Ep.610 - RadioCSIRT Édition Française - Veille cyber du vendredi 27 mars 2026
Les systèmes d'IA agentique introduisent une surface d'attaque émergente dans les environnements financiers — selon AWS, les vecteurs identifiés incluent le privilege escalation via des agents mal scopés, la manipulation de contexte dans les workflows multi-agents et le behavior drift silencieux, dans un contexte réglementaire SR 11-7, SS1/23 et BCE imposant désormais une traçabilité complète des décisions automatisées.
Elastic Security Labs publie une analyse technique du rootkit Linux VoidLink, attribué à un acteur sinophone — architecture hybride LKM-eBPF, quatre générations de développement itératif assisté par LLM, canal C2 covert en ICMP avec rotation de clé à la volée et masquage des connexions réseau via manipulation des buffers Netlink par bpf_probe_write_user.
Selon Group-IB, des acteurs cybercriminels exploitent des cloud phones — dispositifs Android virtuels hébergés en datacenter — pour neutraliser les mécanismes de device fingerprinting des applications bancaires mobiles, en combinant social engineering, pré-chauffe comportementale et Authorized Push Payment fraud vers des comptes mules, pour un coût d'infrastructure inférieur à 0,50 dollar par heure.
Le ministère de la Défense letton documente une campagne de désinformation russe coordonnée ciblant les trois États baltes, amplifiée par des bots ciblant les audiences russophones et les jeunes utilisateurs, avec pour objectifs le discrédit de l'OTAN et l'érosion de la confiance institutionnelle.
La Commission européenne enquête sur une compromission de son infrastructure cloud Amazon — un acteur malveillant revendique l'exfiltration de 350 Go de données incluant bases de données et accès à un serveur mail, et annonce une publication ultérieure sans intention d'extorsion, deux mois après une première brèche liée à des vulnérabilités Ivanti EPMM.
Selon Rapid7 Labs, le groupe APT Red Menshen, lié à la Chine, déploie des implants BPFDoor évolutifs dans des réseaux télécoms au Moyen-Orient et en Asie — les variants récents dissimulent les magic packets dans du trafic HTTPS légitime, intègrent un chiffrement RC4-MD5 et inspectent le trafic SCTP pour accéder aux systèmes de signalisation SS7 et Diameter.
Sources :
-
https://aws.amazon.com/fr/blogs/security/preparing-for-agentic-ai-a-financial-services-approach/
-
https://www.elastic.co/security-labs/illuminating-voidlink
-
https://www.malwarebytes.com/blog/news/2026/03/criminals-are-renting-virtual-phones-to-bypass-bank-security
-
https://therecord.media/latvia-accuses-russia-of-disinformation-campaign-ukraine-war
-
https://www.bleepingcomputer.com/news/security/european-commission-investigating-breach-after-amazon-cloud-hack/
-
https://securityaffairs.com/190029/malware/china-linked-red-menshen-apt-deploys-stealthy-bpfdoor-implants-in-telecom-networks.html
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com
Les systèmes d'IA agentique introduisent une surface d'attaque émergente dans les environnements financiers — selon AWS, les vecteurs identifiés incluent le privilege escalation via des agents mal scopés, la manipulation de contexte dans les workflows multi-agents et le behavior drift silencieux, dans un contexte réglementaire SR 11-7, SS1/23 et BCE imposant désormais une traçabilité complète des décisions automatisées.
Elastic Security Labs publie une analyse technique du rootkit Linux VoidLink, attribué à un acteur sinophone — architecture hybride LKM-eBPF, quatre générations de développement itératif assisté par LLM, canal C2 covert en ICMP avec rotation de clé à la volée et masquage des connexions réseau via manipulation des buffers Netlink par bpf_probe_write_user.
Selon Group-IB, des acteurs cybercriminels exploitent des cloud phones — dispositifs Android virtuels hébergés en datacenter — pour neutraliser les mécanismes de device fingerprinting des applications bancaires mobiles, en combinant social engineering, pré-chauffe comportementale et Authorized Push Payment fraud vers des comptes mules, pour un coût d'infrastructure inférieur à 0,50 dollar par heure.
Le ministère de la Défense letton documente une campagne de désinformation russe coordonnée ciblant les trois États baltes, amplifiée par des bots ciblant les audiences russophones et les jeunes utilisateurs, avec pour objectifs le discrédit de l'OTAN et l'érosion de la confiance institutionnelle.
La Commission européenne enquête sur une compromission de son infrastructure cloud Amazon — un acteur malveillant revendique l'exfiltration de 350 Go de données incluant bases de données et accès à un serveur mail, et annonce une publication ultérieure sans intention d'extorsion, deux mois après une première brèche liée à des vulnérabilités Ivanti EPMM.
Selon Rapid7 Labs, le groupe APT Red Menshen, lié à la Chine, déploie des implants BPFDoor évolutifs dans des réseaux télécoms au Moyen-Orient et en Asie — les variants récents dissimulent les magic packets dans du trafic HTTPS légitime, intègrent un chiffrement RC4-MD5 et inspectent le trafic SCTP pour accéder aux systèmes de signalisation SS7 et Diameter.
Sources :
- https://aws.amazon.com/fr/blogs/security/preparing-for-agentic-ai-a-financial-services-approach/
- https://www.elastic.co/security-labs/illuminating-voidlink
- https://www.malwarebytes.com/blog/news/2026/03/criminals-are-renting-virtual-phones-to-bypass-bank-security
- https://therecord.media/latvia-accuses-russia-of-disinformation-campaign-ukraine-war
- https://www.bleepingcomputer.com/news/security/european-commission-investigating-breach-after-amazon-cloud-hack/
- https://securityaffairs.com/190029/malware/china-linked-red-menshen-apt-deploys-stealthy-bpfdoor-implants-in-telecom-networks.html
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com
- RadioCSIRT
- CSIRT
- CERT
- CVE
- IA
- AWS
- Cybersécurité
- Rapid7
- APT
- CTI
- Marc Frédéric GOMEZ
- SS7
- Android
- Device
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.