Newsletter RadioCSIRT N°38

novembre 23, 2025 marc Newsletter RadioCSIRT Commentaires fermés sur Newsletter RadioCSIRT N°38

🎧 RadioCSIRT – Edition Française

Bonjour à toutes et à tous,

Au-delà des CVE et des alertes quotidiennes, RadioCSIRT est avant tout une aventure communautaire. Cette semaine, le virtuel est devenu réel lors d’une soirée hors norme à Paris ce 17 Novembre.

J’ai eu l’honneur de partager un moment privilégié (autour d’une raclette ! ) avec 10 auditeurs fidèles (9 pour être précis, le 10ème étant partie en suisse en urgence…) sélectionnés par IA. Des échanges sans filtre sur notre métier, récompensés par une surprise qui me touche particulièrement : un Micro d’Or et un calendrier de l’Avent Lego Star Wars avec un numéro de MISC.

Ce soutien confirme une chose : la rigueur technique rassemble.

Mais avant d’entrer dans ce bilan technique, je voulais vous adresser un merci personnel.

Message reçu 5/5 : L’aventure continue. Cap sur le 1000ème épisode.

Si on revient à la semaine du 15 au 21 novembre 2025 qui a été marquée par une densité critique d’incidents et de révélations impactant directement nos postures de défense et de réponse aux incidents.

Ce numéro revient sur trois axes majeurs pour vos équipes opérationnelles et stratégiques :

  • Vulnérabilités critiques et Hardware :
    Outre les correctifs d’urgence à déployer sur Fortinet FortiWeb (CVE-2025-64446 exploitée in-the-wild) et Microsoft SharePoint (CVE-2025-59245), une attention particulière doit être portée à la vulnérabilité matérielle confirmée sur les processeurs AMD Zen 5. La réduction d’entropie sur l’instruction rdseed compromet la robustesse cryptographique fondamentale des systèmes affectés, nécessitant une évaluation des risques sur vos parcs serveurs.
  • Threat Intelligence et TTPs :
    L’actualité est dominée par la mise à jour des IOCs du groupe Akira par le FBI et la CISA, ainsi que par la persistance des menaces internes liées aux faux collaborateurs IT nord-coréens. Nous analysons également l’évolution des vecteurs d’attaque sur la supply chain (cas Logitech/Clop et PlushDaemon) et l’émergence de loaders furtifs comme RoningLoader et EdgeStepper.
  • Souveraineté et Gouvernance :
    En parallèle des statistiques alarmantes sur le ransomware au Q3 2025, l’initiative DNS4EU marque une étape clé vers une infrastructure de résolution DNS européenne souveraine, répondant aux enjeux de résilience et de confidentialité face aux acteurs extra-européens.

Vous trouverez ci-dessous les analyses détaillées de ces sujets sur le blog, suivies du récapitulatif technique des épisodes 487 à 493 du podcast RadioCSIRT.

Bonne lecture et bonne écoute.

Marc Frédéric GOMEZ

🔎 À lire cette semaine sur mon blog

Je vous propose une nouvelle sélection de mes derniers articles publiés sur mon blog.

🔹 DNS4EU : vers un DNS européen souverain, sécurisé et respectueux de la vie privée
👉 Lire : https://blog.marcfredericgomez.fr/dns4eu-vers-un-dns-europeen-souverain-securise-et-respectueux-de-la-vie-privee/

🔹 Analyse de la vulnérabilité Fortinet CVE-2025-64446
👉 Lire : https://blog.marcfredericgomez.fr/analyse-de-la-vulnerabilite-fortinet-cve-2025-64446/

🎙 Récapitulatif des épisodes du podcast de la semaine (Ep.487 au 493)

Du samedi 15 novembre au vendredi 21 novembre 2025

📅 Podcast RadioCSIRT du samedi 15 novembre 2025 (Ep.487)

📌 Au programme aujourd’hui :

🧩 AMD Zen 5 : confirmation d’une vulnérabilité critique dans l’instruction rdseed, provoquant une forte réduction d’entropie et compromettant la robustesse cryptographique des clés générées sur les processeurs Zen 5 avant correctif.

🛡️ Akira : CISA, FBI et plusieurs partenaires internationaux publient des mises à jour majeures sur les TTP et les nouveaux IOC du groupe, avec une visibilité élargie sur les campagnes visant les PME et les secteurs critiques.

