Darktrace publie une analyse d’un nouveau malware baptisé ZionSiphon, spécifiquement conçu pour cibler les systèmes de traitement et de désalinisation de l’eau en Israël. L’échantillon combine privilege escalation, persistence via la clé de registre SystemHealthCheck, propagation par USB sous le faux processus svchost.exe, et scanning ICS sur Modbus port 502, DNP3 port 20000 et S7comm port 102. La target list nomme Mekorot, les usines de Sorek, Hadera, Ashdod, Palmachim et la station de Shafdan. Le payload vise la manipulation des dosages de chlore et des pressions hydrauliques. L’échantillon analysé reste non fonctionnel en raison d’une incohérence de clé XOR dans la fonction IsTargetCountry, déclenchant systématiquement la routine SelfDestruct. Des chaînes Base64 décodées contiennent des messages politiques signés 0xICS.
MZLA Technologies Corporation, filiale de la Mozilla Foundation, annonce Thunderbolt, un AI client open source et self-hostable destiné aux organisations. Le produit repose sur une intégration native avec Haystack, le framework open source d’orchestration d’agents et de RAG développé par la société berlinoise deepset. Thunderbolt supporte le Model Context Protocol et l’Agent Client Protocol, accepte des modèles commerciaux, open source ou locaux, et propose du end-to-end encryption en option. Des applications natives sont prévues pour Windows, macOS, Linux, iOS et Android. Le code source est publié sur GitHub, l’accès se fait via waitlist sur thunderbolt.io.
Le CERT-UA documente sous la référence UAC-0247 l’intensification depuis mars et avril 2026 de campagnes contre les collectivités locales et les hôpitaux publics ukrainiens. L’initial access repose sur du phishing autour de propositions d’aide humanitaire, parfois avec une page leurre générée par IA ou l’abus d’un site légitime vulnérable au XSS. La chaîne d’infection passe par un LNK déclenchant mshta.exe, puis un HTA qui charge un EXE via scheduled task, lequel injecte un shellcode dans RuntimeBroker.exe. Les campagnes récentes utilisent un loader en deux étapes avec un format exécutable propriétaire, suivi d’un RAVENSHELL chiffrant son trafic via XOR 9 octets, ou du RAT AGINGFLY en C# communiquant en WebSocket chiffré AES-CBC, avec handlers compilés dynamiquement depuis le C2. Un script PowerShell SILENTLOOP récupère l’adresse du C2 sur Telegram. Pour le lateral movement, les opérateurs emploient RUSTSCAN, LIGOLO-NG et CHISEL, et exploitent CHROMELEVATOR et ZAPIXDESK pour l’exfiltration de credentials. Le CERT-UA signale également le ciblage d’opérateurs FPV via un faux update du logiciel BACHU diffusé sur Signal, exploitant un DLL side-loading pour déployer AGINGFLY.
La CISA ajoute le 16 avril 2026 une nouvelle entrée à son catalogue Known Exploited Vulnerabilities : CVE-2026-34197, une faille critique affectant Apache ActiveMQ Classic, avec un score CVSS de 8.8. Selon l’analyse publiée par Horizon3.ai, il s’agit d’une faille d’improper input validation conduisant à une code injection via l’API Jolokia : un attaquant peut forcer le broker à charger un fichier de configuration distant et exécuter des commandes arbitraires au niveau du système d’exploitation. Naveen Sunkavally précise que la faille était dormante depuis treize ans. Sur les versions 6.0.0 à 6.1.1, la combinaison avec CVE-2024-32114, qui expose l’API Jolokia sans authentification, transforme la faille en unauthenticated RCE. Les correctifs sont disponibles dans les versions 5.19.4 et 6.2.3. Les agences FCEB doivent appliquer les correctifs avant le 30 avril 2026.
BleepingComputer rapporte que Microsoft a retiré une mise à jour de service empêchant certains utilisateurs de lancer le client desktop Microsoft Teams. L’incident, tracké sous la référence TM1283300, bloquait les utilisateurs sur l’écran de chargement avec le message d’erreur « We’re having trouble loading your message. Try refreshing. ». Microsoft a identifié la cause comme une régression dans le client build caching system de Teams, introduite par une mise à jour de service, et a procédé à un rollback complet. Les utilisateurs impactés doivent quitter totalement puis relancer Teams pour que la correction se propage. Microsoft a qualifié l’événement d’incident, une classification réservée aux dysfonctionnements critiques à impact visible.
BleepingComputer rapporte par ailleurs que Microsoft a publié une série de mises à jour out-of-band destinées à corriger deux dysfonctionnements survenus après le déploiement des correctifs de sécurité d’avril 2026. Le premier concerne des échecs d’installation de la mise à jour KB5082063 sur Windows Server 2025. Le second provoque une restart loop sur des domain controllers en raison de crashes du processus Local Security Authority Subsystem Service, LSASS. Les domain controllers non-Global Catalog opérant dans des environnements utilisant Privileged Access Management sont particulièrement exposés. Sept builds OOB ont été livrés, couvrant Windows Server 2016, 2019, 2022, 23H2, 2025, ainsi que les Azure Editions en Hotpatch. Seul le KB5091157 pour Windows Server 2025 adresse les deux known issues simultanément.
Xavier Mertens publie sur l’Internet Storm Center du SANS une analyse sur l’usage du scoring EPSS pour prioriser le triage des vulnérabilités. Face aux 40 000 CVE publiées en 2024 à un rythme d’environ 110 par jour dont seulement 5 à 7 % exploitées dans la nature, le seul score CVSS s’avère insuffisant. L’Exploit Prediction Scoring System, développé par le FIRST et en production dans sa version v3 depuis mars 2023, répond à une question probabiliste : la probabilité qu’une CVE soit exploitée dans les 30 jours suivant sa publication. Le modèle repose sur un gradient-boosted machine learning basé sur XGBoost, alimenté par environ 1 400 signaux mis à jour quotidiennement. L’auteur détaille une intégration concrète dans Wazuh via un script Python interrogeant l’API publique de FIRST et déclenchant un enrichissement automatique avec mapping en quatre niveaux : low, medium, high, critical.
Sources :
- ZionSiphon Launches Sabotage Attacks On Israel’s Water Infrastructure — CyberPress : https://cyberpress.org/zionsiphon-hits-water-infrastructure/
- Announcing Thunderbolt — MZLA Technologies Corporation : https://www.thunderbolt.io/announcing-thunderbolt
- Лікарні, органи місцевого самоврядування та оператори FPV — у фокусі кластера кіберзагроз UAC-0247 — CERT-UA : https://cert.gov.ua/article/6288271
- CISA Adds One Known Exploited Vulnerability to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/04/16/cisa-adds-one-known-exploited-vulnerability-catalog
- Microsoft pulls service update causing Teams launch failures — BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-teams-client-launch-failures-caused-by-service-update/
- Microsoft releases emergency updates to fix Windows Server issues — BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-updates-to-fix-windows-server-issues/
- Handling the CVE Flood With EPSS — SANS Internet Storm Center : https://isc.sans.edu/diary/rss/32914
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #KEV #CISA #CVE #Darktrace #ZionSiphon #ICS #OT #Israel #Water #Mozilla #Thunderbolt #Haystack #AI #SovereignAI #CERTUA #UAC0247 #Ukraine #Phishing #RAVENSHELL #AGINGFLY #SILENTLOOP #LIGOLO #RUSTSCAN #ApacheActiveMQ #Jolokia #RCE #Horizon3 #Microsoft #Teams #WindowsServer #LSASS #DomainController #OOB #KB5082063 #EPSS #FIRST #Wazuh #Infosec #CyberNews