Newsletter N°4 - Samedi 22 Mars 2025

Introduction

Chaque jour, vous suivez le podcast RadioCSIRT pour bénéficier d’une veille en temps réel sur les menaces cyber, les vulnérabilités critiques et les incidents marquants.

Avec cette newsletter hebdomadaire, nous allons plus loin.

Vous y retrouverez :

• Un récapitulatif complet des épisodes de la semaine, accompagné des sources originales,

• Une présentation détaillée d’un outil ou d’une ressource clé utile à votre activité,

• Et une sélection d’analyses que j’ai publiées sur LinkedIn, pour approfondir certains sujets techniques ou stratégiques.

L’objectif reste inchangé : vous fournir une information fiable, structurée et directement exploitable pour renforcer vos capacités de détection, d’analyse et de réponse face aux menaces numériques.

---

À bientôt,
Marc Frédéric Gomez
🎙️ Créateur du podcast RadioCSIRT
🔗 LinkedIn | 📧 radiocsirt@gmail.com | ☎️ 07 68 72 20 09

FBI Watchdog : un outil essentiel pour la surveillance des cybermenaces

Dans un contexte de menaces numériques toujours plus actives, la surveillance proactive devient un pilier fondamental pour toute stratégie de cybersécurité.

🛡️ FBI Watchdog est un outil open source (OSINT) conçu pour surveiller en temps réel les changements DNS et les saisies de domaines effectuées par les forces de l’ordre. Un outil simple, mais puissant, à intégrer dans toute démarche de veille technique ou stratégique.

---

🔍 Pourquoi utiliser FBI Watchdog ?

• Surveillance DNS en temps réel : détection des modifications d'enregistrements A, AAAA, CNAME, MX, NS, SOA, TXT.

• Détection des saisies par les forces de l’ordre : identification automatique des domaines redirigés vers des DNS de type fbi.seized.gov.

• Alertes automatisées : envoi de notifications via Telegram et Discord pour une réactivité immédiate.

• Captures d’écran : grâce à Selenium, l’outil conserve une trace visuelle des domaines modifiés ou saisis.

• Suivi des services cachés : support de la surveillance des domaines .onion.

---

🧰 Installation et plateformes supportées

FBI Watchdog est compatible avec Linux, macOS et Windows.

Étapes d’installation :

1. Cloner le dépôt :

   git clone https://github.com/DarkWebInformer/FBI_Watchdog.git

2. Installer les dépendances :

   pip install -r requirements.txt

3. Configurer les alertes :

   • Variables d’environnement à définir pour Telegram (TELEGRAM_BOT_TOKEN, TELEGRAM_CHAT_ID)

   • Ou via un webhook Discord (WEBHOOK)

4. Ajouter les domaines à surveiller dans le fichier fbi_watchdog.py

5. Lancer le script :

   python fbi_watchdog.py

---

📌 Cas d’usage concrets

• Surveillance continue des actifs DNS sensibles

• Détection précoce de saisies de domaines liées à des campagnes criminelles

• Suivi académique ou analytique des tendances de saisie sur le Dark Web

• Outil complémentaire pour les analystes CTI et SOC

---

Sources :

GitHub – FBI Watchdog : https://github.com/DarkWebInformer/FBI_Watchdog
Dark Web Informer – Blog & alertes cyber : https://darkwebinformer.com
Romain P. Parlons Cyber : https://www.linkedin.com/in/parlonscyber/

---

🔎 À lire cette semaine sur LinkedIn

Je vous propose une sélection de mes derniers articles publiés sur LinkedIn. Vous y trouverez des analyses sur les menaces actuelles en cybersécurité, les tactiques des cybercriminels, ainsi que des conseils concrets pour celles et ceux qui souhaitent rejoindre ce secteur stratégique.