🌐 FortiWeb : exploitation active de la vulnérabilité CVE-2025-64446, un path traversal permettant l’exécution de commandes administratives via des requêtes HTTP(S) spécialement construites.

🏨 Faux sites de réservation : un acteur russophone a créé plus de 4 300 domaines imitant Booking, Airbnb, Expedia ou Agoda pour voler les données de paiement des voyageurs via un kit de phishing multi-langues.

🧬 FormBook : nouvelle campagne basée sur des archives ZIP piégées, enchaînant VBS obfusqué, PowerShell multi-couches et injection dans msiexec.exe pour déployer une variante du stealer.

💼 Logitech : la société confirme une exfiltration de données via l’exploitation d’un zero-day tiers, revendiquée par Clop, avec près de 1,8 To de données publiées sur leur site d’extorsion.

📚 Sources :

🔗 AMD Zen 5 RNG : https://www.tomshardware.com/pc-components/cpus/amd-confirms-zen-5-rng-flaw-when-random-isnt-random-enough
🔗 Akira – CISA/FBI : https://www.cisa.gov/news-events/alerts/2025/11/13/cisa-fbi-and-partners-unveil-critical-guidance-protect-against-akira-ransomware-threat
🔗 FortiWeb CVE-2025-64446 : https://www.cisa.gov/news-events/alerts/2025/11/14/fortinet-releases-security-advisory-relative-path-traversal-vulnerability-affecting-fortiweb-products
🔗 Fake Travel Sites : https://thehackernews.com/2025/11/russian-hackers-create-4300-fake-travel.html
🔗 FormBook : https://cybersecuritynews.com/weaponized-zip-archives-and-multi-script-chains-used-to-deploy-formbook-malware
🔗 Logitech / Clop : https://www.bleepingcomputer.com/news/security/logitech-confirms-data-breach-after-clop-extortion-attack

📅 Podcast RadioCSIRT du dimanche 16 novembre 2025 (Ep.488)

📌 Au programme aujourd’hui :

🛰️ DNS4EU : l’Union européenne avance vers un résolveur DNS souverain, sécurisé et entièrement opéré depuis l’UE. L’initiative vise à réduire la dépendance envers les services non-européens, apporter une meilleure résilience et intégrer nativement sécurité, filtrage et respect de la vie privée.

🛑 Ransomware – Bilan Q3 2025 : les dernières analyses montrent une hausse continue des attaques, portée par la professionnalisation des groupes, l’industrialisation du phishing et la montée des affiliés ciblant PME, infrastructures critiques et écosystèmes fournisseurs.

🎭 Faux employés IT nord-coréens : plusieurs citoyens américains plaident coupable pour avoir servi d’intermédiaires à des travailleurs nord-coréens se faisant passer pour des experts IT afin d’obtenir des emplois sensibles dans des entreprises américaines, contournant sanctions et contrôles.

🏢 Cisco Catalyst Center : découverte d’une vulnérabilité critique affectant la plateforme, permettant à un attaquant d’obtenir un accès privilégié aux environnements d’administration. Une mise à jour est disponible et doit être appliquée sans délai dans les infrastructures réseau dépendantes de Catalyst Center.

🐧 Debian : annonce officielle concernant de nouveaux correctifs de sécurité publiés par le projet Debian, incluant des mises à jour pour plusieurs composants centraux, avec un impact important pour les environnements serveurs et les systèmes intégrant des paquets sensibles.

📚 Sources :

🔗 DNS4EU : https://blog.marcfredericgomez.fr/dns4eu-vers-un-dns-europeen-souverain-securise-et-respectueux-de-la-vie-privee/
🔗 Check Point – State of Ransomware Q3 2025 : https://research.checkpoint.com/2025/the-state-of-ransomware-q3-2025/
🔗 North Korean IT Workers – The Record : https://therecord.media/multiple-us-nationals-guilty-pleas-north-korean-it-worker-scams
🔗 Cisco Catalyst Center : https://cybersecuritynews.com/cisco-catalyst-center-vulnerability/
🔗 Debian – Security Updates : https://www.debian.org/News/2025/20251115

📅 Podcast RadioCSIRT du lundi 17 novembre 2025 (Ep.489)

📌 Au programme aujourd’hui :

🛰️ RoningLoader : de nouvelles recherches dévoilent les capacités furtives de RoningLoader, un chargeur modulaire conçu pour l’évasion, le déploiement progressif de charges malveillantes et la persistance durable au sein des environnements compromis.

