Newsletter RadioCSIRT N°37

novembre 15, 2025 marc Newsletter RadioCSIRT Commentaires fermés sur Newsletter RadioCSIRT N°37

Bonjour à toutes et à tous,

Cette semaine, nous avons suivi une activité particulièrement soutenue sur le front cyber, avec plusieurs opérations marquantes, des campagnes APT visant des secteurs sensibles et de nouvelles vulnérabilités critiques touchant aussi bien les environnements d’entreprise que les infrastructures industrielles. Les bulletins publiés par les organismes nationaux et les retours terrain montrent une progression des attaques opportunistes, mais aussi de campagnes plus structurées s’appuyant sur des techniques avancées.

J’ai également partagé sur mon blog deux nouveaux articles : un comparatif des taxonomies utilisées par les CSIRT, CERT et SOC, ainsi qu’une analyse du Patch Tuesday de novembre et de ses 63 vulnérabilités, dont une zero-day activement exploitée. Ces contenus viennent compléter les avis techniques de la semaine et permettent de replacer les principales évolutions dans un cadre opérationnel clair pour les équipes de sécurité.

Du côté du podcast, les épisodes publiés ces derniers jours couvrent l’ensemble des événements significatifs : espionnage académique, chaînes d’infection multi-étapes, zero-days critiques, opérations d’extorsion, campagnes de phishing ciblées, mouvements d’acteurs étatiques et bulletins des principaux éditeurs. Chaque épisode propose un état des lieux factuel, sans interprétation, afin de maintenir une veille précise dans un contexte où les menaces se multiplient.

Nous approchons par ailleurs du 500ᵉ épisode de RadioCSIRT, une étape qui marque autant l’évolution rapide du paysage cyber que la nécessité de disposer d’une information structurée et continue.

Vous trouverez ci-dessous le récapitulatif complet des sujets de la semaine, suivi des derniers articles mis à disposition. Bonne lecture.

⚡️ On ne réfléchit pas, on patch ! 🚀

Marc Frédéric GOMEZ

🔎 À lire cette semaine sur mon blog

Je vous propose une nouvelle sélection de mes derniers articles publiés sur mon blog.

🔹 Comparatif des taxonomies de cybersécurité utilisées par les CSIRT, CERT et SOC
👉 Lire : https://blog.marcfredericgomez.fr/comparatif-des-taxonomies-de-cybersecurite-utilisees-par-les-csirt-cert-et-soc/

🔹 Patch Tuesday Microsoft – Novembre 2025
👉 Lire : https://blog.marcfredericgomez.fr/patch-tuesday-microsoft-novembre-2025/

 Récapitulatif des épisodes du podcast de la semaine (Ep.479 au 486)

Du samedi 8 novembre au vendredi 14 novembre 2025

 Podcast RadioCSIRT du samedi 8 novembre 2025 (Ep.479)

📌 Au programme aujourd’hui :

💰 Microsoft alerte sur des attaques ciblant les services de paie
Microsoft met en garde contre une campagne de phishing sophistiquée surnommée Payroll Pirates. Les attaquants imitent des services RH légitimes pour dérober les identifiants Microsoft 365 et détourner des virements de salaires. La campagne exploite des domaines usurpés et des formulaires Microsoft authentiques pour contourner les filtres de sécurité.

🎓 Iran — Espionnage académique ciblé par un APT
Un groupe affilié à l’Iran, identifié comme APT42, mène une campagne contre des chercheurs et universitaires en Europe et en Amérique du Nord. Les attaquants utilisent des emails de contact universitaire falsifiés et des liens vers de faux portails d’instituts pour collecter des données personnelles et des identifiants institutionnels.

🎥 ClickFix — Les faux sites CAPTCHA passent à la vidéo
Les opérateurs de la campagne ClickFix innovent en ajoutant des tutoriels vidéo sur leurs faux sites CAPTCHA. Ces pages malveillantes copient automatiquement du code dans le presse-papiers des visiteurs pour leur faire exécuter un stealer, comme Lumma ou Atomic Stealer. Une technique d’ingénierie sociale renforcée par un compte à rebours pour pousser à l’exécution.