1. Business Email Compromise (BEC) : comprendre et anticiper

Une analyse des mécanismes de la fraude par compromission d’emails professionnels, de plus en plus sophistiquée, et des mesures pour s’en prémunir.
📄 Lire l’article : https://www.linkedin.com/pulse/business-email-compromise-bec-marc-fr%C3%A9d%C3%A9ric-gomez-rhbqe

2. Menace active : le groupe d’extorsion de données BianLian

Retour sur les activités du groupe BianLian, passé du ransomware à l’extorsion directe de données, avec un focus sur ses cibles et ses tactiques.
📄 Lire l’article : https://www.linkedin.com/pulse/analyse-de-la-menace-le-groupe-dextorsion-donn%C3%A9es-bianlian-gomez-yuiie

3. Espionnage industriel : l’utilisation de Remote Access Trojans (RAT)

Plongée dans les opérations d’espionnage ciblant le secteur de la défense via des RAT, et les méthodes d’intrusion utilisées.
📄 Lire l’article : https://www.linkedin.com/pulse/espionnage-du-complexe-militaro-industriel-via-rat-gomez-zhese

4. Reconversion vers la cybersécurité : par où commencer ?

Un retour d’expérience pour celles et ceux qui envisagent de se reconvertir vers les métiers de la cybersécurité, avec des conseils concrets et applicables.
📄 Lire l’article : https://www.linkedin.com/pulse/r%C3%A9ussir-sa-reconversion-professionnelle-vers-la-marc-fr%C3%A9d%C3%A9ric-gomez-ev4we

---

🎙 Récapitulatif des épisodes du podcast de la semaine

---

Podcast RadioCSIRT du Vendredi 21 Mars 2025 (Ep.231)

📌 Au programme aujourd’hui :

🔹 GitHub victime d’une attaque en cascade sur la chaîne d’approvisionnement
Une compromission de plusieurs GitHub Actions a exposé des secrets critiques CI/CD dans plus de 23 000 dépôts. L’attaque, en plusieurs étapes, a démarré avec reviewdog/action-setup@v1 et s’est propagée jusqu’à tj-actions/changed-files. Des tokens, clés privées et accès API ont fuité dans les logs de workflows publics.
📚 Source : https://www.infoworld.com/article/3849245/github-suffers-a-cascading-supply-chain-attack-compromising-ci-cd-secrets.html

🔹 Espionnage : des applications Android infectées par un spyware nord-coréen détectées sur Google Play
Au moins cinq applications, dont « Gestionnaire de téléphone » et « Sécurité Kakao », ont contourné les contrôles de Google et contenaient le malware KoSpy. Elles exfiltraient messages, fichiers, localisation, captures d’écran et frappes clavier. Les APT37 (ScarCruft) et APT43 (Kimsuki) sont suspectés.
📚 Source : https://www.cysecurity.news/2025/03/north-korean-spyware-disguised-as.html

🔹 Pannes massives en Russie : Cloudflare ciblé ?
De nombreux services web — TikTok, Steam, Telegram, Duolingo, Sberbank — ont subi des coupures dans plusieurs régions de Russie. Roskomnadzor pointe « des serveurs étrangers », mais les experts estiment que le blocage partiel de Cloudflare serait à l’origine de ces interruptions.
📚 Source : https://therecord.media/russia-websites-dark-reported-cloudflare-block

🔹 FIN7 déploie une nouvelle backdoor Python baptisé Anubis
Le groupe cybercriminel FIN7 a développé un implant furtif en Python diffusé via phishing. Il s’appuie sur conf.py et utilise chiffrement AES, encodage Base64 et stockage dans le registre Windows pour assurer persistance et discrétion. Objectif : exfiltration de données et contrôle à distance.
📚 Source : https://gbhackers.com/researchers-uncover-fin7s-stealthy/

---

🎙️ Podcast RadioCSIRT du Jeudi 20 Mars (Ep.230)
📌 Au programme aujourd’hui :

