Bienvenue sur votre podcast quotidien de cybersécurité.

Pornhub alerte ses abonnés Premium suite à une exposition de données le 8 novembre 2025 via le prestataire d'analytics Mixpanel. Les cybercriminels menacent de contacter directement les utilisateurs impactés par email. Mixpanel conteste que les données proviennent de son incident de sécurité du 8 novembre, indiquant aucune preuve d'exfiltration depuis ses systèmes. Pornhub confirme que les mots de passe, détails de paiement et informations financières ne sont pas compromis, l'exposition concernant un ensemble limité d'événements analytiques. Les attaquants exploitent ces données pour des campagnes de sextortion ciblant spécifiquement les utilisateurs Premium identifiés.

Intezer documente une campagne du groupe Goffee ciblant le personnel militaire russe et les organisations de défense. L'attaque initiale identifiée en octobre utilise un fichier XLL malveillant uploadé depuis l'Ukraine puis la Russie sur VirusTotal, titré "enemy's planned targets". Le fichier déploie le backdoor EchoGather pour collecter des informations système, exécuter des commandes et exfiltrer des fichiers vers un serveur C2 déguisé en site de livraison de nourriture. Les leurres de phishing incluent une fausse invitation à un concert pour officiers supérieurs et une lettre imitant le Ministère de l'Industrie et du Commerce russe demandant des documents de justification tarifaire pour contrats de défense.

CISA et NIST publient le draft de l'Interagency Report 8597 sur la protection des tokens et assertions d'identité contre falsification, vol et usage malveillant. Le document répond aux incidents récents chez les fournisseurs cloud majeurs ciblant le vol, la modification ou la falsification de tokens d'identité pour accéder aux ressources protégées. Le rapport couvre les contrôles IAM pour systèmes utilisant assertions et tokens signés numériquement dans les décisions d'accès. NIST demande aux CSPs d'appliquer les principes Secure by Design, priorisant transparence, configurabilité et interopérabilité. Les agences fédérales doivent comprendre l'architecture et modèles de déploiement de leurs CSPs pour aligner posture de risque et environnement de menace.

Sources :

• Pornhub sextortion : https://www.malwarebytes.com/blog/news/2025/12/pornhub-tells-users-to-expect-sextortion-emails-after-data-exposure
• Goffee APT : https://therecord.media/cyber-spies-fake-new-year-concert-russian-phishing
• NIST/CISA tokens : https://www.cisa.gov/news-events/alerts/2025/12/22/nist-and-cisa-release-draft-interagency-report-protecting-tokens-and-assertions-tampering-theft-and

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.

Une majorité de domaines récemment enregistrés et stationnés diffusent désormais du contenu malveillant. L’analyse montre une bascule progressive des services de domain parking vers l’hébergement de pages de phishing, de fausses mises à jour logicielles et de redirections vers des kits de scams. Ces domaines sont fréquemment utilisés comme infrastructure éphémère pour contourner les mécanismes de réputation et accélérer les campagnes de fraude et de malware delivery.

Le groupe APT iranien Infy refait surface avec une nouvelle campagne ciblée. Les attaques reposent sur des documents piégés diffusés par spear-phishing, utilisant des leurres politiques et diplomatiques. Les charges malveillantes intègrent des backdoors mises à jour, des mécanismes de persistance via le registre Windows et des canaux C2 HTTP(S) dissimulés, indiquant une reprise opérationnelle structurée après une période de faible activité.

Le NIST publie de nouvelles recommandations de sécurité pour l’usage des smart speakers dans les environnements de télé-santé à domicile. Les risques identifiés incluent l’interception de flux vocaux non chiffrés, la compromission de données de santé et l’utilisation de ces appareils comme points de pivot vers les systèmes hospitaliers. Les mesures préconisées portent sur le chiffrement des communications, la segmentation réseau et le contrôle strict des accès aux dispositifs et aux plateformes cloud associées.

Sources :
Domain parking malveillant : https://krebsonsecurity.com/2025/12/most-parked-domains-now-serving-malicious-content/
APT Infy : https://thehackernews.com/2025/12/iranian-infy-apt-resurfaces-with-new.html
NIST smart speakers : https://www.nist.gov/news-events/news/2025/12/securing-smart-speakers-home-health-care-nist-offers-new-guidelines

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.

Amazon révèle avoir identifié une infiltration liée à la Corée du Nord lors d’un recrutement IT. Un administrateur système déclaré comme basé aux États-Unis a été détecté via une latence de frappe clavier supérieure à 110 millisecondes vers les serveurs de Seattle, indiquant un pilotage distant intercontinental. L’infrastructure de contrôle a été tracée jusqu’en Chine. Amazon indique avoir bloqué plus de 1 800 tentatives de recrutement frauduleux associées à la Corée du Nord depuis avril 2024, avec une hausse trimestrielle de 27 %.

Un acteur APT russe mène une campagne de phishing ciblant des entités gouvernementales des Balkans et de la région baltique. Les attaques reposent sur des pièces jointes HTML déguisées en PDF, intégrant des leurres institutionnels et des formulaires d’authentification factices. Les identifiants sont exfiltrés via formcarry.com, avec réutilisation de code JavaScript et de regex observée depuis au moins 2023.

Microsoft confirme une panne globale de Microsoft Teams ayant affecté l’envoi et la réception des messages sur l’ensemble des régions et des clients. L’incident débute à 14h30 heure de la côte Est et est entièrement résolu une heure plus tard. Aucun indicateur d’activité malveillante n’est communiqué.

Une campagne malware exploite des documents Microsoft Office, des fichiers SVG et des archives compressées pour compromettre des systèmes Windows. Les attaquants exploitent CVE-2017-11882, utilisent la stéganographie PNG et du process hollowing via RegAsm.exe pour livrer RATs et stealers, dont AsyncRAT, Remcos et PureLog Stealer.

Aux États-Unis, des attaques d’ATM jackpotting sont attribuées à un groupe criminel déployant le malware Ploutus via accès physique aux distributeurs automatiques. La compromission repose sur la modification ou le remplacement des disques durs des ATM, permettant le contrôle du module de distribution de billets. Les pertes sont estimées à plus de 40 millions de dollars depuis 2020.

On ne réfléchit pas, on patch !

Sources :
Amazon : https://www.clubic.com/actualite-592366-amazon-infiltre-par-un-espion-nord-coreen-finalement-repere-a-cause-de-sa-frappe-clavier.html
APT russe : https://strikeready.com/blog/russian-apt-actor-phishes-the-baltics-and-the-balkans/
Microsoft Teams : https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-teams-is-down-and-messages-are-delayed/
SVG / Office : https://cybersecuritynews.com/hackers-weaponize-svg-files-and-office-documents/
ATM Ploutus : https://www.theregister.com/2025/12/19/tren_de_aragua_atm/

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com