NewsLetter RadioCSIRT N°31

octobre 4, 2025 marc Newsletter RadioCSIRT Commentaires fermés sur NewsLetter RadioCSIRT N°31

Bonjour,

La semaine a été marquée par une activité soutenue en matière de vulnérabilités exploitées activement. La CISA a émis la directive d’urgence ED 25-03 concernant les équipements Cisco ASA et FTD, avec près de 50 000 pare-feux exposés à deux failles zero-day. Le NCSC britannique et Cisco ont confirmé des campagnes persistantes exploitant ces vulnérabilités, associées aux malwares RayInitiator et LINE VIPER.

Cinq nouvelles vulnérabilités ont été ajoutées au catalogue KEV de la CISA, affectant notamment Cisco et Apple. Le CERT-FR a publié plusieurs avis critiques concernant Apple (CERTFR-2025-AVI-0831), VMware (CERTFR-2025-AVI-0832), OpenSSL (CERTFR-2025-AVI-0835), Tenable Security Center (CERTFR-2025-AVI-0836), Joomla (CERTFR-2025-AVI-0833) et Mozilla Firefox (CERTFR-2025-AVI-0834). Les correctifs sont disponibles pour l’ensemble de ces vulnérabilités.

Parmi les autres failles notables : Splunk Enterprise (six vulnérabilités dont une SSRF CVE-2025-20371 avec CVSS 7.5), Google Chrome 141 (21 vulnérabilités corrigées), WordPress LatePoint (CVE-2025-7038, faille d’authentification) et DrayTek Vigor (CVE-2025-10547, exécution de code à distance).

Menaces avancées persistantes (APT)

Plusieurs groupes APT ont intensifié leurs activités. Palo Alto Networks a identifié Phantom Taurus, nouvel acteur lié à la Chine utilisant le malware .NET NET-STAR contre des serveurs IIS en Afrique, au Moyen-Orient et en Asie. Unit 42 a établi un lien entre le malware Bookworm et l’APT chinois Stately Taurus.

Le groupe Confucius a déployé le backdoor Python AnonDoor via des documents piégés. Le CERT-UA a signalé des campagnes UAC-0245 ciblant l’Ukraine avec le shellcode CABINETRAT. BI.ZONE a révélé les opérations de Cavalry Werewolf visant des agences russes avec les malwares FoalShell et StallionRAT.

Une campagne sophistiquée utilisant le trojan bancaire Android Datzbro cible les seniors via de faux groupes Facebook, affectant l’Australie, le Canada, le Royaume-Uni et Singapour.

Incidents de sécurité majeurs

L’incident Red Hat constitue l’événement le plus significatif de la semaine. Le groupe Crimson Collective revendique l’exfiltration de 570 Go de données provenant de 28 000 dépôts GitLab privés de Red Hat Consulting. Les données compromises incluent des rapports d’engagement client, des identifiants, des secrets CI/CD et des playbooks Ansible. Les organisations touchées incluent des entités majeures de la finance, des télécoms et du secteur public. Le Centre pour la Cybersécurité Belgique recommande la rotation immédiate des clés et jetons partagés.

D’autres incidents incluent la menace d’extorsion du groupe Radiant contre la chaîne de crèches Kido (données de 8 000 enfants), une fuite de données chez Harrods via un prestataire tiers, et une campagne d’extorsion attribuée à Clop ciblant Oracle E-Business Suite.

Développements en sécurité opérationnelle

La CISA et le NCSC britannique ont publié une guidance conjointe pour la sécurisation des systèmes OT. L’Australie a ouvert l’accès à sa plateforme CTIS (Cyber Threat Intelligence Sharing) via Microsoft Sentinel et Splunk Enterprise Security.

Microsoft a désactivé l’affichage des images SVG dans Outlook en réponse à leur utilisation croissante dans des attaques de phishing et d’injection XSS. Le déploiement sera finalisé mi-octobre 2025.

L’épisode 436 a abordé la pertinence du NDR dans un contexte de trafic majoritairement chiffré, soulignant sa valeur pour l’IoT, l’OT, la détection d’exfiltration et le beaconing C2.

Actions judiciaires et normalisation

Le procès Adecco à Lyon s’est conclu par une condamnation à six ans de prison ferme pour le responsable du piratage massif de données personnelles. Interpol a coordonné une opération anti-cyberfraude en Afrique ayant conduit à l’arrestation de 260 suspects. Aux Pays-Bas, deux adolescents ont été arrêtés pour espionnage présumé pour la Russie.

