’attaquant a cherché à récupérer. (À l’inverse, Salesloft indique que les clients n’utilisant pas cette intégration particulière n’ont pas été affectés par l’incident.)

Le 20 août 2025, dès la découverte de la faille, Salesloft et Salesforce ont pris des mesures d’urgence : tous les jetons d’accès et de rafraîchissement actifs liés à l’application Drift ont été révoqués, imposant une réauthentification sécurisée pour les utilisateurs légitimes. Par précaution, Salesforce a également retiré l’application Drift de son magasin AppExchange, le temps de l’enquête. À noter que cette attaque ne provient pas d’une vulnérabilité dans Salesforce lui-même, mais d’une faiblesse dans un service tiers connecté.

Exfiltration des données dans Salesforce

Une fois les accès établis, l’acteur malveillant (suivi par Google sous l’identifiant UNC6395) a automatisé l’extraction de larges volumes de données depuis les instances Salesforce visées. Concrètement, il a exécuté des requêtes SOQL massives sur divers objets du CRM (comptes, contacts, opportunités, utilisateurs et cas de support, entre autres) afin de vider le contenu des bases. Les données volées ont ensuite été passées au crible pour y trouver des “secrets” exploitables. Les attaquants recherchaient notamment des identifiants et clés d’accès : clés AWS, tokens Snowflake, identifiants de connexion VPN/SSO, ainsi que tout champ contenant des mots-clés évocateurs comme “password”, “secret” ou “key”.

L’objectif final était d’utiliser ces informations pour compromettre d’autres plateformes cloud associées aux victimes (ce qui aurait pu permettre, par exemple, d’accéder à des infrastructures supplémentaires ou de préparer une tentative d’extorsion basée sur les données volées).

Les indices techniques observés témoignent d’une opération sophistiquée et discrète. Les attaquants ont utilisé des outils automatisés personnalisés pour interagir avec les API Salesforce. En analysant les journaux, Palo Alto Networks et Google ont relevé des chaînes User-Agent atypiques correspondant à ces outils, telles que : “python-requests/2.32.4”, “Python/3.11 aiohttp/3.12.15”, ou encore “Salesforce-Multi-Org-Fetcher/1.0” et “Salesforce-CLI/1.0”.

Par ailleurs, afin d’échapper à la détection, les auteurs de l’attaque ont supprimé certaines traces de leurs activités (comme les journaux des requêtes SOQL exécutées) et routé leur connexion via le réseau Tor et des services cloud (ex. serveurs chez DigitalOcean ou AWS) pour masquer l’origine des accès.

Impact sur Palo Alto Networks et autres victimes

Parmi les organisations touchées par cet incident figure Palo Alto Networks, qui a confirmé avoir subi une fuite de données via son CRM Salesforce. Selon l’entreprise, l’attaquant a extrait principalement des informations de contact professionnel, des enregistrements de comptes commerciaux internes, ainsi que des données liées aux tickets de support (principalement le texte des commentaires échangés avec le support). Palo Alto Networks précise que les fichiers et pièces jointes des cas de support n’ont pas été compromis, limitant l’ampleur des informations sensibles dérobées.

Surtout, l’incident est resté circonscrit à l’environnement Salesforce de l’entreprise et n’a pas affecté les produits, services ou autres systèmes internes. L’équipe de sécurité a rapidement isolé l’application Drift incriminée de son écosystème et a lancé une enquête (confiée à sa division Unit 42), tout en notifiant individuellement les clients concernés par la fuite.

Cet incident de supply chain ne se limite pas à Palo Alto Networks et a eu un impact plus large. D’après les éléments communiqués, des centaines d’entreprises utilisatrices de Salesloft Drift ont pu être affectées de manière similaire. D’autres grands noms du secteur technologique et de la cybersécurité ont signalé des compromissions liées à cette campagne.