🛡️ États-Unis — Nouvelle stratégie cyber pour le Pentagone
Le département américain de la Défense présente une refonte complète de sa doctrine numérique. Ce modèle, successeur du projet Cyber Command 2.0, vise à structurer la formation et l’innovation cyber sur dix ans. Le Centre d’entraînement avancé n’atteindra sa capacité minimale qu’en 2028 et complète en 2031, illustrant la lenteur de mise en œuvre.

Union européenne — Vers une extension des pouvoirs d’Europol
Le comité LIBE du Parlement européen approuve une proposition renforçant la collecte et le partage de données biométriques par Europol, dans la lutte contre le trafic d’êtres humains. Les défenseurs de la vie privée dénoncent une dérive vers la surveillance de masse. Le texte doit encore être voté en plénière.

🧩 Drupal — Nouvelles vulnérabilités dans les modules communautaires
Deux modules sont touchés : Simple multi step form (XSS, CVE-2025-12761) et Email TFA (contournement d’accès, CVE-2025-12760). Les deux failles sont jugées modérément critiques et nécessitent une mise à jour immédiate.

📱 LANDFALL — Nouveau spyware Android ciblant Samsung
Les chercheurs de Unit 42 révèlent LANDFALL, un spyware sophistiqué diffusé via des images DNG malveillantes. Exploitant une faille zero-day dans la bibliothèque libimagecodec.quram.so de Samsung, il permet d’exécuter du code et d’espionner appels, micro et géolocalisation.

🐧 Red Hat — 24 vulnérabilités corrigées dans le noyau Linux
L’avis CERTFR-2025-AVI-0978 recense 24 CVE affectant les noyaux des versions 8, 9 et 10 de Red Hat Enterprise Linux. Les risques incluent exécution de code arbitraire, fuite de données et déni de service. Des correctifs sont disponibles via les bulletins RHSA publiés début novembre.

🏦 Banque d’Angleterre — Incident cyber touchant un prestataire automobile
La Banque d’Angleterre indique suivre de près une cyberattaque ayant paralysé les systèmes de Jaguar Land Rover. L’incident, lié à un fournisseur, provoque des perturbations logistiques majeures et met en évidence les risques liés à la dépendance de la supply chain industrielle.

🐧 Ubuntu — 261 vulnérabilités corrigées dans le noyau Linux
L’avis CERTFR-2025-AVI-0977 signale 261 CVE affectant les noyaux Linux d’Ubuntu 14.04 à 25.04, dont plusieurs critiques. Les correctifs sont disponibles via les bulletins USN publiés cette semaine. Un redémarrage complet des systèmes est requis après mise à jour.

📚 Sources :
🔗 https://thehackernews.com/2025/10/microsoft-warns-of-payroll-pirates.html?_m=3n%2e009a%2e3796%2ebx0ao08q8s%2e2u1l
🔗 https://cyberpress.org/iranian-apt-targeting-academics/
🔗 https://www.malwarebytes.com/blog/news/2025/11/fake-captcha-sites-now-have-tutorial-videos-to-help-victims-install-malware
🔗 https://therecord.media/revised-cyber-command-master-plan-dod-pentagon
🔗 https://therecord.media/eu-parliament-committee-votes-europol-data-sharing-agreement
🔗 https://www.drupal.org/security
🔗 https://unit42.paloaltonetworks.com/landfall-is-new-commercial-grade-android-spyware/
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0978/
🔗 https://www.theregister.com/2025/11/07/bank_of_england_says_jlrs/
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0977/

 Podcast RadioCSIRT du dimanche 9 novembre 2025 (Ep.480)

📌 Au programme aujourd’hui :

🐧 Samba — Exécution de commandes à distance (CVE-2025-10230)
Une vulnérabilité critique touche Samba dans la gestion du module WINS. Un attaquant non authentifié peut injecter des commandes via des noms NetBIOS non filtrés et exécuter du code arbitraire sur le serveur. Score CVSS : 10.0. La faille permet une compromission complète du système. Mise à jour immédiate recommandée.

🧩 SuiteCRM — Maintien d’accès après désactivation de compte (CVE-2025-64489)
Les versions jusqu’à 7.14.7 et 8.9.0 ne révoquent pas les sessions des comptes désactivés. Un utilisateur inactif peut donc conserver l’accès et se réactiver lui-même. Vulnérabilité de gravité élevée : CVSS 8.3. Correctif disponible à partir des versions 7.14.8 et 8.9.1.

