Ep.603 - RadioCSIRT Édition Française - Veille cyber du vendredi 20 mars 2026

Mandiant publie l'Exfiltration Framework, un modèle de détection comportementale documentant l'abus d'outils légitimes — PowerShell, rclone, AWS CLI, AzCopy — pour l'exfiltration de données, face à l'inefficacité croissante des IOCs statiques et des stratégies de blocage par liste blanche.Google identifie DarkSword, une chaîne d'exploitation iOS en six vulnérabilités ciblant les versions 18.4 à 18.7, utilisée par des acteurs étatiques et des éditeurs de spyware commercial dans des campagnes observées en Ukraine, Arabie Saoudite, Turquie et Malaisie. Le payload Ghostblade exfiltre l'intégralité des données personnelles et cible les applications de cryptomonnaies.McAfee Labs documente une campagne de faux téléchargements intégrant du code généré par LLM : 443 fichiers ZIP malveillants, 17 kill chains distinctes, distribution via Discord et SourceForge, avec déploiement de cryptomineurs et d'infostealers.Le FBI saisit quatre domaines opérés par le groupe Handala, attribué au MOIS iranien, en lien avec l'attaque wiper contre Stryker — plus de 200 000 appareils effacés via Microsoft Intune — et des opérations contre l'Albanie et des responsables israéliens.L'Opération Alice, coordonnée par Europol avec 23 pays, aboutit au démantèlement de plus de 373 000 sites dark web opérés par un unique individu basé en Chine, proposant du CSAM et des offres de Cybercrime-as-a-Service.Le SANS ISC publie l'analyse d'un script Bash déployant un backdoor GSocket multi-plateforme, combinant persistance via cron et .profile avec une technique anti-forensique de restauration de timestamps.Une analyse des TTPs du cluster Handala / Void Manticore détaille les vecteurs de Lateral Movement utilisés dans les campagnes wiper iraniennes et les stratégies de containment applicables.Un chercheur indépendant publie les détails d'une vulnérabilité critique dans les chipsets UNISOC T612, T616, T606 et T7250, permettant une Remote Code Execution unauthenticated via un simple appel cellulaire SIP/SDP — aucun patch disponible à ce jour.Le Département de Justice américain, avec le Canada et l'Allemagne, démantèle l'infrastructure de quatre botnets IoT — Aisuru, Kimwolf, JackSkid et Mossad — responsables de plus de 300 000 commandes d'attaque DDoS sur plus de trois millions d'appareils compromis.Office.eu est officiellement lancée à La Haye : une suite bureautique souveraine européenne basée sur Nextcloud, compatible avec les formats Microsoft et LibreOffice, avec déploiement grand public prévu au deuxième trimestre 2026.La CISA ajoute cinq vulnérabilités activement exploitées au KEV Catalog : trois affectant des produits Apple (CVE-2025-31277, CVE-2025-43510, CVE-2025-43520), une dans Craft CMS (CVE-2025-32432) et une dans Laravel Livewire (CVE-2025-54068).Sources :Talos Intelligence — Exfiltration Framework : https://blog.talosintelligence.com/everyday-tools-extraordinary-crimes-the-ransomware-exfiltration-playbook/Malwarebytes — DarkSword iOS : https://www.malwarebytes.com/blog/mobile/2026/03/a-darksword-hangs-over-unpatched-iphonesMcAfee — AI-written malware : https://www.mcafee.com/blogs/internet-security/new-research-hackers-are-using-ai-written-code-to-spread-malware/The Record — FBI / Handala / MOIS : https://therecord.media/fbi-takes-down-leak-sites-iran-moisEuropol — Opération Alice : https://www.europol.europa.eu/media-press/newsroom/news/global-cybercrime-crackdown-over-373-000-dark-web-sites-shut-downSANS ISC — GSocket backdoor : https://isc.sans.edu/diary/rss/32816BleepingComputer — Wiper iraniens / CISOs : https://www.bleepingcomputer.com/news/security/how-cisos-can-survive-the-era-of-geopolitical-cyberattacks/GBHackers — UNISOC T612 RCE : https://gbhackers.com/critical-unisoc-t612-modem-flaw/KrebsOnSecurity — Botnets IoT DDoS : https://krebsonsecurity.com/2026/03/feds-disrupt-iot-botnets-behind-huge-ddos-attacks/GoodTech — Office.eu : https://goodtech.info/office-eu-suite-bureautique-souveraine-europeenne-nextcloud-alternative-microsoft-365/CISA — KEV 5 vulnérabilités : https://www.cisa.gov/news-events/alerts/2026/03/20/cisa-adds-five-known-exploited-vulnerabilities-catalogOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com