🔹 Outils et frameworks essentiels pour le hacking éthique sous Linux
Un article détaille les outils incontournables pour le pentesting sous Linux, avec un focus sur Metasploit, Nmap, et d’autres frameworks clés utilisés par les experts en cybersécurité.
📚 Source : https://www.linuxjournal.com/content/essential-tools-and-frameworks-mastering-ethical-hacking-linux

🔹 Des cheats pour jeux vidéo sur YouTube diffusent Arcane Stealer
Des vidéos YouTube promettant des cheats pour jeux populaires sont utilisées pour propager Arcane Stealer, un malware conçu pour voler des informations sensibles. La campagne est active et cible principalement les joueurs.
📚 Source : https://thehackernews.com/2025/03/youtube-game-cheats-spread-arcane.html

🔹 Multiples vulnérabilités critiques affectant Google Chrome, Drupal et Veeam
Le CERT-FR publie plusieurs alertes concernant des failles de sécurité majeures :

• Google Chrome : Une vulnérabilité critique permet l’exécution de code arbitraire à distance via un exploit actif. Il est impératif de mettre à jour le navigateur immédiatement.

• Drupal : Une faille dans le moteur de rendu expose les sites à des attaques par injection de code, compromettant l’intégrité des données.

• Veeam : Une vulnérabilité critique dans Veeam Backup & Replication pourrait permettre l’exécution de code à distance par un attaquant non authentifié.

📚 Sources :

• https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0225/

• https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0226/

• https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0229/

🔹 WP Ghost : une faille critique de RCE dans un plugin de sécurité WordPress
Une vulnérabilité dans le plugin WP Ghost permet l’exécution de code à distance, exposant de nombreux sites WordPress à des compromissions. Il est impératif d’appliquer la mise à jour disponible.
📚 Source : https://www.bleepingcomputer.com/news/security/wordpress-security-plugin-wp-ghost-vulnerable-to-remote-code-execution-bug/

---

Podcast RadioCSIRT du Mercredu 19 Mars 2025 (Ep.229)

📌 Au programme aujourd’hui :

🔹 Trois nouvelles vulnérabilités exploitées ajoutées par la CISA
La CISA a identifié trois nouvelles failles exploitées activement et les a intégrées à son Known Exploited Vulnerabilities Catalog. Parmi elles, une vulnérabilité critique sur les caméras IP Edimax IC-7100, une faille de traversée de répertoires dans SAP NetWeaver, et une vulnérabilité dans NAKIVO Backup and Replication.
📚 Source : https://www.cisa.gov/news-events/alerts/2025/03/19/cisa-adds-three-known-exploited-vulnerabilities-catalog

🔹 GLPI vulnérable à une injection SQL – CVE-2025-24801
Une faille critique dans GLPI permet à un attaquant authentifié d’exécuter du code arbitraire en téléversant des fichiers PHP malveillants. Une preuve de concept est déjà disponible, augmentant le risque d’exploitation. Il est recommandé de mettre à jour immédiatement vers la version 10.0.18 ou ultérieure.
📚 Source : https://cyberveille.esante.gouv.fr/alertes/glpi-cve-2025-24801-2025-03-19

🔹 Multiples vulnérabilités dans les produits Synology
Le CERT-FR alerte sur plusieurs failles affectant les systèmes DSM et SRM de Synology, pouvant compromettre la confidentialité et l’intégrité des données. Il est impératif d’appliquer les correctifs fournis par l’éditeur.
📚 Source : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0224/

🔹 Exploitation d’une faille critique de PHP pour déployer Quasar RAT et des mineurs XMRig
Des attaquants exploitent CVE-2024-4577, une vulnérabilité d’injection d’arguments dans PHP en mode CGI sous Windows, permettant l’exécution de code à distance. Des campagnes actives ciblent plusieurs pays, avec une augmentation des infections par Quasar RAT et des mineurs XMRig.
📚 Source : https://thehackernews.com/2025/03/hackers-exploit-severe-php-flaw-to.html