🔐 SuiteCRM — Contournement des contrôles RBAC (CVE-2025-64490)
Un défaut d’application des rôles permet à des utilisateurs à privilèges restreints d’accéder ou de créer des éléments dans les modules désactivés. Ce défaut d’autorisation expose des données sensibles. Patch disponible depuis la version 8.9.1.

💣 NuGet — Malware destructeur à retardement dans des paquets .NET
Des chercheurs ont découvert neuf paquets malveillants publiés entre 2023 et 2024, conçus pour déclencher leur charge utile entre 2027 et 2028. Parmi eux, Sharp7Extend ciblait les automates industriels Siemens S7 via du code corrompant les communications PLC. Ces extensions ont été retirées, mais les systèmes les ayant utilisées doivent être considérés comme compromis.

🧠 Whisper Leak — Espionnage par analyse du trafic chiffré des IA
Microsoft révèle une attaque par canal auxiliaire permettant de déduire le sujet d’une conversation avec un chatbot, même sous chiffrement HTTPS. En analysant la taille et la fréquence des paquets, un attaquant peut identifier des thématiques sensibles. Des contre-mesures sont désormais déployées par OpenAI, Microsoft et Mistral, notamment l’ajout de texte aléatoire pour masquer les séquences.

🐉 Espionnage chinois — Intrusion dans une ONG américaine
Un groupe lié à la Chine a compromis en avril 2025 une organisation américaine impliquée dans les affaires politiques internationales. Exploitant plusieurs failles publiques et un sideloading de DLL via vetysafe.exe, les attaquants ont maintenu un accès furtif plusieurs semaines. Objectif : espionnage de politiques américaines et exfiltration via un RAT associé à APT41.

🧱 QNAP — Sept zero-day critiques corrigés après Pwn2Own 2025
Sept vulnérabilités critiques ont été exploitées sur les NAS QNAP, permettant RCE et élévation de privilèges. Les failles touchaient QTS 5.2.x et QuTS hero h5.2.x / h5.3.x. Des correctifs ont été publiés le 24 octobre 2025 : QTS 5.2.7.3297 et QuTS hero 5.3.1.3292. QNAP recommande la mise à jour immédiate, la rotation des mots de passe et la segmentation du réseau NAS.

📚 Sources :
🔗 Samba : https://cvefeed.io/vuln/detail/CVE-2025-10230
🔗 SuiteCRM (CVE-2025-64489) : https://cvefeed.io/vuln/detail/CVE-2025-64489
🔗 SuiteCRM (CVE-2025-64490) : https://cvefeed.io/vuln/detail/CVE-2025-64490
🔗 The Register – NuGet : https://www.theregister.com/2025/11/07/cybercriminals_plant_destructive_time_bomb/🔗 The Hacker News – Whisper Leak : https://thehackernews.com/2025/11/microsoft-uncovers-whisper-leak-attack.html
🔗 Security Affairs – Espionnage Chine : https://securityaffairs.com/184351/apt/china-linked-hackers-target-u-s-non-profit-in-long-term-espionage-campaign.html
🔗 Cybersecurity News – QNAP : https://cybersecuritynews.com/qnap-zero-day-vulnerabilities-exploited/

 Podcast RadioCSIRT du Lundi 10 novembre 2025 (Ep.481)

📌 Au programme aujourd’hui :

📱 Samsung – Nouvelle faille critique ajoutée au catalogue KEV (CVE-2025-21042)
La CISA a inscrit une vulnérabilité de type Out-of-Bounds Write affectant certains appareils mobiles Samsung dans son catalogue des vulnérabilités activement exploitées.

💬 LinkedIn – Explosion des campagnes de phishing ciblant les dirigeants
34 % des attaques de phishing se déroulent désormais hors du canal e-mail, notamment sur LinkedIn.Les attaquants utilisent des comptes compromis ou légitimes sans MFA pour diffuser des messages personnalisés via IA.

🏢 Allianz UK – Victime du groupe Clop via Oracle E-Business Suite
L’assureur britannique a confirmé une compromission liée à l’exploitation d’une faille zero-day dans Oracle EBS (CVE-2025-61882, CVSS 9.8).Les données de 80 clients actuels et 670 anciens clients ont été exposées.Cette attaque s’inscrit dans une campagne plus large du groupe Clop, déjà responsable de l’incident MOVEit Transfer en 2023. Les autorités britanniques ont été informées, et des mesures de remédiation sont en cours.

