Ep.621 - RadioCSIRT Édition Française - flash info cybersécurité du lundi 6 avril 2026
Une nouvelle vague de smishing aux États-Unis détourne l'image des tribunaux d'État : les messages contiennent désormais une image imitant un avis judiciaire avec QR code intégré, redirigeant via CAPTCHA vers des sites de Phishing imitant le DMV. Les domaines suivent le schéma [état].gov-[chaîne aléatoire].[tld]. Selon BleepingComputer, la technique vise à contourner les outils d'analyse automatisée.
L'AhnLab Security Intelligence Center (ASEC) documente une évolution de la chaîne d'infection du groupe nord-coréen Kimsuky : l'infrastructure multi-scripts intègre des tâches planifiées XML (sch.db) et un Backdoor Python en deux variantes, dont une version interactive communiquant avec le C2 via protocole custom à taille fixe, avec auto-suppression sécurisée par écrasement aléatoire.
Le Bundeskriminalamt (BKA) a publiquement identifié deux figures clés de REvil/Sodinokibi : Daniil Shchukin (alias UNKN), 31 ans, représentant du groupe depuis 2019, et Anatoly Kravchuk, 43 ans, développeur présumé. Les deux ressortissants russes sont soupçonnés de 130 attaques Ransomware en Allemagne pour un préjudice total dépassant 35,4 millions d'euros.
Selon The Record, le CERT-UA documente un changement tactique des groupes russes APT28 et Void Blizzard : après une phase dominée par le "steal-and-go" en 2025, les attaquants revisitent désormais des infrastructures précédemment compromises pour vérifier la persistance des accès. Le vecteur Initial Access évolue vers l'ingénierie sociale par appel téléphonique avec numéros ukrainiens et maîtrise linguistique native, avant envoi de fichiers malveillants via messagerie instantanée.
La CISA ajoute au KEV Catalog CVE-2026-35616, une vulnérabilité de contrôle d'accès inapproprié activement exploitée dans Fortinet FortiClient EMS.
Sources :
-
https://www.bleepingcomputer.com/news/security/traffic-violation-scams-switch-to-qr-codes-in-new-phishing-texts/
-
https://cyberpress.org/kimsuky-lnks-drop-backdoor/
-
https://thehackernews.com/2026/04/bka-identifies-revil-leaders-behind-130.html
-
https://therecord.media/ukraine-warns-russian-hackers-revisiting-old-attacks
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
Une nouvelle vague de smishing aux États-Unis détourne l'image des tribunaux d'État : les messages contiennent désormais une image imitant un avis judiciaire avec QR code intégré, redirigeant via CAPTCHA vers des sites de Phishing imitant le DMV. Les domaines suivent le schéma [état].gov-[chaîne aléatoire].[tld]. Selon BleepingComputer, la technique vise à contourner les outils d'analyse automatisée.
L'AhnLab Security Intelligence Center (ASEC) documente une évolution de la chaîne d'infection du groupe nord-coréen Kimsuky : l'infrastructure multi-scripts intègre des tâches planifiées XML (sch.db) et un Backdoor Python en deux variantes, dont une version interactive communiquant avec le C2 via protocole custom à taille fixe, avec auto-suppression sécurisée par écrasement aléatoire.
Le Bundeskriminalamt (BKA) a publiquement identifié deux figures clés de REvil/Sodinokibi : Daniil Shchukin (alias UNKN), 31 ans, représentant du groupe depuis 2019, et Anatoly Kravchuk, 43 ans, développeur présumé. Les deux ressortissants russes sont soupçonnés de 130 attaques Ransomware en Allemagne pour un préjudice total dépassant 35,4 millions d'euros.
Selon The Record, le CERT-UA documente un changement tactique des groupes russes APT28 et Void Blizzard : après une phase dominée par le "steal-and-go" en 2025, les attaquants revisitent désormais des infrastructures précédemment compromises pour vérifier la persistance des accès. Le vecteur Initial Access évolue vers l'ingénierie sociale par appel téléphonique avec numéros ukrainiens et maîtrise linguistique native, avant envoi de fichiers malveillants via messagerie instantanée.
La CISA ajoute au KEV Catalog CVE-2026-35616, une vulnérabilité de contrôle d'accès inapproprié activement exploitée dans Fortinet FortiClient EMS.
Sources :
- https://www.bleepingcomputer.com/news/security/traffic-violation-scams-switch-to-qr-codes-in-new-phishing-texts/
- https://cyberpress.org/kimsuky-lnks-drop-backdoor/
- https://thehackernews.com/2026/04/bka-identifies-revil-leaders-behind-130.html
- https://therecord.media/ukraine-warns-russian-hackers-revisiting-old-attacks
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.