Le NCSC britannique publie un avis à destination des organisations du Royaume-Uni dans le contexte de l’escalade militaire au Moyen-Orient. L’agence estime qu’il n’y a pas de changement significatif de la menace cyber directe de l’Iran envers le Royaume-Uni à ce stade, mais juge quasi certain le risque indirect pour les organisations disposant d’une présence ou de chaînes d’approvisionnement dans la région. Le NCSC recommande de se préparer à des effets de débordement liés aux hacktivistes affiliés à l’Iran, notamment des attaques DDoS et des opérations de défiguration.
Le Centre canadien pour la cybersécurité publie un bulletin dédié aux cybermenaces iraniennes consécutives aux frappes américano-israéliennes du 28 février 2026. Quatre axes de riposte cyber sont identifiés : cyberattaques contre les infrastructures essentielles, opérations d’information, harcèlement en ligne du personnel militaire et répression de la diaspora. Le Centre indique que les hacktivistes pro-iraniens cibleront probablement le Canada en raison de son appui public aux opérations militaires des États-Unis et d’Israël.
Le CERT-FR publie l’avis CERTFR-2026-AVI-0229 concernant des vulnérabilités multiples dans MISP. Les versions affectées sont MISP antérieures à 2.5.33 et MISP modules antérieures à 3.0.5. Les risques identifiés couvrent le contournement de la politique de sécurité, la falsification de requêtes côté serveur (SSRF) et l’injection de code indirecte à distance (XSS). La mise à jour est recommandée sans délai, en particulier dans le contexte actuel de diffusion massive d’IOC via MISP.
Le CERT-UA documente l’exploitation active par APT28 de la vulnérabilité CVE-2026-21509 dans Microsoft Office, score CVSS 7.8. La chaîne d’attaque exploite des fichiers RTF spécialement conçus déclenchant une connexion WebDAV vers un serveur externe, suivie du déploiement de MiniDoor pour le vol d’emails et de PixyNetLoader pour l’accès persistant via le framework COVENANT Grunt. Plus de 60 adresses email associées aux autorités exécutives ukrainiennes ont été ciblées. Un document leurre a été créé un jour après la divulgation par Microsoft.
Enfin, Malwarebytes identifie un faux site imitant le projet FileZilla, hébergé sur le domaine filezilla-project[.]live, distribuant une copie trojanisée de FileZilla 3.69.5. L’attaque repose sur l’ajout d’une DLL malveillante version.dll exploitant le mécanisme de DLL search order hijacking de Windows. Le malware accède aux identifiants FTP sauvegardés et contacte un serveur C2. Cette technique s’inscrit dans une tendance croissante d’empoisonnement de logiciels open-source de confiance, après les cas récents impliquant 7-Zip et Notepad++.
Sources :
- Security Affairs – Middle East Crisis Prompts UK NCSC Warning on Potential Iranian Cyber Activity : https://securityaffairs.com/188800/apt/middle-east-crisis-prompts-uk-warning-on-potential-iranian-cyber-activity.html
- Centre canadien pour la cybersécurité – Bulletin sur les cybermenaces iraniennes : https://www.cyber.gc.ca/fr/orientation/bulletin-cybermenaces-intervention-cas-cybermenaces-iraniennes-emanant-frappes-etats-unis-disrael-fevrier-2026
- CERT-FR – Multiples vulnérabilités dans MISP (CERTFR-2026-AVI-0229) : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0229/
- CERT-UA – APT28 exploite CVE-2026-21509 : https://cert.gov.ua/article/6287707
- Malwarebytes – A Fake FileZilla Site Hosts a Malicious Download : https://www.malwarebytes.com/blog/threat-intel/2026/03/a-fake-filezilla-site-hosts-a-malicious-download
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com