Par exemple, la société Zscaler a également vu des données clients exposées via son Salesforce à cause de la même faille. De son côté, Cloudflare a confirmé une intrusion analogue via l’intégration Drift. Même Google a dû alerter que certains comptes de messagerie Gmail d’entreprise, intégrés via la fonction Drift Email, avaient été accessibles par les attaquants (sans toutefois que le cœur de Google Workspace ne soit compromis). La liste des victimes connues inclut aussi l’éditeur SaaS Workiva et possiblement d’autres entités qui n’ont pas été rendues publiques.

Réponse et recommandations

Face à l’ampleur de l’attaque, l’écosystème a réagi rapidement pour en limiter les effets et prévenir de nouveaux rebonds. Comme indiqué, Salesloft et Salesforce ont d’emblée neutralisé l’application compromise en révoquant les accès OAuth et en suspendant l’intégration Drift. Du côté de Google, lorsque l’extension de l’attaque vers l’intégration Drift Email a été découverte (fin août 2025), des mesures similaires ont été prises : identification et révocation des jetons OAuth liés à Drift Email, désactivation de la connexion entre Drift et Google Workspace, et notification des administrateurs concernés. Ces actions immédiates visaient à couper court à l’accès de l’attaquant et à éviter toute exploitation ultérieure des comptes.

Parallèlement, les équipes de sécurité (notamment le Google Threat Intelligence Group et Mandiant, appelés en renfort par Salesloft) ont publié des recommandations à destination des organisations potentiellement touchées. En synthèse, il est conseillé de :

• Investiger les journaux Salesforce (logs d’événements, historiques des requêtes SOQL), ainsi que ceux de l’identité (SSO/AD) et du réseau, pour détecter toute activité suspecte en lien avec l’application Drift ou un compte intégré.
• Désactiver l’intégration Drift et révoquer/renouveler tous les identifiants compromis : tokens OAuth, clés API, mots de passe et secrets utilisés par Drift ou présents dans Salesforce. Effectuez une rotation de ces secrets sur tous les systèmes liés (changement des clés d’accès, invalidation des tokens, etc.).
• Analyser les dépôts de code et données pour y repérer d’éventuelles fuites de clés ou de mots de passe. Des outils spécialisés comme Trufflehog ou Gitleaks peuvent aider à scanner le code source et les configurations à la recherche de secrets exposés.
• Rechercher dans les données Salesforce les traces de secrets compromis. Par exemple, identifier tout contenu contenant des indicateurs tels que “AKIA” (identifiants AWS), “snowflakecomputing.com” (identifiants Snowflake), ou des termes comme “password”/“secret”. Si de tels éléments sont trouvés, considérer qu’ils ont pu être copiés par l’attaquant et les invalider sans délai.
• Renforcer les contrôles d’accès aux applications interconnectées : limiter les permissions accordées aux applications tierces (éviter de fournir un accès “full” quand ce n’est pas nécessaire), appliquer des restrictions d’IP sur les connected apps OAuth (par exemple n’autoriser que les adresses approuvées à utiliser l’application), définir des plages d’IP de confiance sur les profils utilisateur Salesforce, et retirer l’autorisation d’accès API aux comptes qui n’en ont pas explicitement besoin.

Ces mesures visent à détecter tout signe d’intrusion passée et à réduire la surface d’attaque pour l’avenir. Enfin, il est recommandé de rester vigilant vis-à-vis des applications tierces ayant accès aux données sensibles et de surveiller de près toute activité inhabituelle sur les plateformes SaaS critiques.

Contexte plus large : extorsion via les CRM

La technique employée dans l’attaque Salesloft Drift s’inscrit dans une tendance plus large d’attaques contre les données hébergées dans Salesforce. Depuis le début de 2023, un groupe de cybercriminels opportunistes, connu sous le nom de ShinyHunters, s’est illustré par des campagnes d’extorsion ciblant précisément les CRM d’entreprises de premier plan. Historiquement, ce groupe (lié au collectif Scattered Spider) a pour modus operandi de piéger des employés par du vishing (hameçonnage vocal) ou d’autres ruses, afin de les amener à installer ou autoriser une application malveillante connectée à Salesforce. Une fois l’accès OAuth obtenu, les hackers aspirent la base de données clients de l’entreprise puis contactent celle-ci en exigeant une rançon, sous peine de fuite des données volées.

