Nous ouvrons cette édition avec plusieurs avis publiés par le CERT-FR concernant des vulnérabilités affectant des composants largement déployés en environnement professionnel. Splunk Enterprise est concerné par une faille référencée CVE-2025-14847 impactant plusieurs branches majeures, tandis que Node.js est affecté par des vulnérabilités liées à l’intégration d’OpenSSL sur les versions v20 à v25. Une alerte distincte vise également Qnap QTS, avec un risque de contournement de la politique de sécurité sur un large périmètre de versions.
L’analyse de la menace informationnelle se poursuit avec le dernier bulletin du Threat Analysis Group de Google. Le rapport Q4 2025 détaille le démantèlement de vastes opérations d’influence coordonnées impliquant plusieurs milliers de YouTube channels, des domaines et des comptes publicitaires, attribués notamment à des acteurs russes, chinois et indonésiens, ciblant des narratifs géopolitiques à l’échelle mondiale.
Sur le volet cybercriminel, Mandiant documente des attaques de data theft menées par le groupe d’extorsion ShinyHunters. Ces campagnes reposent sur des opérations de voice phishing ciblées, l’abus du Single Sign-On et la compromission de mécanismes MFA, permettant un accès massif aux environnements SaaS et aux données cloud.
Enfin, une campagne de cyber espionnage attribuée à un acteur iranien, suivie sous le nom RedKitten, cible des ONG et des militants des droits humains via des documents Excel piégés, des implants modulaires et une infrastructure de command-and-control reposant sur GitHub, Google Drive et Telegram, avec des indices d’usage de large language models dans la génération des outils malveillants.
Sources
- Google Threat Analysis Group – TAG Bulletin Q4 2025 : https://blog.google/threat-analysis-group/tag-bulletin-q4-2025/
- CERT-FR – Splunk Enterprise : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0102/
- CERT-FR – Node.js : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0103/
- CERT-FR – Qnap QTS : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0104/
- BleepingComputer – ShinyHunters SSO abuse : https://www.bleepingcomputer.com/news/security/mandiant-details-how-shinyhunters-abuse-sso-to-steal-cloud-data/
- The Hacker News – RedKitten campaign : https://thehackernews.com/2026/01/iran-linked-redkitten-cyber-campaign.html
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com