🚔 L’opération Endgame franchit une nouvelle étape avec le nettoyage de près de 15 000 sites WordPress infectés par SocGholish et la mise hors ligne de 106 serveurs liés à Evil Corp. F5 publie des correctifs hors cycle pour des failles critiques dans NGINX, notamment une use-after-free dans le module HTTP/3. Proofpoint détaille l’expansion mondiale de TA4922, groupe cybercriminel sinophone déployant Atlas RAT, RomulusLoader et des malware développés par LLM. La CISA ajoute la faille Joomla JCE CVE-2026-48907 au catalogue KEV. Le SANS ISC analyse trois mois d’attaques SSH coordonnées par botnet à partir de données honeypot.
🚔 Opération Endgame : nettoyage de 14 971 sites WordPress infectés par SocGholish et démantèlement de 106 serveurs liés à Evil Corp (BleepingComputer)
🛡️ F5 corrige CVE-2026-42530 et CVE-2026-42055 dans NGINX, failles use-after-free HTTP/3 et HTTP/2 avec scores CVSS v4.0 de 9.2 (GBHackers)
🎣 TA4922 : groupe sinophone en expansion mondiale, déploie Atlas RAT, RomulusLoader et SilentRunLoader via DLL sideloading et services cloud (Proofpoint)
🚨 CISA ajoute CVE-2026-48907, faille Joomla Content Editor exploitée activement, au catalogue KEV sous BOD 26-04 (CISA)
🐧 Analyse honeypot DShield : 20 millions de tentatives SSH brute force en 100 jours, corrélation avec événements géopolitiques et cybersécurité (SANS ISC)
Sources :
- Police cleans nearly 15,000 SocGholish-infected sites tied to Evil Corp — BleepingComputer : https://www.bleepingcomputer.com/news/security/law-enforcement-nukes-socgholish-malware-from-nearly-15-000-sites/
- F5 Patches NGINX Vulnerability Enabling Code Execution and DoS Attacks — GBHackers : https://gbhackers.com/f5-patches-nginx-vulnerability/
- TA4922: The Suspected Chinese Crime Group is Going Global — Proofpoint : https://www.proofpoint.com/us/blog/threat-insight/ta4922-suspected-chinese-crime-group-going-global
- CISA Adds One Known Exploited Vulnerability to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/06/16/cisa-adds-one-known-exploited-vulnerability-catalog
- The Behavior of Coordinated SSH Brute Force Attacks over the last three months — SANS ISC : https://isc.sans.edu/diary/rss/33086
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #SocGholish #EvilCorp #OperationEndgame #Europol #NGINX #F5 #CVE-2026-42530 #CVE-2026-42055 #CVE-2026-11311 #CVE-2026-50107 #HTTP3 #QUIC #TA4922 #AtlasRAT #RomulusLoader #SilentRunLoader #ValleyRAT #Winos4 #DLLSideloading #Proofpoint #Joomla #CVE-2026-48907 #CISA #KEV #BOD2604 #SSH #BruteForce #DShield #Honeypot #Botnet #HASSH #SANS #RadioCSIRT