---

🎙️ Podcast RadioCSIRT du Mardi 18 Mars 2025 (Ep.228)

📌 Au programme aujourd’hui :

🔹 Multiples vulnérabilités dans Mattermost Server
Le CERT-FR signale plusieurs failles critiques affectant Mattermost Server. Ces vulnérabilités, dont l’impact exact n’a pas été précisé, permettent potentiellement à un attaquant d’exploiter le système. Il est recommandé d’appliquer immédiatement les correctifs fournis par l’éditeur.
📚 Source : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0217/

🔹 DarkCrystal RAT utilisé contre le secteur de la défense ukrainien
Le CERT-UA alerte sur des cyberattaques visant des acteurs du secteur de la défense ukrainien via des fichiers piégés diffusés sur Signal. Ces attaques exploitent DarkTortilla pour charger DarkCrystal RAT, permettant une prise de contrôle à distance des systèmes infectés.
📚 Source : https://cert.gov.ua/article/6282737

🔹 Faux convertisseurs de fichiers en ligne distribuant des malwares
Le FBI met en garde contre des sites de conversion de fichiers qui, au lieu de fournir un service légitime, installent des malwares capables de voler des données sensibles, voire d’installer des ransomwares. Plusieurs domaines malveillants ont été identifiés et bloqués.
📚 Source : https://www.malwarebytes.com/blog/news/2025/03/warning-over-free-online-file-converters-that-actually-install-malware

🔹 Western Alliance Bank victime d’une fuite de données affectant 21 899 clients
Une faille zero-day dans un logiciel tiers de transfert de fichiers a permis au groupe Clop d’exfiltrer des données sensibles, dont des numéros de sécurité sociale et des informations financières. Le risque d’exploitation reste élevé.
📚 Source : https://www.bleepingcomputer.com/news/security/western-alliance-bank-notifies-21-899-customers-of-data-breach/

---

🎙️ Podcast RadioCSIRT du Lundi 17 Mars 2025

📌 Au programme aujourd’hui :

🔹 Cryptanalyse assistée par GPU : menaces sur les algorithmes à clés courtes
Une étude démontre que des attaques par force brute sur KASUMI, SPECK et TEA3 sont désormais accélérées grâce aux GPU RTX 4090, rendant certains standards vulnérables.
📚 Source : https://tosc.iacr.org/index.php/ToSC/article/view/12078/11919

🔹 Sunflower et CCA victimes de cyberattaques massives
Deux violations de données ont exposé des centaines de milliers de dossiers médicaux et personnels. Les pirates auraient exfiltré 7,6 To de données, dont une base SQL de 3 To.
📚 Source : https://www.cysecurity.news/2025/03/sunflower-and-cca-suffer-data-breaches.html

🔹 Le fondateur de Telegram quitte la France en pleine enquête criminelle
Pavel Durov a confirmé avoir quitté le pays après plusieurs mois d’investigation sur l’usage de Telegram pour des activités cybercriminelles et financières.
📚 Source : https://therecord.media/telegram-pavel-durov-leaves-france-amid-probe

🔹 Un déchiffreur Akira basé sur GPU permet de casser les clés de chiffrement
Un chercheur en cybersécurité a publié un outil gratuit de déchiffrement pour les victimes du ransomware Akira sous Linux, exploitant la puissance de calcul des GPU RTX 4090.
📚 Source : https://www.bleepingcomputer.com/news/security/gpu-powered-akira-ransomware-decryptor-released-on-github/

---

Podcast du dimanche 16 Mars 2025 - Edition spéciale (Ep.226)
Au programme aujourd’hui :

🔹 Se reconvertir dans la cybersécurité : formations, compétences et opportunités
David, auditeur et chorégraphe, s’interroge sur la possibilité de se reconvertir dans la cybersécurité. Ce domaine en pleine croissance offre de nombreuses passerelles, même pour des profils non techniques. Découvrez les étapes clés pour réussir cette transition.