🛑 Campagnes d’usurpation livrant Gh0st RAT : les dernières analyses mettent en lumière des opérations d’ingénierie sociale à large échelle, utilisant des identités usurpées et des canaux frauduleux pour distribuer Gh0st RAT et compromettre les victimes.

🎭 Radicalisation en ligne via les plateformes de jeux : Europol et plusieurs pays partenaires annoncent une action coordonnée visant les groupes extrémistes exploitant les environnements de gaming pour le recrutement, la communication clandestine et la diffusion de contenus illicites.

🏢 IBM AIX/VIOS – Vulnérabilité critique : une faille de sévérité élevée affecte les systèmes IBM AIX et VIOS, offrant à un attaquant la possibilité d’exploiter des vecteurs d’élévation de privilèges. Les recommandations de correctifs ont été publiées et doivent être appliquées rapidement.

🐧 Botnet Rondodox : extension via une faille XWiki : les opérateurs de menace exploitent activement une vulnérabilité RCE XWiki non corrigée depuis février 2025, permettant l’expansion automatisée du botnet Rondodox sur des systèmes exposés.

📱 Android : l’adoption de Rust améliore la sécurité mémoire : de nouveaux rapports confirment une baisse notable des vulnérabilités de corruption mémoire dans les composants Android réécrits en Rust, renforçant la transition vers des langages systèmes plus sûrs.

🛍️ Alerte sur les arnaques cyber liées aux achats de fin d’année : les agences de cybersécurité appellent à la vigilance face à la hausse des faux sites marchands, campagnes de phishing, fraudes de paiement et escroqueries saisonnières ciblant les consommateurs.

📚 Sources :

🔗 RoningLoader – Elastic Security Labs : https://www.elastic.co/security-labs/roningloader
🔗 Gh0st RAT – Campagnes d’usurpation – Unit42 : https://unit42.paloaltonetworks.com/impersonation-campaigns-deliver-gh0st-rat/
🔗 Radicalisation sur plateformes de jeux – Europol : https://www.europol.europa.eu/media-press/newsroom/news/europol-and-partner-countries-combat-online-radicalisation-gaming-platforms
🔗 IBM AIX/VIOS – CVE-2025-36250 : https://cyberveille.esante.gouv.fr/alertes/ibm-aixvios-cve-2025-36250-2025-11-14
🔗 Botnet Rondodox & XWiki RCE – Security Affairs : https://securityaffairs.com/184702/malware/rondodox-expands-botnet-by-exploiting-xwiki-rce-bug-left-unpatched-since-february-2025.html
🔗 Rust & sécurité mémoire Android – The Hacker News : https://thehackernews.com/2025/11/rust-adoption-drives-android-memory.html
🔗 Arnaques cyber – Achats de fin d’année – NCSC : https://www.ncsc.gov.uk/news/stay-alert-to-holiday-shopping-cyber-scams

📅 Podcast RadioCSIRT du mardi 18 Novembre 2025 (Ep.490)

📌 Au programme aujourd’hui :

🛰️ Exercice Cyber Arrow en Australie : un entraînement national d’envergure réunissant gouvernement, acteurs industriels et opérateurs d’infrastructures critiques des secteurs énergie, communications et finance, focalisé sur les capacités de détection, d’investigation et de réponse aux incidents majeurs.

🛡️ Vulnérabilités multiples dans les produits NetApp : plusieurs failles touchant Brocade SANnav et HCI Compute Node Bootstrap OS, permettant déni de service à distance, atteintes à la confidentialité et altération de l’intégrité des données.

⚠️ Failles critiques dans Mozilla Thunderbird : des vulnérabilités affectant les versions antérieures à 140.5 et 145, autorisant exécution de code arbitraire, contournement de politiques de sécurité et autres comportements non précisés.

🏢 Vulnérabilités dans Mattermost Server : plusieurs versions 10.11.x, 10.12.x et 11.0.x exposées à un problème de sécurité non spécifié par l’éditeur.

🔍 Chronologie contestée du vol de données Coinbase : un chercheur affirme avoir signalé dès le 7 janvier une tentative d’escroquerie contenant des données personnelles volées, remettant en cause la chronologie officielle du compromis communiqué en mai.