L’IETF a publié la RFC 9794, rédigée par le NCSC britannique et Britta Hale, établissant la terminologie standardisée pour les schémas hybrides post-quantiques/traditionnels (PQ/T), élément structurant pour la migration vers la cryptographie post-quantique.

Quelques recommandations

Les équipes de sécurité doivent prioriser l’application des correctifs Cisco ASA/FTD, la vérification des compromissions potentielles via les guides de détection publiés, et la mise à jour des systèmes critiques (OpenSSL, VMware, Splunk).

Pour les organisations clientes de Red Hat Consulting, une rotation immédiate des identifiants et secrets partagés est impérative. La surveillance des tentatives d’extorsion liées à Oracle E-Business Suite doit être renforcée.

Bien à vous

Marc Frédéric GOMEZ
Fondateur de RadioCSIRT

🔎 À lire cette semaine sur mon blog

Je vous propose une nouvelle sélection de mes derniers articles publiés sur mon blog.

🔹 Violation de données Red Hat : analyse pour les CISO, CERT, CSIRT et SOC
👉 Lire : https://blog.marcfredericgomez.fr/violation-de-donnees-red-hat-analyse-pour-les-ciso-cert-csirt-et-soc/

🔹 RPM 6.0.0 : un saut de génération pour la chaîne de confiance et la pérennité des paquets
👉 Lire : https://blog.marcfredericgomez.fr/rpm-6-0-0-un-saut-de-generation-pour-la-chaine-de-confiance-et-la-perennite-des-paquets/

🎙 Récapitulatif des épisodes du podcast de la semaine (Ep.434 au 442)

Du samedi 27 septembre au au vendredi 3 octobre 2025

📅 Podcast RadioCSIRT du Samedi 27 Septembre 2025 (Ep.434)

📌 Au programme aujourd’hui :

🌐 CISA — Directive ED 25-03
La CISA ordonne aux agences fédérales d’identifier et d’atténuer immédiatement toute compromission potentielle affectant les dispositifs Cisco ASA et FTD, à la suite d’attaques exploitant des vulnérabilités zero-day.

🕵️ Instructions supplémentaires — Core Dump & Threat Hunting
Un guide détaillé est publié afin d’accompagner les équipes techniques dans la collecte des journaux mémoire (core dumps) et la chasse aux indicateurs de compromission.

💣 Campagne persistante — Ciblage des équipements Cisco
Le NCSC britannique et Cisco mettent en garde contre des attaques continues exploitant les vulnérabilités des pare-feu ASA et Firepower, liées à des malwares identifiés (RayInitiator, LINE VIPER).

🔑 Sécurisation des mots de passe Cisco
L’Agence nationale de sécurité (NSA) rappelle les bonnes pratiques pour la gestion des types de mots de passe dans les configurations Cisco afin de réduire les risques d’exploitation.

🖥️ Investigation des connexions suspectes
Des ressources pratiques sont proposées pour renforcer l’analyse des connexions utilisateurs lors des opérations de réponse à incident.

📚 Ressources :
🔗 CISA Emergency Directive ED 25-03: https://www.cisa.gov/news-events/directives/ed-25-03-identify-and-mitigate-potential-compromise-cisco-devices
🔗 CISA Supplemental Direction ED 25-03 Core Dump Instructions: https://www.cisa.gov/news-events/directives/supplemental-direction-ed-25-03-core-dump-and-hunt-instructions
🔗 CISA Alert – Federal Agencies Directive: https://www.cisa.gov/news-events/alerts/2025/09/25/cisa-directs-federal-agencies-identify-and-mitigate-potential-compromise-cisco-devices
🔗 BleepingComputer – Cisco ASA Zero-Day Attacks: https://www.bleepingcomputer.com/news/security/cisa-orders-agencies-to-patch-cisco-flaws-exploited-in-zero-day-attacks/
🔗 UK NCSC Persistent Malware Campaign Alert: https://www.ncsc.gov.uk/news/persistent-malicious-targeting-cisco-devices
🔗 UK NCSC Malware Analysis Report RayInitiator & LINE VIPER: https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/RayInitiator-LINE-VIPER/ncsc-mar-rayinitiator-line-viper.pdf
🔗 NSA Cisco Password Types Best Practices: https://media.defense.gov/2022/Feb/17/2002940795/-1/-1/1/CSI_CISCO_PASSWORD_TYPES_BEST_PRACTICES_20220217.PDF
🔗 Cisco Security Center – ASA FTD Continued Attacks: https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks
🔗 Cisco Detection Guide for Continued Attacks: https://sec.cloudapps.cisco.com/security/center/resources/detection_guide_for_continued_attacks
🔗 CyberTriage User Login Investigation Guide: https://www.cybertriage.com/blog/training/how-to-investigate-user-logins-intro-to-incident-response-triage-2021/

