Un article du Monde revient sur la diffusion exagérée par des influenceurs cyber d’une prétendue fuite touchant 714 000 utilisateurs d’Immojeune, annoncée sur BreachForums le 5 mars. Après analyse, la société indique que seuls 5 126 dossiers ont réellement fuité. Vincent Strubel, directeur général de l’ANSSI, rappelle lors du panorama 2025 de la cybermenace que reprendre sans recoupement les revendications d’attaquants pose un problème éthique, une position confortée par Ludovic Mé de l’Inria.
La CISA ajoute huit vulnérabilités à son Known Exploited Vulnerabilities Catalog, dont trois visent Cisco Catalyst SD-WAN Manager : CVE-2026-20122, CVE-2026-20128 et CVE-2026-20133. S’ajoutent des failles sur PaperCut NG/MF, JetBrains TeamCity, Kentico Xperience, Quest KACE SMA et Synacor Zimbra. Toutes sont exploitées activement et relèvent de la Binding Operational Directive 22-01 pour les agences FCEB.
Le CERT-FR publie deux avis. L’avis CERTFR-2026-AVI-0464 couvre la CVE-2026-6553 dans Typo3, affectant typo3/cms-backend avant la version 14.3.0 pour Composer, avec risque d’atteinte à la confidentialité. L’avis CERTFR-2026-AVI-0465 signale une vulnérabilité dans Mattermost Server 11.5.x avant 11.5.2, sans risque spécifié par l’éditeur.
Cleafy documente Mirax, un nouveau RAT Android distribué en private Malware-as-a-Service réservé à des affiliés russophones. Les campagnes ciblent l’Espagne via des Meta Ads sur Facebook et Instagram, pour une portée de plus de 200 000 comptes, avec des droppers hébergés sur GitHub Releases. Au-delà des HTML Overlays sur 182 applications, du VNC et du keylogging, Mirax intègre une capacité inédite de résidential proxy SOCKS5 multiplexé en Yamux via WebSocket, transformant chaque téléphone infecté en nœud de sortie légitime.
The Hacker News rapporte que Google a corrigé une vulnérabilité de code execution dans son IDE agentique Antigravity, identifiée par Pillar Security. Un Prompt Injection ciblant le paramètre Pattern de l’outil find_by_name, via le flag -X de fd, permet de contourner le Strict Mode et d’exécuter un binaire arbitraire. L’article revient également sur des failles patchées dans Claude Code, Copilot Agent, Cursor avec la chaîne NomShub, Microsoft Copilot Studio (CVE-2026-21520) et Salesforce Agentforce.
The Hacker News rapporte enfin qu’un troisième négociateur de ransomware, Angelo Martino, employé chez DigitalMint, a plaidé coupable devant le Department of Justice pour avoir collaboré avec les opérateurs de BlackCat en 2023. Il transmettait aux attaquants les positions de négociation et les plafonds d’assurance de cinq de ses clients, et a déployé directement du ransomware avec Ryan Goldberg (Sygnia) et Kevin Martin (DigitalMint). 10 millions de dollars d’actifs ont été saisis, verdict attendu le 9 juillet 2026.
Sources :
- 713 000 dossiers piratés ou vigilance recommandée : les excès d’alerte des influenceurs cyber sur les fuites de données — Le Monde : https://www.lemonde.fr/pixels/article/2026/03/18/713-000-dossiers-pirates-les-exces-d-alerte-des-influenceurs-cyber-sur-les-fuites-de-donnees_6672045_4408996.html
- CISA Adds Eight Known Exploited Vulnerabilities to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/04/20/cisa-adds-eight-known-exploited-vulnerabilities-catalog
- Vulnérabilité dans Typo3 — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0464/
- Vulnérabilité dans Mattermost Server — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0465/
- Mirax: a new Android RAT turning infected devices into potential residential proxy nodes — Cleafy : https://www.cleafy.com/cleafy-labs/mirax-a-new-android-rat-turning-infected-devices-into-potential-residential-proxy-nodes
- Google Patches Antigravity IDE Flaw Enabling Prompt Injection Code Execution — The Hacker News : https://thehackernews.com/2026/04/google-patches-antigravity-ide-flaw.html
- Ransomware Negotiator Pleads Guilty to Aiding BlackCat Attacks in 2023 — The Hacker News : https://thehackernews.com/2026/04/ransomware-negotiator-pleads-guilty-to.html
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #KEV #CISA #CVE #ANSSI #Immojeune #Cisco #SDWAN #PaperCut #TeamCity #Kentico #KACE #Zimbra #CERTFR #Typo3 #Mattermost #Cleafy #Mirax #Android #RAT #ResidentialProxy #SOCKS5 #MaaS #MetaAds #Google #Antigravity #PromptInjection #ClaudeCode #Cursor #CopilotStudio #Agentforce #BlackCat #Ransomware #DOJ #InsiderThreat #Infosec #CyberNews