🌩️ Attaque DDoS record de 15,72 Tb/s : Microsoft a bloqué automatiquement une attaque massive orchestrée par le botnet AISURU et alimentée par des centaines de milliers d’équipements IoT compromis, ciblant une adresse IP publique en Australie.

🧩 Correctif Google pour une zero-day active dans Chrome : une vulnérabilité de type confusion dans le moteur V8, identifiée sous CVE-2025-13223 et exploitée dans la nature, corrigée avec une seconde faille similaire dans la dernière mise à jour du navigateur.

💥 Faille critique dans W3 Total Cache : une injection de commandes non authentifiée via commentaires WordPress, suivie sous CVE-2025-9501, exposant plus d’un million de sites à l’exécution de code à distance.

📧 Thunderbird 145 évolue : prise en charge de Microsoft Exchange via EWS, synchronisation améliorée, performances renforcées, support DNS-over-HTTPS, configuration manuelle enrichie et nombreuses corrections fonctionnelles et d’interface.

📚 Sources :

🔗 Exercice Cyber Arrow – Australian Cyber Security Centre
https://www.cyber.gov.au/view-all-content/news/exercise-cyber-arrow

🔗 Vulnérabilités NetApp – CERTFR-2025-AVI-1015
https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1015/

🔗 Vulnérabilités Mozilla Thunderbird – CERTFR-2025-AVI-1016
https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1016/

🔗 Vulnérabilités Mattermost – CERTFR-2025-AVI-1017
https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1017/

🔗 Chronologie du vol Coinbase – The Register
https://www.theregister.com/2025/11/17/coinbase_breach_timeline/

🔗 Attaque DDoS AISURU – The Hacker News
https://thehackernews.com/2025/11/microsoft-mitigates-record-572-tbps.html

🔗 Zero-day Chrome V8 – The Hacker News
https://thehackernews.com/2025/11/google-issues-security-fix-for-actively.html

🔗 Faille W3 Total Cache – CyberPress
https://cyberpress.org/w3-total-cache-command-injection-flaw/

🔗 Thunderbird 145 – OMG!Ubuntu https://www.omgubuntu.co.uk/2025/11/thunderbird-145-microsoft-exchange-support-ews

📅 Podcast RadioCSIRT du Mercredi 19 novembre 2025 (Ep.491)

📌 Au programme aujourd’hui :

🛰️ Europol démantèle plusieurs services de piratage numérique après avoir retracé plus de 47 millions d’euros en crypto-actifs liés à des plateformes illégales de streaming, IPTV et contenus piratés.

🛡️ La CISA ajoute une nouvelle vulnérabilité activement exploitée à son catalogue KEV, imposant aux agences fédérales un correctif sous délai contraint afin de limiter les risques d’exploitation continue.

⚠️ Attaques supply chain PlushDaemon : des acteurs malveillants détournent les mécanismes de mise à jour logicielle pour injecter des charges malveillantes et compromettre des environnements entiers via des chaînes d’approvisionnement logicielles légitimes.

📹 Compromission massive de systèmes CCTV : des milliers de caméras connectées détournées pour mener des opérations de cybercriminalité, incluant surveillance illégale, accès interne non autorisé et exploitation pour d’autres attaques.

🎭 Nouveau kit de phishing “Browser-in-the-Browser” : un outil complet permettant de cloner des pages d’authentification, y compris MFA, et de contourner les protections modernes afin de dérober identifiants et sessions.

🏢 Intrusion confirmée chez Eurofiber : vol massif de données, extraction non autorisée et tentative d’extorsion après l’attaque du 13
novembre, avec des informations clients déjà revendues ou partagées par les assaillants.

🛰️ Implant EdgeStepper : un malware réseau avancé capable de détourner et rerouter le trafic DNS en s’appuyant sur des routeurs et équipements intermédiaires compromis, permettant manipulation, interception et redirection du flux réseau.