🕵️‍♂️ NSO Group – David Friedman nommé président exécutif
L’ancien ambassadeur des États-Unis en Israël, David Friedman, prend la tête du groupe israélien NSO, connu pour le spyware Pegasus. Ce changement suit le rachat de l’entreprise par un consortium d’investisseurs mené par Robert Simonds. NSO, toujours sous la supervision du ministère israélien de la Défense, reste confronté à plusieurs actions judiciaires concernant l’usage abusif de Pegasus. Un tribunal fédéral américain lui interdit désormais d’utiliser WhatsApp comme vecteur d’attaque, décision jugée par Friedman comme un « revers significatif ».

📚 Sources :
🔗 CISA – Samsung : https://www.cisa.gov/news-events/alerts/2025/11/10/cisa-adds-one-known-exploited-vulnerability-catalog
🔗 Bleeping Computer – LinkedIn : https://www.bleepingcomputer.com/news/security/5-reasons-why-attackers-are-phishing-over-linkedin/
🔗 The Register – Allianz UK : https://www.theregister.com/2025/11/10/allianz_uk_joins_growing_list/
🔗 The Record – NSO Group : https://therecord.media/former-trump-official-named-nso-group-chairman

 Podcast RadioCSIRT du Mardi 11 novembre 2025 (Ep.482)

📌 Au programme aujourd’hui :

🔐 KeePassXC : transparence totale sur l’usage de l’IA dans le développement — aucune fonction IA intégrée, toutes les contributions restent soumises à une revue humaine complète.

🏢 NCSC (UK) : lancement du Cyber Action Toolkit, un outil gratuit et interactif pour aider les petites entreprises à renforcer leur cybersécurité de manière simple et concrète.

💥 Triofox (CVE-2025-12480) : exploitation active d’une faille critique (CVSS 9.1) permettant exécution de code via la fonction antivirus intégrée. Mandiant appelle à patcher sans délai.

📱 APT37 : le groupe nord-coréen détourne Google Find Hub pour géolocaliser et effacer à distance les smartphones Android de victimes sud-coréennes.

💾 3CX : scans massifs ciblant les serveurs FTP de sauvegarde — rappel : éviter FTP pour les données sensibles et vérifier les comptes partagés SSH/Telnet.

🕵️ Fantasy Hub : un nouveau spyware “as-a-service” en location, avec fausses apps Android, kits de personnalisation et support client.

🦊 Mozilla Firefox : nouvelles défenses intégrées contre le fingerprinting, réduisant le pistage en ligne sans nuire à la compatibilité web.

📚 Sources :
🔗 Malwarebytes – https://www.malwarebytes.com/blog/news/2025/11/fantasy-hub-is-spyware-for-rent-complete-with-fake-app-kits-and-support
🔗 SANS ISC – https://isc.sans.edu/diary/rss/32464
🔗 BleepingComputer (Firefox) – https://www.bleepingcomputer.com/news/security/mozilla-firefox-gets-new-anti-fingerprinting-defenses/
🔗 BleepingComputer (APT37) – https://www.bleepingcomputer.com/news/security/apt37-hackers-abuse-google-find-hub-in-android-data-wiping-attacks/
🔗 The Hacker News – https://thehackernews.com/2025/11/hackers-exploiting-triofox-flaw-to.html
🔗 NCSC – https://www.ncsc.gov.uk/blog-post/cat-breaking-down-resilience-barriers
🔗 KeePassXC – https://keepassxc.org/blog/2025-11-09-about-keepassxcs-code-quality-control/

 Podcast RadioCSIRT Edition spéciale Patch Tuesday novembre 2025 (Ep.483)

📌 Au programme aujourd’hui :

📌 Microsoft – Patch Tuesday Novembre 2025 : 63 vulnérabilités corrigées, dont une zero-day
Microsoft a publié ce mois-ci des correctifs pour 63 failles, dont une vulnérabilité zero-day activement exploitée — CVE-2025-62215, affectant le noyau Windows.
Parmi les vulnérabilités critiques figurent plusieurs exécutions de code à distance (RCE) dans GDI+ (CVE-2025-60724)Microsoft Office (CVE-2025-62199) et Visual Studio (CVE-2025-62214), ainsi qu’une élévation de privilèges dans le DirectX Graphics Kernel (CVE-2025-60716).
Les vulnérabilités marquées comme “Exploitation More Likely” concernent notamment CEIP (CVE-2025-59512), le Client-Side Caching Service (CVE-2025-60705) et plusieurs failles du pilote WinSock (CVE-2025-60719, CVE-2025-62217, CVE-2025-62213).