📅 Podcast RadioCSIRT du Dimanche 28 Septembre 2025 (Ep.435)

📌 Au programme aujourd’hui :

👶 Fuite de données dans les crèches Kido
Le groupe Radiant menace de publier les données de 8 000 enfants après avoir exigé une rançon auprès de la chaîne Kido.

📧 Compte mail piraté : que faire ?
McAfee détaille les signes d’un piratage d’email, les risques d’usurpation d’identité et les étapes clés pour reprendre le contrôle.

🌍 Interpol : vaste opération anti-cyberfraude en Afrique
260 suspects arrêtés dans une opération coordonnée. Ghana, Sénégal, Côte d’Ivoire et Angola sont directement concernés.

🐛 Bookworm attribué à Stately Taurus
Unit 42 établit un lien fort entre le malware Bookworm et l’APT chinois Stately Taurus via son cadre d’attribution.

🕵️ Adolescents arrêtés aux Pays-Bas
Deux jeunes de 17 ans, recrutés via Telegram, accusés d’espionnage pour la Russie près d’Europol.

📩 Bug d’Outlook et mails chiffrés
Microsoft publie une solution temporaire pour corriger une erreur empêchant l’ouverture des emails OMEv2 chiffrés inter-tenants.

📚 Ressources :
🔗 https://www.malwarebytes.com/blog/news/2025/09/hackers-threaten-parents-get-nursery-to-pay-ransom-or-we-leak-your-childs-data
🔗 https://www.mcafee.com/blogs/internet-security/what-to-do-if-your-email-is-hacked/
🔗 https://therecord.media/africa-cyber-fraud-crackdown-ghana-senegal-cote-divoire-angola-interpol
🔗 https://unit42.paloaltonetworks.com/bookworm-to-stately-taurus/
🔗 https://www.bleepingcomputer.com/news/security/dutch-teens-arrested-for-trying-to-spy-on-europol-for-russia/
🔗 https://www.bleepingcomputer.com/news/microsoft/microsoft-shares-temp-fix-for-outlook-encrypted-email-errors/

📅 Podcast RadioCSIRT du Dimanche 28 Septembre 2025 (Ep.436)

📌 Au programme aujourd’hui :

Aujourd’hui, un épisode spécial construit autour d’une question de Matthieu :
👉 Le NDR est-il encore pertinent dans un monde où la majorité du trafic est chiffré, alors que l’EDR s’impose souvent comme priorité ?

🔎 Au programme :

  • Les limites du NDR face au chiffrement généralisé.
  • Les cas où le NDR reste indispensable : IoT, OT, exfiltration de données, C2 beaconing, segmentation réseau.
  • Des success stories concrètes dans la santé, l’industrie et la finance.

Le positionnement stratégique du NDR par rapport à l’EDR et au SIEM/XDR.

📅 Podcast RadioCSIRT du Lundi 29 septembre 2025 (Ep.437)

📌 Au programme aujourd’hui :

⚖️ Procès Adecco à Lyon
Le cerveau du piratage massif de données personnelles condamné à six ans de prison ferme.

🏭 CISA et NCSC : sécurisation des systèmes OT
Nouvelle guidance internationale pour établir une vision complète et à jour des architectures OT.

🐛 Tenable Patch Management
La CVE-2025-30754 permet de contourner la politique de sécurité. Correctif disponible dans la version 9.3.969.1.

🛍️ Harrods : fuite de données via un prestataire tiers
Des noms et coordonnées de clients e-commerce compromis. Aucun mot de passe ni détail financier exposé.

☸️ SUSE Rancher Manager
Vulnérabilité critique de verrouillage des comptes administrateurs. Correctifs publiés dans les versions 2.12.2, 2.11.6, 2.10.10 et 2.9.12.

