Bienvenue sur votre podcast quotidien consacré à la cybersécurité.
Unit 42 de Palo Alto Networks expose Ashen Lepus, un acteur APT affilié au Hamas actif depuis 2018. Le groupe déploie une nouvelle suite malware modulaire .NET baptisée AshTag, ciblant des entités gouvernementales et diplomatiques au Moyen-Orient avec une expansion géographique confirmée vers Oman et Maroc. La chaîne d’infection multi-étapes s’initie via des leurres PDF en langue arabe sur des thématiques géopolitiques palestiniennes. Les victimes téléchargent des archives RAR contenant un binaire qui side-load le loader AshenLoader. Le groupe a abandonné son infrastructure C2 propriétaire au profit de sous-domaines API et authentification sur des domaines légitimes comme api.healthylifefeed.com, ce qui permet de masquer le trafic malveillant. L’architecture C2 intègre maintenant du géofencing et des vérifications anti-sandbox avant délivrance des payloads. Les modules secondaires sont encodés en Base64 et cachés dans des balises HTML commentées avec encryption AES-CTR-256. Ashen Lepus utilise Rclone pour exfiltrer les documents diplomatiques ciblés.
Malwarebytes publie une analyse technique sur la confidentialité réelle des VPN suite à la hausse mondiale d’utilisation post-règles britanniques de vérification de l’âge. Le document expose l’écart massif entre promesses marketing et implémentation concrète, particulièrement critique pour les déploiements professionnels protégeant des données sensibles. La propriété complète de l’infrastructure élimine les intermédiaires non contrôlés contrairement à la location cloud. Les serveurs RAM-only détruisent instantanément toute trace en cas de coupure, ce qui annule tout vecteur de saisie physique. Le protocole WireGuard réduit drastiquement la surface d’attaque grâce à son codebase minimaliste auditable, alors qu’OpenVPN et IPSec représentent désormais des technologies legacy. Le risque majeur pour les organisations vient des employés utilisant des VPN commerciaux non validés qui créent des tunnels chiffrés contournant les contrôles DLP et exfiltrant les données corporate via des infrastructures tierces jamais auditées.
Kali Linux publie la version 2025.4, dernière mise à jour de l’année, intégrant trois nouveaux outils de test d’intrusion, des améliorations majeures des environnements desktop et le support complet de Wayland sur GNOME. Les trois nouveaux outils incluent bpf-linker pour la compilation statique BPF, evil-winrm-py permettant l’exécution de commandes sur machines Windows distantes via WinRM, et hexstrike-ai qui autorise les agents IA à exécuter des outils de manière autonome via serveur MCP. GNOME passe en version 49 et supprime définitivement le support X11, fonctionnant désormais exclusivement sur Wayland avec support VM complet pour VirtualBox, VMware et QEMU. NetHunter étend le support Android 16 sur Samsung Galaxy S10 et OnePlus Nord, restaure le terminal avec compatibilité Magisk interactive, et intègre Wifipumpkin3 en preview avec templates de phishing Facebook, Instagram, iCloud et Snapchat.
La CISA ajoute la CVE-2018-4063 au catalogue KEV le 12 décembre 2025 suite à la détection d’exploitation active. Cette vulnérabilité affecte Sierra Wireless AirLink ALEOS et permet l’upload non restreint de fichiers dangereux sans validation de type ou d’extension, conduisant à l’exécution de code arbitraire sur les routeurs cellulaires déployés dans les flottes véhicules, infrastructures IoT industrielles et réseaux M2M. Point critique : la CVE date de 2018 mais son ajout tardif au KEV confirme une recrudescence d’exploitation ciblant spécifiquement les équipements legacy non patchés. Les dispositifs AirLink assurent la connectivité cellulaire de systèmes SCADA, terminaux de paiement mobiles et plateformes télématiques.
On ne réfléchit pas, on patch !
Sources :
Unit 42 : https://unit42.paloaltonetworks.com/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag/
Malwarebytes : https://www.malwarebytes.com/blog/inside-malwarebytes/2025/12/how-private-is-your-vpn
BleepingComputer : https://www.bleepingcomputer.com/news/security/kali-linux-20254-released-with-3-new-tools-desktop-updates/
CISA : https://www.cisa.gov/news-events/alerts/2025/12/12/cisa-adds-one-known-exploited-vulnerability-catalog
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com