Selon Microsoft, le groupe russe Secret Blizzard, lié au FSB et recoupant Turla, a transformé son backdoor historique Kazuar en un botnet peer-to-peer modulaire. La nouvelle architecture repose sur trois modules — Kernel, Bridge et Worker — avec élection d’un leader parmi les systèmes infectés, seul à communiquer avec le C2 via HTTP, WebSockets ou Exchange Web Services. Les autres hôtes passent en mode silencieux pour réduire la surface de détection. Les communications internes s’appuient sur IPC Windows natif, chiffrement AES et sérialisation Protobuf. Kazuar offre désormais 150 options de configuration, incluant bypass AMSI, ETW et Windows Lockdown Policy.
D’après GBHackers et Malwarebytes, le site officiel de JDownloader a été compromis entre le 6 et le 7 mai 2026 via l’exploitation d’une vulnérabilité CMS permettant la modification non authentifiée des Access Control Lists. Les attaquants ont substitué des installeurs trojanisés à l’Alternative Installer Windows et au shell installer Linux. L’installeur Windows déployait un Remote Access Trojan Python assurant un accès persistant. Les builds macOS, JAR, Flatpak, Snap, Winget et les mises à jour in-app n’ont pas été affectés.
Fortinet a publié 11 advisories lors de son Patch Tuesday de mai 2026, dont deux failles critiques de Remote Code Execution non authentifié. CVE-2026-44277, CVSS 9.1, vise FortiAuthenticator via un défaut d’improper access control, ouvrant la voie au contournement du MFA et à l’interception des flux RADIUS, LDAP et SAML. CVE-2026-26083, CVSS 9.1, frappe FortiSandbox via une missing authorization sur l’interface WEB UI. À noter également CVE-2026-44278, clé de chiffrement codée en dur exposant les mots de passe VPN sauvegardés dans FortiClientWindows.
D’après un rapport publié par Hunt.io, dans le contexte d’escalade géopolitique entre les États-Unis, Israël et l’Iran, 19 groupes liés à Téhéran sont actuellement suivis, dont MuddyWater, VoidManticore, APT42, APT35 et Infy. L’analyse révèle une préférence marquée de MuddyWater pour les hébergeurs NameCheap et Hosterdaddy Private Limited, AS136557. Le pivot sur le hash SHA-256 du binaire de tunneling FMAPP.exe a permis d’identifier un Sliver C2 exposé sur le port 31337, ainsi qu’un dropper PowerShell reset.ps1 utilisant ethers.js et WebSocket, suggérant une composante de communication adossée à Ethereum. Concernant Dark Scepter, recoupant APT34 OilRig, Hunt.io documente le contournement du fronting Cloudflare via pivot sur les Subject Alternative Names des certificats.
D’après le rapport AI Threat Tracker publié le 11 mai 2026 par le Google Threat Intelligence Group, des chercheurs ont identifié pour la première fois un exploit zero-day développé avec l’assistance d’un LLM. La vulnérabilité, un contournement de la double authentification dans un outil d’administration web open source non divulgué, repose sur un Semantic Logic Flaw : le développeur a codé en dur une hypothèse de confiance que les scanners SAST et fuzzers ne peuvent détecter. GTIG attribue l’exploit à un LLM avec haute confiance, sur la base de docstrings éducatifs, scores CVSS hallucinés et formatage textbook. Gemini n’est pas impliqué. Le rapport documente également CANFAIL et LONGSTREAM, malwares Russia-nexus utilisant du decoy code généré par LLM, et PROMPTSPY, backdoor Android intégrant l’API Gemini.
Sources :
- Russian hackers turn Kazuar backdoor into modular P2P botnet — BleepingComputer : https://www.bleepingcomputer.com/news/security/russian-hackers-turn-kazuar-backdoor-into-modular-p2p-botnet/
- JDownloader Website Hack Exposes Windows and Linux Users to Malicious Installers — GBHackers : https://gbhackers.com/jdownloader-website-hack-exposes-windows-and-linux-users/
- Fortinet Patch Tuesday – May 2026 — TheCyberThrone : https://thecyberthrone.in/2026/05/16/fortinet-patch-tuesday-may-2026/
- Iranian APT Infrastructure in Focus: Mapping State-Aligned Clusters During Geopolitical Escalation — Hunt.io : https://hunt.io/blog/iranian-apt-infrastructure-state-aligned-clusters
- Cyberattaques IA : Google révèle que des hackers ont trouvé le moyen de contourner la double authentification — 01net : https://www.01net.com/actualites/cyberattaques-ia-google-revele-hackers-trouve-moyen-contourner-double-authentification-premiere.html
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #ThreatIntelligence #SecretBlizzard #Turla #Kazuar #Botnet #P2P #FSB #JDownloader #SupplyChain #RAT #Python #Malwarebytes #Fortinet #PatchTuesday #FortiAuthenticator #FortiSandbox #FortiClient #CVE #RCE #MFA #HuntIO #IranianAPT #MuddyWater #DarkScepter #APT34 #OilRig #APT35 #APT42 #Sliver #C2 #GTIG #Google #AIThreatTracker #ZeroDay #LLM #2FA #PROMPTSPY #CANFAIL #LONGSTREAM #Gemini #PatchManagement #RadioCSIRT