Nous ouvrons cette édition avec une enquête de Palo Alto Networks Unit 42 révélant une campagne d’espionnage massive orchestrée par un Threat Actor étatique asiatique, identifié comme TGR-STA-1030. Les chercheurs rapportent la compromission de réseaux critiques dans 37 pays, ciblant ministères et infrastructures de télécommunications pour de l’exfiltration de données sensibles. L’arsenal du groupe inclut un nouveau Linux kernel rootkit nommé ShadowGuard, exploitant la technologie eBPF pour une furtivité accrue, ainsi qu’un malware loader spécifique baptisé DiaoYu.
L’actualité se poursuit aux États-Unis, où la CISA publie une directive opérationnelle imposant aux agences fédérales le retrait de tous les équipements End-of-Life sous 12 mois. Cette décision fait suite à l’observation de campagnes persistantes exploitant des périphériques Edge non supportés — tels que les firewalls, load balancers et routeurs — comme points d’entrée vers les réseaux internes. L’agence exige un inventaire complet sous trois mois et la mise en place d’un processus continu de découverte des actifs obsolètes.
Côté menaces, le Botnet AISURU/Kimwolf établit un nouveau record mondial avec une attaque DDoS atteignant un pic de 31,4 Tbps, selon un rapport de Cloudflare. Cette offensive Hyper-volumetric s’appuie sur plus de 2 millions de terminaux Android compromis, principalement des Android TVs, enrôlés via des réseaux de Residential Proxies comme IPIDEA. Cloudflare note une augmentation alarmante de 121 % du volume global des attaques DDoS observées en 2025.
Le CERT-FR publie aujourd’hui trois avis de sécurité majeurs. Le premier signale de multiples vulnérabilités critiques dans les produits F5, affectant BIG-IP et l’écosystème NGINX, avec des risques d’atteinte à l’intégrité et de déni de service. Le second concerne les solutions de collaboration Cisco, notamment Meeting Management et RoomOS, exposées à des failles de Remote Code Execution (RCE) et d’élévation de privilèges. Le dernier avis cible la plateforme d’orchestration Splunk SOAR, dont toutes les versions antérieures à la 7.1.0 doivent être mises à jour pour corriger dix CVE distinctes.
Enfin, Datadog Security Labs détaille une campagne de détournement de trafic ciblant les serveurs NGINX, particulièrement en Asie. Contrairement aux exploits classiques, les attaquants ne visent pas une vulnérabilité logicielle mais injectent des configurations malveillantes via des blocs location et la directive proxy_pass. Cette technique permet de rediriger le trafic utilisateur vers une infrastructure attaquante de manière transparente, tout en préservant les en-têtes légitimes pour échapper à la détection.
Sources
- The Register – Campagne d’espionnage TGR-STA-1030 :https://www.theregister.com/2026/02/05/asia_government_spies_hacked_37_critical_networks/
- The Record – Directive CISA sur les équipements End-of-Life :https://therecord.media/cisa-gives-federal-agencies-one-year-end-of-life-devices
- The Hacker News – Record DDoS du Botnet AISURU :https://thehackernews.com/2026/02/aisurukimwolf-botnet-launches-record.html
- CERT-FR – Vulnérabilités F5 (CERTFR-2026-AVI-0120) :https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0120/
- CERT-FR – Vulnérabilités Cisco (CERTFR-2026-AVI-0119) :https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0119/
- CERT-FR – Vulnérabilités Splunk (CERTFR-2026-AVI-0118) :https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0118/
- Bleeping Computer – Détournement de trafic NGINX :https://www.bleepingcomputer.com/news/security/hackers-compromise-nginx-servers-to-redirect-user-traffic/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com