RadioCSIRT

Au sommaire de cette édition, six dossiers couvrant le ransomware, la sécurité cloud, la menace électorale, la supply chain logicielle, la dépréciation TLS et le paysage botnet.

Check Point Research publie une analyse approfondie du ransomware VECT 2.0, opéré en Ransomware-as-a-Service depuis décembre 2025 et associé au groupe TeamPCP. Les variantes Windows, Linux et ESXi partagent une faille critique d’implémentation du cipher ChaCha20-IETF : pour tout fichier supérieur à 131 072 octets, seul le dernier des quatre nonces générés est conservé sur disque, rendant les trois quarts du contenu de chaque large file irrécupérables, y compris pour l’opérateur. Le malware fonctionne donc en pratique comme un wiper.

L’AWS Customer Incident Response Team détaille la mise à jour de mars 2026 du Threat Technique Catalog, avec trois nouvelles techniques observées en réponse à incident : abus de refresh tokens Amazon Cognito via cognito-idp:GetTokensFromRefreshToken pour maintenir une persistance silencieuse, suppression d’Amazon Machine Images via ec2:DeregisterImage pour entraver la restauration, et modification furtive de trust policies par UpdateAssumeRolePolicy pour contourner les détections positionnées sur la création de rôles IAM.

Le général Joshua Rudd, chef de l’US Cyber Command et de la NSA, alerte le Senate Armed Services Committee sur la probabilité d’opérations d’ingérence étrangère lors des élections de mi-mandat de 2026. Il reconnaît ignorer si l’Election Security Group, task force interagences active depuis 2018, a été reconstituée pour ce cycle, dans un contexte de réduction du périmètre de CISA.

Unit 42 documente la nouvelle vague Shai-Hulud: The Third Coming visant l’écosystème npm. Le package malveillant @bitwarden/cli version 2026.4.0, attribué à TeamPCP, exfiltre les credentials cloud, CI/CD et workstations puis se propage en backdoorant les packages publiables par la victime. Trois shifts majeurs sont identifiés : wormable propagation, infrastructure-level persistence dans les pipelines CI/CD et multi-stage payloads avec dépendances dormantes.

Microsoft annonce le blocage des connexions TLS 1.0 et TLS 1.1 pour les clients POP3 et IMAP4 d’Exchange Online à partir de juillet 2026. Seules les sessions négociées en TLS 1.2 ou supérieur seront acceptées. L’impact concerne principalement les applications héritées et les systèmes embarqués ayant explicitement opté pour les legacy endpoints lors d’une précédente phase de transition.

ANY.RUN analyse Kamasers, un botnet hybride combinant DDoS multi-vecteurs et fonction de loader. Le malware s’appuie sur les loaders d’initial access GCleaner et Amadey, et utilise un Dead Drop Resolver via GitHub Gist, Telegram, Dropbox et Bitbucket — voire l’API api.etherscan.io — pour résoudre dynamiquement son adresse C2. L’infrastructure repose sur l’ASN de Railnet LLC, identifiée comme façade du bulletproof hoster Virtualine.

Sources :

• Check Point Research, VECT: Ransomware by design, Wiper by accident : https://research.checkpoint.com/2026/vect-ransomware-by-design-wiper-by-accident/
• AWS Security Blog, What the March 2026 Threat Technique Catalog update means for your AWS environment : https://aws.amazon.com/fr/blogs/security/what-the-march-2026-threat-technique-catalog-update-means-for-your-aws-environment/
• The Record by Recorded Future, Cyber Command, NSA chief warns foreign adversaries likely to target midterms : https://therecord.media/cyber-command-nsa-chief-midterm-election-threat
• Unit 42 Palo Alto Networks, Monitoring npm Supply Chain Attacks : https://unit42.paloaltonetworks.com/monitoring-npm-supply-chain-attacks/
• BleepingComputer, Microsoft to deprecate legacy TLS in Exchange Online starting July : https://www.bleepingcomputer.com/news/microsoft/microsoft-to-deprecate-legacy-tls-in-exchange-online-starting-july/
• Cyber Press, Kamasers DDoS Botnet With Loader Capabilities Attacking Organizations to Deploy Ransomware : https://cyberpress.org/kamasers-ddos-botnet-loader-threat/

⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #VOC #Ransomware #VECT #ChaCha20 #Wiper #ESXi #AWS #ThreatTechniqueCatalog #Cognito #IAM #AMI #ElectionSecurity #CyberCommand #NSA #ShaiHulud #npm #SupplyChain #TeamPCP #Bitwarden #ExchangeOnline #TLS #POP3 #IMAP #Kamasers #Botnet #DDoS #Loader #DeadDropResolver #Railnet #Virtualine #DFIR #Hardening #Infosec #CyberNews