📚 Sources :

🔗 Europol – Crypto tracée pour démanteler des services de piratage
https://www.europol.europa.eu/media-press/newsroom/news/eur-47-million-in-crypto-traced-to-disrupt-digital-piracy-services

🔗 CISA – Nouvelle vulnérabilité ajoutée au KEV
https://www.cisa.gov/news-events/alerts/2025/11/18/cisa-adds-one-known-exploited-vulnerability-catalog

🔗 PlushDaemon – Supply chain update hijacking
https://www.bleepingcomputer.com/news/security/plushdaemon-hackers-hijack-software-updates-in-supply-chain-attacks/

🔗 CCTV compromission massive
https://thecyberexpress.com/cybercrime-cctv-hack/

🔗 Kit de phishing BitB
https://cyberpress.org/bitb-phishing-kit/

🔗 Eurofiber – Confirmation du piratage et extorsion
https://securityaffairs.com/184822/data-breach/eurofiber-confirms-november-13-hack-data-theft-and-extortion-attempt.html

🔗 Implant EdgeStepper
https://thehackernews.com/2025/11/edgestepper-implant-reroutes-dns.html

📅 Podcast RadioCSIRT du Jeudi 20 novembre 2025 (Ep.492)

📌 Au programme aujourd’hui :

✈️ Espionnage industriel par UNC1549 : des hackers iraniens déploient les backdoors DEEPROOT et TWOSTROKE contre les secteurs de l’aérospatiale et de la défense, exploitant les accès VDI et la supply chain.

🤖 Gmail entraîne son IA avec vos données : Google active par défaut l’analyse des emails et pièces jointes pour son modèle Gemini, nécessitant une désactivation manuelle complexe pour préserver la confidentialité.

🍎 Nouveau stealer macOS « DigitStealer » : un malware fileless ciblant spécifiquement les puces Apple Silicon pour exfiltrer identifiants et portefeuilles crypto en contournant les détections classiques.

🛡️ Scan massif des VPN GlobalProtect : une campagne coordonnée de 2,3 millions de sessions de scan cible les portails Palo Alto Networks, laissant présager l’exploitation imminente de vulnérabilités.

📚 Sources :

🔗 UNC1549 – Iranian hackers use DEEPROOT and TWOSTROKE
https://thehackernews.com/2025/11/iranian-hackers-use-deeproot-and.html

🔗 Confidentialité – Gmail is reading your emails to train its AI
https://www.malwarebytes.com/blog/news/2025/11/gmail-is-reading-your-emails-and-attachments-to-train-its-ai-unless-you-turn-it-off

🔗 Malware – Mac users warned about new DigitStealer
https://www.malwarebytes.com/blog/news/2025/11/mac-users-warned-about-new-digitstealer-information-stealer

🔗 Infrastructures – GlobalProtect VPN portals probed with 2.3 million scan sessions
https://www.bleepingcomputer.com/news/security/globalprotect-vpn-portals-probed-with-23-million-scan-sessions/

📅 Podcast RadioCSIRT du Vendredi 21 novembre 2025 (Ep.493)

📌 Au programme aujourd’hui :

🚨 Alerte critique SharePoint : Microsoft publie la CVE-2025-59245, une faille sévère d’élévation de privilèges qui exige une attention immédiate des administrateurs.

🎧 Espionnage et Malwares : Google dévoile « BadAudio », le nouvel outil du groupe APT24, pendant que le backdoor ShadowPad refait surface dans de nouvelles campagnes ciblées.

☁️ Salesforce serre la vis : Le géant du CRM coupe l’accès à des applications tierces suite à la détection d’activités suspectes, protégeant ainsi les données clients.

💼 Emploi sur le Dark Web : Le crime n’attend pas le nombre des années. Une nouvelle étude révèle que l’âge médian des candidats à la cybercriminalité est de seulement 24 ans.

📚 Sources :
🔗 Microsoft – SharePoint Elevation of Privilege (CVE-2025-59245) https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59245
🔗 Espionnage – Google exposes BadAudio & APT24 https://www.bleepingcomputer.com/news/security/google-exposes-badaudio-malware-used-in-apt24-espionage-campaigns/
🔗 Cloud Sec – Salesforce cuts off third-party access https://therecord.media/salesforce-cuts-off-access-to-third-party-unusual-activity
🔗 Dark Web – Job Market Analysis 2023-2025 https://securelist.com/dark-web-job-market-2023-2025/118057/
🔗 Malware – ShadowPad Overview https://cyberpress.org/shadowpad-malware/

Ressources liées à RadioCSIRT

📱 Répondeur: 07 68 72 20 09
📧 Email : radiocsirt@gmail.com
🌐 Site web : www.radiocsirt.org
📰 Newsletter Hebdo : radiocsirt.substack.com