📚 Ressources :
🔗 https://france3-regions.franceinfo.fr/auvergne-rhone-alpes/rhone/lyon/proces-adecco-six-ans-ferme-pour-le-cerveau-qui-avait-permis-le-piratage-massif-de-donnees-personnelles-3223730.html
🔗 https://www.cisa.gov/news-events/alerts/2025/09/29/cisa-and-uk-ncsc-release-joint-guidance-securing-ot-systems
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0830/
🔗 https://securityaffairs.com/182752/data-breach/harrods-alerts-customers-to-new-data-breach-linked-to-third-party-provider.html
🔗 https://cyberpress.org/suse-rancher-vulnerabilities/

📅 Podcast RadioCSIRT du Mardi 30 septembre 2025 (Ep.438)

📌 Au programme aujourd’hui :

🔥 CISA – 5 vulnérabilités activement exploitées
Ajout au catalogue KEV, incluant des failles critiques affectant Cisco, Apple et d’autres éditeurs majeurs.

🍏 CERT-FR – Apple (CERTFR-2025-AVI-0831)
Une vulnérabilité affectant iOS, iPadOS, macOS et visionOS. Elle permet un déni de service à distance ainsi qu’un problème de sécurité non spécifié par Apple. Correctifs disponibles via plusieurs bulletins de l’éditeur.

💻 CERT-FR – VMware (CERTFR-2025-AVI-0832)
Multiples vulnérabilités critiques dans Aria Operations, Cloud Foundation, NSX, vCenter, VMware Tools et autres produits. Risques : élévation de privilèges, atteinte à la confidentialité et contournement de la politique de sécurité. Correctifs publiés par Broadcom/VMware.

🌐 Cisco ASA et FTD
Près de 50 000 pare-feux exposés à deux failles activement exploitées. Des correctifs et mesures de mitigation sont disponibles.

🤖 Google Gemini AI
Des chercheurs publient des détails sensibles sur l’IA de Google, soulevant des risques de sécurité et de confidentialité.

📚 Ressources :

🔗 https://www.cisa.gov/news-events/alerts/2025/09/29/cisa-adds-five-known-exploited-vulnerabilities-catalog
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0831/
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0832/
🔗 https://www.bleepingcomputer.com/news/security/nearly-50-000-cisco-firewalls-vulnerable-to-actively-exploited-flaws/
🔗 https://thehackernews.com/2025/09/researchers-disclose-google-gemini-ai.html

📅 Podcast RadioCSIRT du Mercredi 1 octobre 2025 (Ep.439)

📌 Au programme aujourd’hui :

🔥 Datzbro – Trojan bancaire Android ciblant les seniors

Campagne sophistiquée utilisant de faux groupes Facebook pour distribuer un malware hybride avec capacités de prise de contrôle à distance. Cible multiple pays dont l’Australie, le Canada, le Royaume-Uni et Singapour.

🔓 CERT-FR – OpenSSL (CERTFR-2025-AVI-0835)

Multiples vulnérabilités critiques permettant l’exécution de code arbitraire, le déni de service et l’atteinte à la confidentialité. Affecte de nombreuses versions d’OpenSSL. Correctifs publiés le 30 septembre.

🛡️ CERT-FR – Tenable Security Center (CERTFR-2025-AVI-0836)

11 vulnérabilités permettant l’exécution de code arbitraire, l’élévation de privilèges et le contournement de la politique de sécurité. Patch SC-202509.2 disponible.

🌐 CERT-FR – Joomla! (CERTFR-2025-AVI-0833)

Vulnérabilités permettant l’atteinte à la confidentialité et des injections XSS. Affecte Joomla! versions 3.x, 4.x et 5.x. Correctifs publiés le 30 septembre.

🦊 CERT-FR – Mozilla Firefox (CERTFR-2025-AVI-0834)

Multiples vulnérabilités dans Firefox et Firefox iOS permettant l’atteinte à la confidentialité et le contournement de la politique de sécurité. Mises à jour disponibles.

💻 Talos – Vulnérabilités NVIDIA et Adobe

5 vulnérabilités dans NVIDIA CUDA Toolkit affectant cuobjdump et nvdisasm (exécution de code arbitraire, écritures hors limites, débordement de tampon). 1 vulnérabilité d’utilisation après libération dans Adobe Acrobat Reader pouvant mener à l’exécution de code arbitraire. Correctifs disponibles.