Ainsi, tout au long de l’année, de nombreuses sociétés ont vu leur Salesforce compromis par ces méthodes d’ingénierie sociale. Parmi les victimes figurent des géants comme Google, Cisco, Farmers Insurance, Workday, Adidas, Qantas, Allianz Life, ou encore des filiales de LVMH (Louis Vuitton, Dior, Tiffany & Co., pour n’en citer que quelques-unes). L’attaque via Salesloft Drift représente une variante plus indirecte de cette tendance : en s’en prenant à un fournisseur tiers largement utilisé, les cybercriminels ont pu atteindre en une seule opération plusieurs cibles à haut profil, sans avoir à infiltrer individuellement chaque entreprise.

Bien que le groupe ShinyHunters ait laissé entendre qu’il était mêlé à ces nouveaux incidents (certains de ses membres revendiquant publiquement la campagne Salesloft), les analystes de Google restent prudents quant à l’attribution. Aucune preuve formelle ne permet à ce stade de confirmer que l’attaque de l’intégration Drift est pilotée par ShinyHunters ou un groupe affilié. Quoi qu’il en soit, ces événements rappellent cruellement la nécessité de contrôler rigoureusement les accès tiers aux données sensibles, et de sécuriser l’écosystème d’applications connectées autour des plateformes critiques comme Salesforce.

Sources

• BleepingComputer – Palo Alto Networks data breach exposes customer info, support cases (Lawrence Abrams, 2 septembre 2025)bleepingcomputer.combleepingcomputer.com
• BleepingComputer – Salesloft breached to steal OAuth tokens for Salesforce data-theft attacks (Lawrence Abrams, 26 août 2025)bleepingcomputer.combleepingcomputer.com
• Salesloft – Drift/Salesforce Integration Security Notification (avis de sécurité, août 2025)bleepingcomputer.com
• Google Cloud – Widespread Data Theft Targets Salesforce Instances via Salesloft Drift (GTIG/Mandiant, 26 août 2025)cloud.google.comcloud.google.com

---

🔎 À lire cette semaine sur mon blog

Je vous propose une nouvelle sélection de mes derniers articles publiés sur mon blog.

🔹 Patch Management – Une obligation simple et non négociable pour la sécurité des TPE/PME
👉 Lire : https://blog.marcfredericgomez.fr/patch-management-une-obligation-simple-et-non-negociable-pour-la-securite-des-tpe-pme/

🔹 Projet Chat Control vs 1984 d’Orwell – Entre réalité légale et dystopie fictionnelle
👉 Lire : https://blog.marcfredericgomez.fr/projet-chat-control-vs-1984-dorwell-entre-realite-legale-et-dystopie-fictionnelle/

🔹 Velociraptor détourné par les cybercriminels – Analyse d’un incident révélateur
👉 Lire : https://blog.marcfredericgomez.fr/velociraptor-detourne-par-les-cybercriminels-analyse-dun-incident-revelateur/

🔹 Compromission de Salesloft – Plus de 700 entreprises touchées par l’attaque
👉 Lire : https://blog.marcfredericgomez.fr/compromission-de-salesloft-plus-de-700-entreprises-touchees-par-lattaque/

🔹 Scattered Spider – Profil, techniques et impact d’un groupe cybercriminel
👉 Lire : https://blog.marcfredericgomez.fr/scattered-spider-profil-techniques-et-impact-dun-groupe-cybercriminel/

---

🎙 Récapitulatif des épisodes du podcast de la semaine

Du samedi 30 Août au vendredi 5 Septembre 2025

📅 Podcast RadioCSIRT du Samedi 30 Août 2025 (Ep.404)

📌 Au programme aujourd’hui :

