Sign up to save your podcasts
Or
Share RadioCSIRT — Votre actu cybersécurité du mardi 14 octobre 2025 (Ép.453)
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
RadioCSIRT — Votre actu cybersécurité du mardi 14 octobre 2025 (Ép.453)
Bienvenue dans votre bulletin d'actualités cybersécurité ⚡️
🦠 Astaroth — Trojan bancaire exploitant GitHub
McAfee Labs découvre une campagne du malware Astaroth ciblant principalement le Brésil. Le trojan abuse des dépôts GitHub pour héberger ses configurations via stéganographie. L'infection débute par phishing avec fichier point lnk, déploie un shellcode AutoIT, puis intercepte les frappes clavier sur les sites bancaires et crypto. 15 milliards de dollars saisis, plus grande saisie de l'histoire du DOJ.
🏛️ Cambodge — 15 milliards de dollars saisis au Prince Group
Le Département de la Justice américain saisit 127.271 bitcoins liés à Chen Zhi, président du conglomérat cambodgien Prince Group. Il supervisait au moins 10 complexes d'arnaque utilisant du travail forcé pour du pig butchering. Les documents internes révèlent 76.000 comptes contrôlés et 30 millions de dollars de profits quotidiens. Le Trésor sanctionne 146 personnes et entités dont 117 sociétés écrans.
🇨🇳 Flax Typhoon — Backdoor via ArcGIS Server pendant un an
ReliaQuest attribue une campagne d'espionnage au groupe chinois Flax Typhoon. Les attaquants ont modifié une extension Java Server Object d'ArcGIS en web shell protégé par clé hardcodée. Un exécutable SoftEther VPN renommé bridge point exe crée un canal VPN covert permettant mouvements latéraux et exfiltration. Persistence assurée via sauvegardes système.
🔐 Botnet — 100.000 IP attaquent les services RDP américains
GreyNoise détecte un botnet ciblant les services Remote Desktop Protocol aux États-Unis depuis le 8 octobre. Les attaques proviennent de plus de 100.000 adresses IP dans plus de 100 pays. Une seule entité contrôle le botnet avec empreinte TCP partagée. Deux vecteurs utilisés : attaques de timing RD Web Access et énumération de connexion client web RDP.
🚨 CISA — Cinq vulnérabilités ajoutées au catalogue KEV
La CISA ajoute cinq CVE exploitées activement le 14 octobre. La CVE-2016-7836 affecte SKYSEA Client View, la CVE-2025-6264 Rapid7 Velociraptor, la CVE-2025-24990 et la CVE-2025-59230 Microsoft Windows, la CVE-2025-47827 IGEL OS. La directive BOD 22-01 exige la remédiation par les agences fédérales avant la date limite.
⚡️ On ne réfléchit pas, on patch !
📚 Sources :
- https://www.mcafee.com/blogs/other-blogs/mcafee-labs/astaroth-banking-trojan-abusing-github-for-resilience/
📞 Partagez vos retours :
📱 07 68 72 20 09
🌐 https://www.radiocsirt.org
📰 https://radiocsirt.substack.com
#Cybersécurité #ThreatIntel #CERT #SOC #Ransomware #RDP #Botnet #GitHub #ArcGIS #CISA #KEV
View all episodes
By Marc Frédéric GOMEZBienvenue dans votre bulletin d'actualités cybersécurité ⚡️
🦠 Astaroth — Trojan bancaire exploitant GitHub
McAfee Labs découvre une campagne du malware Astaroth ciblant principalement le Brésil. Le trojan abuse des dépôts GitHub pour héberger ses configurations via stéganographie. L'infection débute par phishing avec fichier point lnk, déploie un shellcode AutoIT, puis intercepte les frappes clavier sur les sites bancaires et crypto. 15 milliards de dollars saisis, plus grande saisie de l'histoire du DOJ.
🏛️ Cambodge — 15 milliards de dollars saisis au Prince Group
Le Département de la Justice américain saisit 127.271 bitcoins liés à Chen Zhi, président du conglomérat cambodgien Prince Group. Il supervisait au moins 10 complexes d'arnaque utilisant du travail forcé pour du pig butchering. Les documents internes révèlent 76.000 comptes contrôlés et 30 millions de dollars de profits quotidiens. Le Trésor sanctionne 146 personnes et entités dont 117 sociétés écrans.
🇨🇳 Flax Typhoon — Backdoor via ArcGIS Server pendant un an
ReliaQuest attribue une campagne d'espionnage au groupe chinois Flax Typhoon. Les attaquants ont modifié une extension Java Server Object d'ArcGIS en web shell protégé par clé hardcodée. Un exécutable SoftEther VPN renommé bridge point exe crée un canal VPN covert permettant mouvements latéraux et exfiltration. Persistence assurée via sauvegardes système.
🔐 Botnet — 100.000 IP attaquent les services RDP américains
GreyNoise détecte un botnet ciblant les services Remote Desktop Protocol aux États-Unis depuis le 8 octobre. Les attaques proviennent de plus de 100.000 adresses IP dans plus de 100 pays. Une seule entité contrôle le botnet avec empreinte TCP partagée. Deux vecteurs utilisés : attaques de timing RD Web Access et énumération de connexion client web RDP.
🚨 CISA — Cinq vulnérabilités ajoutées au catalogue KEV
La CISA ajoute cinq CVE exploitées activement le 14 octobre. La CVE-2016-7836 affecte SKYSEA Client View, la CVE-2025-6264 Rapid7 Velociraptor, la CVE-2025-24990 et la CVE-2025-59230 Microsoft Windows, la CVE-2025-47827 IGEL OS. La directive BOD 22-01 exige la remédiation par les agences fédérales avant la date limite.
⚡️ On ne réfléchit pas, on patch !
📚 Sources :
- https://www.mcafee.com/blogs/other-blogs/mcafee-labs/astaroth-banking-trojan-abusing-github-for-resilience/
📞 Partagez vos retours :
📱 07 68 72 20 09
🌐 https://www.radiocsirt.org
📰 https://radiocsirt.substack.com
#Cybersécurité #ThreatIntel #CERT #SOC #Ransomware #RDP #Botnet #GitHub #ArcGIS #CISA #KEV