🔧 Priorités :
Corrigez immédiatement la zero-day, déployez sans délai les mises à jour critiques, et traitez les élévations de privilèges importantes à haut risque.
Intégrez également les correctifs des autres éditeurs du mois : Adobe, Cisco, SAP, QNAP, Google/Android, et Samsung.

📚 Sources :
🔗 Blog de Marc Frédéric GOMEZ : https://blog.marcfredericgomez.fr/patch-tuesday-microsoft-novembre-2025/
🔗 Bleeping Computer – Microsoft November 2025 Patch Tuesday fixes 1 zero-day, 63 flaws :
https://www.bleepingcomputer.com/news/microsoft/microsoft-november-2025-patch-tuesday-fixes-1-zero-day-63-flaws/
🔗 Talos Intelligence Blog – Microsoft Patch Tuesday November 2025 :
https://blog.talosintelligence.com/microsoft-patch-tuesday-november-2025/
🔗 Microsoft Security Update Guide – November 2025 :
https://msrc.microsoft.com/update-guide

 Podcast RadioCSIRT du mercredi 12 novembre 2025 (Ep.484)

📌 Au programme aujourd’hui :

🐧 Curly COMrade : un groupe russe exploite Hyper-V pour dissimuler un malware Linux dans une VM Alpine, contournant les détections EDR.
ASIO alerte sur le risque de cyber-sabotage à fort impact : des États autoritaires prépareraient des attaques contre l’énergie, l’eau et les télécoms.

💻 OWASP 2025 : le Broken Access Control reste la première vulnérabilité applicative, suivi des erreurs de configuration et des défaillances de la chaîne d’approvisionnement.
☁️ Google Private AI Compute : traitement IA confidentiel dans le cloud, combinant vitesse et chiffrement matériel pour une confidentialité totale des données.

🧰 Synology BeeStation (CVE-2025-12686) : faille critique RCE corrigée après sa démonstration à Pwn2Own Ireland 2025 – mise à jour immédiate conseillée.

🧩 SAP SQL Anywhere Monitor (CVE-2025-42890) : identifiants codés en dur, vulnérabilité notée CVSS 10/10 – arrêt du module et suppression des instances recommandés.

📶 TP-Link : les États-Unis envisagent d’interdire la marque pour motifs de sécurité nationale, sur fond de soupçons d’influence chinoise et de failles récurrentes.

🕵️ Rhadamanthys Infostealer : l’opération est neutralisée, plusieurs cybercriminels ont perdu l’accès à leurs serveurs, possiblement suite à l’opération Endgame.

💻 Windows 11 : bug du Gestionnaire des tâches corrigé dans la mise à jour KB5068861, les processus fantômes causaient des ralentissements notables.

📚 Sources :
🔗 Linux Magazine – https://www.linux-magazine.com/Online/News/Another-Linux-Malware-Discovered
🔗 The Register (ASIO) – https://www.theregister.com/2025/11/12/asio_cyber_sabotage_warnings/
🔗 The Register (OWASP) – https://www.theregister.com/2025/11/11/new_owasp_top_ten_broken/
🔗 The Hacker News (Google) – https://thehackernews.com/2025/11/google-launches-private-ai-compute.html
🔗 Security Affairs (Synology) – https://securityaffairs.com/184528/security/synology-patches-critical-beestation-rce-flaw-shown-at-pwn2own-ireland-2025.html
🔗 Security Affairs (SAP) – https://securityaffairs.com/184500/security/sap-fixed-a-maximum-severity-flaw-in-sql-anywhere-monitor.html
🔗 KrebsOnSecurity – https://krebsonsecurity.com/2025/11/drilling-down-on-uncle-sams-proposed-tp-link-ban/
🔗 BleepingComputer (Rhadamanthys) – https://www.bleepingcomputer.com/news/security/rhadamanthys-infostealer-disrupted-as-cybercriminals-lose-server-access/
🔗 BleepingComputer (Microsoft) – https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-windows-task-manager-bug-affecting-performance/