🐧 RingReaper : un nouveau malware Linux
Un agent de post-exploitation utilise io_uring pour contourner la détection et exfiltrer des données. Une menace inédite observée depuis août 2025.
🔗 https://www.linux-magazine.com/Online/News/RingReaper-Malware-Poses-Danger-to-Linux-Systems

🛠️ Vulnérabilité critique dans GLPI
La CVE-2025-53105 permet à un utilisateur non admin de modifier l’ordre d’exécution des règles. Correctif disponible en version 10.0.19.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0735/

📦 CVE-2012-10062 : XAMPP WebDAV vulnérable
Une configuration par défaut dans XAMPP 1.7.3 permet un téléversement de fichiers PHP et l’exécution de code à distance.
🔗 https://cvefeed.io/vuln/detail/CVE-2012-10062

🔍 Velociraptor détourné par des attaquants
Des campagnes abusent de l’outil forensique pour exfiltrer des données et exécuter des commandes sur des hôtes compromis.
🔗 https://thehackernews.com/2025/08/attackers-abuse-velociraptor-forensic.html

🚢 Lab Dookhtegan perturbe les communications navales iraniennes
Le groupe revendique une cyberattaque ayant affecté 60 navires de la NITC et de l’IRISL, en ciblant les systèmes satellitaires.
🔗 https://securityaffairs.com/181737/hacking/lab-dookhtegan-disrupts-comms-iranian-ships.html

📅 Podcast RadioCSIRT du Dimanche 31 Août 2025 (Ep.405)

📌 Au programme aujourd’hui :

🤖 Claude AI exploité par les cybercriminels
Des acteurs malveillants détournent le chatbot Claude AI pour automatiser des campagnes criminelles, incluant phishing, escroqueries et génération de malwares.
🔗 https://www.malwarebytes.com/blog/news/2025/08/claude-ai-chatbot-abused-to-launch-cybercrime-spree

🍏 Panorama des menaces sur macOS
Kaspersky décrit les attaques typiques contre macOS, incluant voleurs d’informations, logiciels espions et outils de contrôle à distance ciblant les utilisateurs Apple.
🔗 https://securelist.com/macos-security-and-typical-attacks/117367/

🏙️ Escroquerie à l’identité de la Ville de Baltimore
Un fraudeur se fait passer pour un fournisseur officiel de la ville afin de tromper les entreprises locales et détourner des paiements.
🔗 https://therecord.media/scammer-steals-baltimore-city-impersonation-vendor

📦 TamperedChef : un infostealer diffusé via un faux éditeur PDF
Les chercheurs découvrent une campagne de malware où un éditeur PDF frauduleux installe TamperedChef pour exfiltrer des informations sensibles.
🔗 https://www.bleepingcomputer.com/news/security/tamperedchef-infostealer-delivered-through-fraudulent-pdf-editor/

🇷🇺 Amazon bloque une opération APT29
Amazon a neutralisé une campagne d’APT29 qui exploitait l’authentification par code de périphérique Microsoft pour cibler ses services cloud.
🔗https://securityaffairs.com/181747/apt/amazon-blocks-apt29-campaign-targeting-microsoft-device-code-authentication.html

📅 Podcast RadioCSIRT du Lundi 1 Septembre 2025 (Ep.406)

📌 Au programme aujourd’hui :

🖥️ Multiples vulnérabilités dans les produits Qnap
Le CERT-FR publie l’avis CERTFR-2025-AVI-0747 détaillant plusieurs failles critiques dans les solutions Qnap, permettant exécution de code à distance, déni de service et injection SQL.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0747/

🐧 Plague : un backdoor PAM découvert sous Linux
Les chercheurs de Nextron Systems révèlent Plague, un implant PAM furtif capable de contourner l’authentification et de persister sur les systèmes Linux tout en échappant aux détections.
🔗 https://www.nextron-systems.com/2025/08/01/plague-a-newly-discovered-pam-based-backdoor-for-linux/