📚 Ressources :

🔗 https://cyberpress.org/senior-travel-fraud/
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0835/
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0836/
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0833/
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0834/
🔗 https://blog.talosintelligence.com/nvidia-and-adobe-vulnerabilities/

📅 Podcast RadioCSIRT du Jeudi 2 octobre 2025 (Ep.440)

📌 Au programme aujourd’hui :

🕵️ APT Phantom Taurus – Malware NET-STAR
Nouvel acteur lié à la Chine identifié par Palo Alto Networks. Utilisation du malware .NET NET-STAR ciblant les serveurs IIS, avec backdoors fileless et loaders en mémoire. Campagnes d’espionnage en Afrique, au Moyen-Orient et en Asie depuis plus de deux ans.

💻 Intel SGX – Attaque WireTap
Chercheurs du Georgia Tech et de Purdue démontrent une attaque physique par interposeur mémoire DDR4. Extraction possible de la clé ECDSA d’attestation SGX. Pas de CVE publiée, Intel considérant que l’attaque sort de son modèle de menace.

📊 Splunk Enterprise – Vulnérabilités multiples
Six failles corrigées, dont la CVE-2025-20371 (SSRF, CVSS 7.5). Autres vulnérabilités XSS, divulgation d’informations, DoS et XXE. Versions affectées : 9.2.x, 9.3.x, 9.4.x et 10.0.0. Correctifs disponibles avec Splunk Enterprise 10.0.1, 9.4.4, 9.3.6 et 9.2.8.

🌐 Clop – Campagne d’extorsion Oracle E-Business Suite
Mandiant et Google signalent une vague d’emails d’extorsion envoyés depuis des comptes compromis. Les attaquants prétendent avoir volé des données depuis Oracle E-Business Suite. Liens possibles avec le groupe Clop/FIN11, sans preuve confirmée de fuite réelle.

🦊 Google Chrome 141 – 21 vulnérabilités corrigées
Nouvelle version stable pour Windows, macOS et Linux. Correctifs pour 21 vulnérabilités, dont :
– la CVE-2025-11205 (WebGPU, CVSS élevé),
– la CVE-2025-11206 (Vidéo),
– la CVE-2025-11207 (Storage, fuite d’informations).
Mises à jour automatiques en cours de déploiement.

🇦🇺 Australie – Plateforme CTIS
L’ASD ouvre l’accès à la plateforme Cyber Threat Intelligence Sharing (CTIS) via Microsoft Sentinel et Splunk Enterprise Security. Partage bidirectionnel d’indicateurs à grande vitesse entre gouvernement et partenaires industriels.

📚 Ressources :
🔗 https://securityaffairs.com/182852/apt/china-linked-apt-phantom-taurus-uses-net-star-malware-in-espionage-campaigns-against-key-sectors.html
🔗 https://thehackernews.com/2025/10/new-wiretap-attack-extracts-intel-sgx.html
🔗 https://cybersecuritynews.com/splunk-enterprise-vulnerabilities/
🔗 https://www.bleepingcomputer.com/news/security/clop-extortion-emails-claim-theft-of-oracle-e-business-suite-data/
🔗 https://cyberpress.org/21-security-vulnerabilities/
🔗 https://www.cyber.gov.au/about-us/view-all-content/news-and-media/join-the-cyber-threat-intelligence-sharing-service-through

📅 Edition spéciale RadioCSIRT du Vendredi 3 octobre 2025 (Ep.441)

📌 Au programme aujourd’hui :

🛑 Red Hat – 28 000 dépôts privés compromis
Le groupe d’extorsion Crimson Collective revendique l’exfiltration de 570 Go de données issues de dépôts GitLab privés utilisés par Red Hat Consulting.
Les données dérobées incluraient :
– des rapports d’engagement client (CER) détaillant les infrastructures,
– des identifiants, secrets CI/CD et profils VPN,
– des playbooks Ansible et guides de déploiement OpenShift.

🏦 Clients et secteurs critiques touchés
Les dépôts compromis référenceraient des organisations majeures de la finance, des télécoms, de l’aéronautique, de l’industrie et du secteur public. Parmi les entités mentionnées : Citi, Siemens, Bosch, Accenture, la Bank of America, le Sénat américain et le Département de la Sécurité intérieure.

