Selon le CERT-UA, le cluster UAC-0057, également suivi sous le nom UNC1151, mène depuis le printemps 2026 une campagne de Phishing visant des organisations gouvernementales ukrainiennes. Les courriels, envoyés depuis des comptes compromis, exploitent la thématique de l’obtention de certificats via la plateforme Prometheus. Le vecteur d’Initial Access repose sur un PDF en pièce jointe contenant un lien menant au téléchargement d’une archive ZIP, laquelle embarque un fichier JS identifié comme OYSTERFRESH. Ce Loader affiche un document leurre, inscrit dans le registre une version obfusquée du Payload OYSTERBLUES, puis télécharge OYSTERSHUCK, son décodeur. Le décodage combine un reverse de chaîne, une transformation ROT13 et un URL-decoding. OYSTERBLUES collecte ensuite le nom de la machine, le compte utilisateur, la version de l’OS et la liste des processus, données transmises au serveur C2 par requête HTTP POST. En retour, le serveur renvoie du code JS exécuté via la fonction eval. À l’étape suivante, un composant Cobalt Strike peut être déployé. L’infrastructure reste masquée derrière Cloudflare, avec une forte proportion de domaines en TLD .icu.
Selon le blog du chercheur opérant sous le pseudonyme Nightmare Eclipse, un conflit ouvert oppose ce dernier au MSRC autour de la divulgation de vulnérabilités Windows. Le chercheur a publié plusieurs Proof of Concept en Full Disclosure sur GitHub, dont les exploits baptisés BlueHammer et RedSun, ce dernier répondant au correctif de la CVE-2026-33825. Le différend cristallise autour de la CVE-2026-45585, surnommée YellowKey, un security feature bypass affectant Windows. Microsoft affirme que la publication du Proof of Concept enfreint les bonnes pratiques de Coordinated Vulnerability Disclosure. Le chercheur conteste cette qualification, qu’il juge diffamatoire, et accuse l’éditeur d’avoir révoqué puis intégralement supprimé son compte MSRC, sans réponse de la direction à ses demandes d’explication. Il évoque par ailleurs un silent patch appliqué par Microsoft sur la vulnérabilité YellowKey, sans attribution de CVE initiale. Les publications, signées en PGP avec un hash SHA512, s’inscrivent dans une série d’au moins sept billets diffusés en mai 2026, marquant une escalade revendiquée du mode de divulgation.
Selon BleepingComputer, Google a accidentellement exposé les détails d’une faille Chromium non corrigée permettant à du JavaScript de continuer à s’exécuter en arrière-plan après la fermeture du navigateur, ouvrant la voie à une exécution de code à distance. Rapportée par la chercheuse Lyra Rebane et reconnue dès décembre 2022, la vulnérabilité repose sur l’abus d’un Service Worker qui ne se termine jamais, transformant le navigateur en membre permanent d’un botnet relié à un C2. Tous les navigateurs basés sur Chromium sont concernés : Chrome, Edge, Brave, Opera, Vivaldi et Arc. Le 20 mai, les restrictions d’accès sur le Chromium Issue Tracker ont été levées automatiquement, le bug ayant été marqué comme corrigé, alors qu’aucun patch n’avait été livré. En testant, Rebane a constaté que l’exploit fonctionne toujours sur Chrome Dev 150 et Edge 148. Sur Edge, l’exécution est désormais totalement silencieuse, la fenêtre de téléchargement ayant disparu. Les scénarios incluent attaques DDoS distribuées, proxy de trafic malveillant et redirection arbitraire. La faille ne franchit pas les barrières de sécurité du navigateur.
Selon Cyber Security News, une vulnérabilité zero-day d’exécution de code à distance, baptisée nginx-poolslip, affecterait NGINX 1.31.0, dernière version stable du serveur web. La découverte est attribuée à un chercheur opérant sous le nom Vega, au sein de l’équipe NebSec, et a été divulguée publiquement via X le 21 mai 2026. La faille viserait le mécanisme interne de gestion du memory pool de NGINX et permettrait une exécution de code à distance sans authentification préalable, via un contournement de l’ASLR. NebSec indique que le correctif d’une vulnérabilité antérieure, nginx-rift, n’a pas traité la surface d’attaque désormais exploitée. NGINX équipant 30 à 40 % des serveurs web mondiaux, reverse proxies, load balancers et API gateways inclus, les organisations ayant migré vers 1.31.0 resteraient exposées. À la publication, aucun CVE n’est attribué et aucun patch F5/NGINX n’est disponible. NebSec applique une responsible disclosure de 30 jours et retient les détails techniques du contournement ASLR jusqu’à correctif officiel. Cette information demeure non confirmée par F5 et appelle vérification.
Selon le SANS Internet Storm Center, dans une note signée Johannes Ullrich, il n’existe pas encore d’équivalent générique sous Linux à Proxifier, l’outil capable d’intercepter le trafic de processus spécifiques sous Windows, macOS et Android, utile pour le debugging et le reverse engineering en limitant le bruit d’analyse. Trois méthodes permettent toutefois de cibler le proxying par processus sous Linux. La première s’appuie sur les variables d’environnement http_proxy et https_proxy, définies dans un shell avant de lancer le logiciel à inspecter. La deuxième repose sur iptables, qui peut rediriger le trafic d’un utilisateur donné via l’option owner et le ciblage par UID, plutôt que par PID, ces derniers étant trop instables et multiples pour les processus multithreadés. La troisième utilise les network namespaces, qui créent des tables de routage distinctes par processus, en assignant explicitement les interfaces réseau au namespace. Ullrich qualifie cette dernière approche de plus polyvalente, notamment lorsque les variables d’environnement échouent, la solution iptables restant plus simple mais susceptible de générer du trafic résiduel non désiré.
Sources :
- Оновлений інструментарій UAC-0057 : OYSTERFRESH, OYSTERSHUCK та OYSTERBLUES — CERT-UA : https://cert.gov.ua/article/6315762
- I have been profusely crying — Nightmare Eclipse : https://deadeclipse666.blogspot.com/2026/05/i-have-been-profusely-crying-i-will.html
- Dear Microsoft — Nightmare Eclipse : https://deadeclipse666.blogspot.com/2026/05/dear-microsoft.html
- Google accidentally exposed details of unfixed Chromium flaw — BleepingComputer : https://www.bleepingcomputer.com/news/security/google-accidentally-exposed-details-of-unfixed-chromium-flaw/
- Selective HTTP Proxying in Linux — SANS Internet Storm Center : https://isc.sans.edu/diary/rss/33002
- New NGINX 0-Day RCE nginx-poolslip Affects Millions of NGINX Servers — Cyber Security News : https://cybersecuritynews.com/nginx-0-day-rce-nginx-poolslip/
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CERTUA #UAC0057 #UNC1151 #OYSTERFRESH #OYSTERSHUCK #OYSTERBLUES #CobaltStrike #Phishing #Cloudflare #NightmareEclipse #ChaoticEclipse #Microsoft #MSRC #YellowKey #CVE202645585 #BlueHammer #RedSun #FullDisclosure #CVD #Google #Chromium #Chrome #Edge #ServiceWorker #Botnet #DDoS #JavaScript #SANS #ISC #Linux #Proxy #NetworkNamespaces #iptables #NGINX #nginxpoolslip #ZeroDay #RCE #ASLR #F5 #PatchManagement #RadioCSIRT