📅 Podcast RadioCSIRT du Mardi 2 Septembre 2025 (Ep.407)

📌 Au programme aujourd’hui :

🖥️ Multiples vulnérabilités dans les produits Qnap
Le CERT-FR publie l’avis CERTFR-2025-AVI-0747 détaillant plusieurs failles critiques dans les solutions Qnap, permettant exécution de code à distance, déni de service et injection SQL.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0747/

🐧 Plague : un backdoor PAM découvert sous Linux
Les chercheurs de Nextron Systems révèlent Plague, un implant PAM furtif capable de contourner l’authentification et de persister sur les systèmes Linux tout en échappant aux détections.
🔗 https://www.nextron-systems.com/2025/08/01/plague-a-newly-discovered-pam-based-backdoor-for-linux/

🌐 DDoS : une menace sous-estimée qui explose
The Register met en lumière la croissance massive des attaques DDoS avec plus de 8 millions d’incidents recensés au premier semestre 2025, dont certains dépassant 3 Tbps.
🔗 https://www.theregister.com/2025/09/01/ddos_opinion/

🕷️ Scattered Spider : le navigateur comme nouvelle cible
The Hacker News analyse les méthodes de Scattered Spider, exploitant navigateurs et extensions pour voler identifiants, tokens et mener des compromissions ciblées.
🔗 https://thehackernews.com/2025/09/when-browsers-become-attack-surface.html

🌐 DDoS : une menace sous-estimée qui explose
The Register met en lumière la croissance massive des attaques DDoS avec plus de 8 millions d’incidents recensés au premier semestre 2025, dont certains dépassant 3 Tbps.
🔗 https://www.theregister.com/2025/09/01/ddos_opinion/

🕷️ Scattered Spider : le navigateur comme nouvelle cible
The Hacker News analyse les méthodes de Scattered Spider, exploitant navigateurs et extensions pour voler identifiants, tokens et mener des compromissions ciblées.
🔗 https://thehackernews.com/2025/09/when-browsers-become-attack-surface.html

📅 Podcast RadioCSIRT du Mercredi 3 Septembre 2025 (Ep.408)

📌 Au programme aujourd’hui :

🛡️ Chrome : multiples vulnérabilités
Versions antérieures à 140.0.7339.80/81 (Linux/Windows/Mac) affectées ; CVE-2025-9864/9865/9866/9867 — mise à jour recommandée. CERT-FR
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0749/

📱 Android : bulletin de sécurité mensuel
Exécution de code à distance, élévation de privilèges, atteinte à la confidentialité ; exploitation active signalée pour CVE-2025-38352 et CVE-2025-48543 (patch du 2/09/2025). CERT-FR
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0750/

🏢 Workiva : déclaration de violation de données liée aux attaques Salesforce
Accès via un CRM tiers ; exfiltration d’informations de contact professionnelles (noms, e-mails, téléphones, contenu de tickets). La plateforme Workiva n’est pas compromise ; vigilance spear-phishing recommandée. BleepingComputer
🔗 https://www.bleepingcomputer.com/news/security/saas-giant-workiva-discloses-data-breach-after-salesforce-attack/

🔬 Recherche : signature Authenticode “malformed”
Elastic Security Labs détaille une heuristique Windows (WinVerifyTrust) pouvant déclencher des faux positifs (marqueurs “invalid markers”, ex. EGGA). Piste de mitigation observée : option /rmc lors de la signature ; analyse et causes profondes documentées. Elastic
🔗 https://www.elastic.co/security-labs/malformed-authenticode-signature

📅 Podcast RadioCSIRT du Jeudi 4 Septembre 2025 (Ep.409)

📌 Au programme aujourd’hui :

🛡️ CISA : ajout de vulnérabilités exploitées activement
Les CVE-2025-38352 et CVE-2025-48543 rejoignent le Known Exploited Vulnerabilities Catalog. Exploitation confirmée dans la nature. CISA
🔗 https://www.cisa.gov/news-events/alerts/2025/09/03/cisa-adds-two-known-exploited-vulnerabilities-catalog