➕Cartographie des métiers de la cybersécurité

• AEGE : https://www.aege.fr/news/le-club-cyber-publie-la-cartographie-des-metiers-de-la-cybersecurite-2020-8144

📚 Formations diplômantes :

• BTS SIO option cybersécurité : https://www.onisep.fr/BTS-SIO

• Licence professionnelle cybersécurité : https://www.cyberedu.fr/licence-pro

• Master en cybersécurité : https://www.universites.cybersecurite.fr/masters

• MBA Intelligence Économique et Cybersécurité (EGE) : https://www.ege.fr/formations/mba-intelligence-economique-et-cybersecurite

📚 Certifications reconnues :

• CompTIA Security+ : https://www.comptia.org/certifications/security

• Certified Ethical Hacker (CEH) : https://www.eccouncil.org/programs/certified-ethical-hacker-ceh/

• CISSP (Certified Information Systems Security Professional) : https://www.isc2.org/certifications/cissp

• CISM (Certified Information Security Manager) : https://www.isaca.org/credentialing/cism

• OSCP (Offensive Security Certified Professional) : https://www.offensive-security.com/pwk-oscp/

📚 Formations en ligne et Bootcamps :

• OpenClassrooms – Parcours cybersécurité : https://openclassrooms.com/fr/paths/cybersecurity

• Coursera – Cours de cybersécurité : https://www.coursera.org/courses?query=cybersecurity

• TryHackMe – Apprentissage interactif en cybersécurité :

https://tryhackme.com/

• Hack The Box – Plateforme de pentest :

https://www.hackthebox.com/

• SANS Institute – Formations avancées en cybersécurité : https://www.sans.org/cyber-security-courses/

---

🎙️ Podcast RadioCSIRT du Dimanche 16 Mars (Ep.225)

📌 Au programme aujourd’hui :

🔹 La CISA clarifie sa position sur sa Red Team
Face aux rumeurs de suppressions de postes, l’agence américaine assure que ses opérations restent intactes et continue de protéger les infrastructures critiques.
📚 Source : https://www.cisa.gov/news-events/news/statement-cisas-red-team

🔹 Espionnage des télécoms européens : le Danemark tire la sonnette d’alarme
Un rapport officiel met en garde contre l’intensification des cyberattaques d’États ciblant les infrastructures télécoms stratégiques en Europe.
📚 Source : https://therecord.media/europe-increased-cyber-espionage-telecoms-denmark-report

🔹 Les Jupyter Notebooks transformés en usines à cryptos
Une nouvelle campagne exploite ces environnements mal configurés pour installer des mineurs sur Windows et Linux, impactant les performances et la sécurité des infrastructures cloud.
📚 Source : https://gbhackers.com/hackers-exploiting-exposed-jupyter-notebooks/

🔹 ClickFix : un faux CAPTCHA qui installe un malware en 3 clics
Une nouvelle technique de phishing pousse les victimes à exécuter elles-mêmes du code malveillant sous Windows, contournant les protections classiques.
📚 Source : https://krebsonsecurity.com/2025/03/clickfix-how-to-infect-your-pc-in-three-easy-steps/

---

📢 Votre avis compte !

Cette newsletter évolue en fonction de vos retours. N’hésitez pas à partager vos suggestions et à diffuser l’information autour de vous !

🔗 Restez informé, suivez RadioCSIRT ! 🚀

Abonné

📞 Posez vos questions et partagez vos retours :
📞 Répondeur : 07 68 72 20 09
📧 Email : radiocsirt@gmail.com

🎧 Écoutez-nous et abonnez-vous sur vos plateformes préférées :
📱 Apple Podcasts, Deezer, Spotify, YouTube, Amazon Music

🌐 Site officiel RadioCSIRT :

https://www.radiocsirt.org

#CyberThreatIntelligence #Lookyloo #OSINT #Ransomware #CERT #Cybersecurity #CTI #Vulnerabilities #ThreatHunting