 Podcast RadioCSIRT du jeudi 13 novembre 2025 (Ep.485)

📌 Au programme aujourd’hui :

🌐 Google TAG : bulletin du troisième trimestre 2025 — plus de 18 000 chaînes YouTube, 120 domaines et plusieurs réseaux coordonnés démantelés. Activités massives provenant de Chine, de Russie, d’Azerbaïdjan, d’Iran et de Turquie, ainsi que sept opérations distinctes visant la Moldavie.

🛡️ CISA alerte sur des menaces persistantes ciblant les équipements Cisco ASA et Firepower. Exploitations actives, compromissions confirmées et recommandation d’appliquer immédiatement les correctifs et mesures d’atténuation.

📊 Nagios (CERT-FR) : publication d’un avis de sécurité concernant plusieurs vulnérabilités affectant Nagios XI et ses composants. Risques de compromission, exécution de code et élévation de privilèges — mises à jour urgentes nécessaires pour tous les environnements de supervision.

📚 Sources :
🔗 Google TAG – https://blog.google/threat-analysis-group/tag-bulletin-q3-2025/
🔗 CISA – https://www.cisa.gov/news-events/news/cisa-identifies-ongoing-cyber-threats-cisco-asa-and-firepower-devices
🔗 CERT-FR (Nagios) – https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0989/

 Podcast RadioCSIRT du vendredi 14 novembre 2025 (Ep.486)

📌 Au programme aujourd’hui :

🤖 Anthropic : controverse autour des affirmations selon lesquelles Claude aurait permis d’automatiser des cyberattaques complètes. Plusieurs spécialistes remettent en question la validité technique et l’absence de preuves concrètes.

🛡️ Fortinet confirme avoir discrètement corrigé une vulnérabilité zero-day critique affectant FortiWeb, déjà exploitée activement. Le correctif silencieux visait à éviter d’alerter les attaquants surveillant les mises à jour.

📞 Cisco Unified CCX : plusieurs failles critiques mettent en danger les environnements de centres d’appels, permettant une compromission avec exécution de code et accès non autorisé à des systèmes sensibles.

🐉 Google engage une action judiciaire pour démanteler une triade chinoise spécialisée dans le SMS phishing. L’opération vise une infrastructure structurée opérant à l’international.

📡 ASUS – CVE-2025-59367 : une faille critique permet un accès distant sans authentification aux routeurs ASUS DSL, offrant un contrôle total de l’appareil.

Opérations nord-coréennes : les acteurs APT détournent désormais des services JSON pour contourner les détections classiques et renforcer la furtivité de leurs infrastructures C2.

🔍 CERT-FR – Opération EndGame : le CERT-FR publie une analyse CTI approfondie concernant une campagne avancée reposant sur des tactiques modulaires et une infrastructure distribuée ciblant des entités stratégiques.

📚 Sources :
🔗 Anthropic : https://www.bleepingcomputer.com/news/security/anthropic-claims-of-claude-ai-automated-cyberattacks-met-with-doubt/
🔗 Fortinet (FortiWeb Zero-Day) : https://www.bleepingcomputer.com/news/security/fortinet-confirms-silent-patch-for-fortiweb-zero-day-exploited-in-attacks/
🔗 Cisco Unified CCX : https://cyberpress.org/cisco-unified-ccx-flaws/
🔗 Google – SMS Phishing Triad : https://krebsonsecurity.com/2025/11/google-sues-to-disrupt-chinese-sms-phishing-triad/
🔗 ASUS – CVE-2025-59367 : https://securityaffairs.com/184636/security/critical-cve-2025-59367-flaw-lets-hackers-access-asus-dsl-routers-remotely.html
🔗 North Korean JSON Abuse : https://thehackernews.com/2025/11/north-korean-hackers-turn-json-services.html
🔗 CERT-FR – Opération EndGame : https://www.cert.ssi.gouv.fr/cti/CERTFR-2025-CTI-011/