🛡️ Le Centre canadien pour la cybersécurité publie le bulletin AV26-649 relayant les correctifs WatchGuard du 2 juillet. Plusieurs branches de Fireware OS sont concernées, ainsi que le client Mobile VPN with SSL pour Windows. Les avis couvrent une Race Condition avec Use-After-Free dans Mobile VPN with IKEv2 et une élévation de privilèges locale dans le client SSL Windows.
🔓 Cisco Talos dissèque ARToken, un panneau d’affiliation Phishing-as-a-Service lié à EvilTokens et ciblant Microsoft 365. Plus de 80 points d’API couvrent le Device Code Phishing, la persistance par Primary Refresh Token résistante aux changements de mot de passe et les opérations BEC. Le kit embarque un système anti-analyse en sept couches et des charges chiffrées en XOR.
🎣 Malwarebytes documente une publicité sponsorisée sur X, publiée depuis un compte vérifié, qui imite l’utilitaire macOS DynamicLake pour installer Atomic Stealer via des commandes Terminal. La technique ConsentFix vole en parallèle des jetons de session Microsoft 365 sans malware ni mot de passe, en contournant la MFA par un simple glisser de lien localhost.
🤖 Unit 42 décrit le phantom squatting, l’enregistrement préventif de domaines hallucinés par les LLM. Sur 2,1 millions d’URL générées pour 913 marques, 13 229 étaient déjà malveillantes et 250 000 domaines restent enregistrables par des attaquants. Le cas Montana Empire montre un kit de Phishing développé avec un assistant IA sur un domaine prédit 23 jours avant son enregistrement.
🕵️ WatchGuard analyse une campagne TimbreStealer visant des entreprises mexicaines par DLL side-loading des binaires EdgeUpdate et GoogleUpdater. Les DLL malveillantes de 45 à 50 Mo utilisent des déchiffreurs RC4, un géorepérage UTC-5 à UTC-8 et exfiltrent les données de navigateurs, messageries et dossiers cloud.
💰 Security Affairs relaie le rapport Ransom-ISAC sur une entité gouvernementale américaine ayant versé environ 1 million de dollars en Bitcoin au groupe Kairos, sans qu’aucun Ransomware n’ait jamais été relié au groupe. Extorsion fondée uniquement sur le vol de 2 To de données, preuve de suppression invérifiable et traçage blockchain vers ByBit, OKX et BELQI.
🇰🇵 The Hacker News détaille la campagne nord-coréenne PolinRider, liée à Contagious Interview : 108 paquets et extensions malveillants sur npm, Packagist, Go et Chrome, 1 951 dépôts GitHub compromis, tâches VS Code à exécution automatique, réécriture d’historique Git et charges finales DEV#POPPER RAT et OmniStealer via des infrastructures blockchain.
Sources :
- Bulletin de sécurité WatchGuard (AV26-649) : Centre canadien pour la cybersécurité : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-watchguard-av26-649
- ARToken: Inside an EvilTokens affiliate panel targeting Microsoft 365 : Cisco Talos : https://blog.talosintelligence.com/artoken-inside-an-eviltokens-affiliate-panel-targeting-microsoft-365/
- Verified X ad spreads Mac malware, while ConsentFix steals Microsoft accounts : Malwarebytes : https://www.malwarebytes.com/blog/news/2026/07/verified-x-ad-spreads-mac-malware-while-consentfix-steals-microsoft-accounts
- Phantom Squatting: AI-Hallucinated Domains as a Software Supply Chain Vector : Palo Alto Networks Unit 42 : https://unit42.paloaltonetworks.com/phantom-squatting-hallucinated-web-domains/
- Hackers Abuse EdgeUpdate and GoogleUpdater to Deploy TimbreStealer Infostealer : Cyber Press : https://cyberpress.org/timbrestealer-infostealer-attack/
- U.S. Government Agency Paid $1M to Data Extortion Group Kairos : Security Affairs : https://securityaffairs.com/194750/security/u-s-government-agency-paid-1m-to-data-extortion-group-kairos.html
- North Korean Hackers Publish 108 Malicious Packages and Extensions in PolinRider Campaign : The Hacker News : https://thehackernews.com/2026/07/north-korean-hackers-publish-108.html
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #WatchGuard #Fireware #PhaaS #EvilTokens #ARToken #Microsoft365 #ClickFix #ConsentFix #macOS #AtomicStealer #PhantomSquatting #LLM #SupplyChain #TimbreStealer #Infostealer #Kairos #Extortion #ContagiousInterview #PolinRider #npm #BeaverTail #RadioCSIRT