Nous ouvrons cette édition avec une analyse publiée par Brad Duncan sur le SANS Internet Storm Center, documentant une campagne de Phishing en langue japonaise. Les emails frauduleux usurpent les marques ANA, DHL et myTOKYOGAS, avec des domaines d'expédition et des URLs de Phishing systématiquement enregistrés sous le TLD .cn. L'ensemble des échantillons partagent un même indicateur dans les en-têtes : la signature X-mailer Foxmail 6, 13, 102, 15 [cn], confirmant un acteur unique.

L'actualité se poursuit avec un avis du CERT-FR, référencé CERTFR-2026-AVI-0189, concernant une vulnérabilité dans F5 BIG-IP AFM et DDoS Hybrid Defender. La faille CVE-2026-2507 permet un déni de service à distance sur les versions 17.x non corrigées.

Le Centre canadien pour la cybersécurité a émis le bulletin AV26-148 suite à la publication par IceWarp de correctifs critiques. La vulnérabilité principale, CVE-2025-14500, est une OS Command Injection avec un score CVSS de 9.8, exploitable sans authentification sur Windows et Linux. Deux failles supplémentaires de sévérité moyenne affectent l'interface WebClient.

En parallèle, le CST et le Centre pour la cybersécurité appellent les organisations canadiennes et les opérateurs d'infrastructures essentielles à renforcer leurs défenses face aux cybermenaces pro-russes, à l'approche du quatrième anniversaire de l'invasion de l'Ukraine. Les acteurs ciblés incluent les organismes gouvernementaux, les secteurs public et privé et les réseaux d'infrastructures essentielles, notamment via des attaques DDoS et des campagnes de Ransomware.

Enfin, la CISA a ajouté deux vulnérabilités Roundcube Webmail à son catalogue Known Exploited Vulnerabilities : CVE-2025-49113, une Deserialization critique au score CVSS de 9.9 permettant une Remote Code Execution, et CVE-2025-68461, un Cross-Site Scripting exploitable via des documents SVG malveillants. Les deux failles sont chaînables pour atteindre une compromission complète du serveur.

Sources :

• SANS ISC – Japanese-Language Phishing Emails : https://isc.sans.edu/diary/rss/32734
• CERT-FR – CERTFR-2026-AVI-0189 Vulnérabilité dans F5 BIG-IP : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0189/
• Centre canadien pour la cybersécurité – Bulletin de sécurité IceWarp AV26-148 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-icewarp-av26-148
• CST – Alerte renforcement des défenses face aux cybermenaces pro-russes : https://www.cyber.gc.ca/fr/nouvelles-evenements/cst-demande-organisations-canadiennes-fournisseurs-dinfrastructures-essentielles-renforcer-defenses-laube-quatrieme-anniversaire-linvasion-lukraine-russie
• CISA – CISA Adds Two Known Exploited Vulnerabilities to Catalog : https://www.cisa.gov/news-events/alerts/2026/02/20/cisa-adds-two-known-exploited-vulnerabilities-catalog

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec la révélation par Microsoft Threat Intelligence d'une nouvelle variante de l'attaque ClickFix exploitant le DNS comme canal de staging. La commande initiale, exécutée via cmd.exe, utilise nslookup pour effectuer un DNS Lookup vers un serveur externe contrôlé par l'attaquant. La réponse DNS est filtrée puis exécutée comme Payload de second stage, aboutissant au déploiement de ModeloRAT, un Remote Access Trojan basé sur Python. En parallèle, Bitdefender signale une recrudescence de Lumma Stealer via des campagnes ClickFix déployant CastleLoader, un Loader associé au Threat Actor GrayBravo. Malgré les opérations de disruption des forces de l'ordre en 2025, l'infrastructure Lumma Stealer démontre une résilience notable.

L'actualité se poursuit avec l'identification par ReversingLabs de packages malveillants sur npm et PyPI rattachés à la campagne « graphalgo », attribuée au groupe nord-coréen Lazarus. Active depuis mai 2025, cette opération cible les développeurs JavaScript et Python via de fausses offres d'emploi dans le secteur des cryptomonnaies. Les attaquants, opérant sous la couverture d'une société fictive nommée Veltrix Capital, approchent leurs victimes sur LinkedIn, Facebook et Reddit. L'opération modulaire en cinq phases aboutit au déploiement d'un RAT doté de communications C2 protégées par token, avec détection de Crypto Wallets comme MetaMask. Un des packages npm, bigmathutils, a atteint plus de dix mille téléchargements avant l'injection de code malveillant.

Enfin, le projet Vim annonce la publication de Vim 9.2 le 14 février 2026. Cette version majeure apporte le support natif des Enums, des Generic Functions et du type Tuple dans Vim9 Script, le support complet de Wayland, ainsi que la conformité XDG Base Directory. Le mode Diff bénéficie de l'algorithme linematch et d'une nouvelle option diffanchors. De nombreuses vulnérabilités de sécurité, Memory Leaks et Crashes potentiels ont été corrigés depuis Vim 9.1.

Sources :

• The Hacker News – Microsoft Discloses DNS-Based ClickFix Attack Using Nslookup for Malware Staging : https://thehackernews.com/2026/02/microsoft-discloses-dns-based-clickfix.html
• Security Affairs – Malicious npm and PyPI packages linked to Lazarus APT fake recruiter campaign : https://securityaffairs.com/188009/apt/malicious-npm-and-pypi-packages-llinked-to-lazarus-apt-fake-recruiter-campaign.html
• Vim.org – Vim 9.2 released : https://www.vim.org/vim-9.2-released.php

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com