🔐 Réponse officielle de Red Hat
Red Hat a confirmé l’incident, précisant qu’il est limité à une instance GitLab auto-gérée utilisée par Red Hat Consulting, et qu’aucun produit ni service commercial n’est concerné. L’éditeur affirme avoir engagé des mesures correctives et rester confiant dans l’intégrité de sa chaîne logicielle.

🌍 Risques pour la chaîne d’approvisionnement
Les rapports et secrets exposés pourraient permettre des intrusions secondaires dans les environnements clients. Le Centre pour la Cybersécurité Belgique alerte sur un risque élevé pour les organisations clientes et partenaires, et recommande la rotation immédiate des clés et jetons partagés.

📚 Ressources :
🔗 https://cybersecuritynews.com/red-hat-data-breach/
🔗 https://www.theregister.com/2025/10/02/cybercrims_claim_raid_on_28000/
🔗 https://www.darkreading.com/application-security/red-hat-widespread-breaches-private-gitlab-repositories
🔗 https://www.404media.co/red-hat-investigating-breach-impacting-as-many-as-28-000-customers-including-the-navy-and-congress/
🔗 https://www.helpnetsecurity.com/2025/10/02/hackers-red-hat-github-breached-customer-data-stolen/
🔗 https://blog.marcfredericgomez.fr/violation-de-donnees-red-hat-analyse-pour-les-ciso-cert-csirt-et-soc/

📅Podcast RadioCSIRT du Vendredi 3 octobre 2025 (Ep.442)

📌 Au programme aujourd’hui :

📩 Microsoft Outlook – Blocage des images SVG en ligne
Microsoft désactive l’affichage des images SVG intégrées dans Outlook Web et Outlook pour Windows. Décision motivée par leur utilisation croissante dans des attaques de phishing et d’injection XSS. Le déploiement mondial a commencé en septembre et sera finalisé mi-octobre 2025.

🔐 WordPress LatePoint – la CVE-2025-7038
Faille d’authentification dans le plugin LatePoint. Exploitation réseau sans privilège ni interaction utilisateur. Versions affectées : < 5.2.0. Correctif disponible en version 5.2.0.

📡 DrayTek Vigor – la CVE-2025-10547
Vulnérabilité critique dans l’interface WebUI des routeurs Vigor. Exploitation possible via requêtes HTTP/HTTPS forgées, entraînant crash et exécution de code à distance. Correctif publié le 2 octobre 2025.

🕵️ Confucius – Malware AnonDoor
Le groupe Confucius déploie le backdoor Python AnonDoor via des documents et fichiers LNK piégés. Chaîne d’infection complexe intégrant PowerShell, DLL side-loading et tâches planifiées. Modules actifs : Screenshoot et PasswordDumper.

🇺🇦 UAC-0245 – Backdoor CABINETRAT
CERT-UA identifie de nouvelles campagnes ciblant l’Ukraine via fichiers XLL piégés. Le shellcode CABINETRAT assure persistance, collecte d’informations, exécution de commandes et exfiltration de données. Adresses C2 identifiées : 20.112.250.113 et 20.70.246.20.

🐺 Cavalry Werewolf – FoalShell et StallionRAT
BI.ZONE révèle une campagne de phishing visant agences russes et secteurs critiques. Malware utilisés : FoalShell, reverse shell multi-langages, et StallionRAT, RAT modulaire avec exfiltration via Telegram bot. Liens possibles avec Tomiris et Storm-0473.

🔑 RFC 9794 – Terminologie post-quantique
L’IETF publie la RFC 9794 rédigée par le NCSC UK et Britta Hale. Ce standard définit un vocabulaire commun pour les schémas hybrides post-quantique/traditionnel (PQ/T). Objectif : uniformiser les discussions et sécuriser la migration PQC.

📚 Ressources :
🔗 https://www.bleepingcomputer.com/news/security/microsoft-outlook-stops-displaying-inline-svg-images-used-in-attacks/
🔗 https://cyberveille.esante.gouv.fr/alertes/wordpress-latepoint-cve-2025-7038-2025-10-02
🔗 https://www.security.nl/posting/907529/DrayTek+dicht+lek+in+Vigor-routers+dat+remote+code+execution+mogelijk+maakt?channel=rss
🔗 https://cyberpress.org/confucius-anondoor-malware/
🔗 https://cert.gov.ua/article/6285549
🔗 https://thehackernews.com/2025/10/new-cavalry-werewolf-attack-hits.html
🔗 https://www.ncsc.gov.uk/blog-post/new-standard-for-post-quantum-terminology