📱 Google Pixel : multiples vulnérabilités
Affectent les appareils avant le correctif du 3 septembre 2025 ; exécution de code, élévation de privilèges et déni de service à distance. CERT-FR
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0752/

🏢 VMware : vulnérabilités multiples dans Tanzu GemFire et Greenplum
Versions antérieures à 1.4.0 et 7.5.4 concernées ; plusieurs CVE listées par l’éditeur. CERT-FR
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0754/

🏭 Bridgestone : cyberattaque en Amérique du Nord
Impact sur plusieurs sites de production ; investigation en cours, pas de vol de données clients détecté. BleepingComputer
🔗 https://www.bleepingcomputer.com/news/security/tire-giant-bridgestone-confirms-cyberattack-impacts-manufacturing/

🚗 Jaguar Land Rover : arrêt de systèmes après cyberattaque
Perturbations majeures dans la production et la vente au détail ; aucune preuve de fuite de données clients. Security Affairs
🔗 https://securityaffairs.com/181838/hacking/jaguar-land-rover-shuts-down-systems-after-cyberattack-no-evidence-of-customer-data-theft.html

🤖 Malvertising : exploitation de Grok AI sur X
Technique “Grokking” pour contourner les protections publicitaires et diffuser des liens malveillants à grande échelle. The Hacker News
🔗 https://thehackernews.com/2025/09/cybercriminals-exploit-xs-grok-ai-to.html

🇺🇦 Ukraine : évolution de la stratégie cyber russe
Le général Oleksandr Potii décrit la baisse des attaques critiques, l’augmentation des opérations d’espionnage et la coopération renforcée avec les alliés occidentaux. The Record
🔗 https://therecord.media/ukraine-cyber-chief-on-russia-hacks-us-aid

📅 Podcast RadioCSIRT du Vendredi 5 Septembre 2025 (Ep.410)

📌 Au programme aujourd’hui :

💻 SAP S/4HANA : vulnérabilité critique exploitée
Exploitation active confirmée ; permet l’exécution de commandes arbitraires. Correctifs disponibles, déploiement urgent recommandé. BleepingComputer
🔗 https://www.bleepingcomputer.com/news/security/critical-sap-s-4hana-vulnerability-now-exploited-in-attacks/

🕵️ Sitecore : faille zero-day exploitée
Des attaquants ont déployé des webshells et backdoors via cette vulnérabilité non corrigée. BleepingComputer
🔗 https://www.bleepingcomputer.com/news/security/hackers-exploited-sitecore-zero-day-flaw-to-deploy-backdoors/

🛡️ CISA : nouvelles failles ajoutées au KEV Catalog
Les vulnérabilités Sitecore, Android et Linux rejoignent la liste des failles exploitées activement. Security Affairs
🔗 https://securityaffairs.com/181924/breaking-news/u-s-cisa-adds-sitecore-android-and-linux-flaws-to-its-known-exploited-vulnerabilities-catalog.html

🇷🇺 APT28 : campagne avec NotDoor via Outlook
Le groupe russe déploie un nouveau malware ciblant les utilisateurs Outlook, avec capacités de persistance et exfiltration de données. The Hacker News
🔗 https://thehackernews.com/2025/09/russian-apt28-deploys-notdoor-outlook.html

📞 Partagez vos retours : 📱 07 68 72 20 09 📧 radiocsirt@gmail.com

🎧 Disponible sur : Apple Podcasts • Deezer • Spotify • YouTube • Amazon Music

🌐 Site : https://www.radiocsirt.org

RadioCSIRT’s Substack

🔹 Chaque samedi, recevez directement par email le récapitulatif des actualités cybersécurité de la semaine avec RadioCSIRT, votre podcast quotidien dédié aux experts et professionnels du domaine. Abonnez-vous pour ne rien manquer ! 📩🔥

🛡️ On ne réfléchit pas. On patch !