Nous ouvrons cette édition avec la révélation par Microsoft Threat Intelligence d'une nouvelle variante de l'attaque ClickFix exploitant le DNS comme canal de staging. La commande initiale, exécutée via cmd.exe, utilise nslookup pour effectuer un DNS Lookup vers un serveur externe contrôlé par l'attaquant. La réponse DNS est filtrée puis exécutée comme Payload de second stage, aboutissant au déploiement de ModeloRAT, un Remote Access Trojan basé sur Python. En parallèle, Bitdefender signale une recrudescence de Lumma Stealer via des campagnes ClickFix déployant CastleLoader, un Loader associé au Threat Actor GrayBravo. Malgré les opérations de disruption des forces de l'ordre en 2025, l'infrastructure Lumma Stealer démontre une résilience notable.

L'actualité se poursuit avec l'identification par ReversingLabs de packages malveillants sur npm et PyPI rattachés à la campagne « graphalgo », attribuée au groupe nord-coréen Lazarus. Active depuis mai 2025, cette opération cible les développeurs JavaScript et Python via de fausses offres d'emploi dans le secteur des cryptomonnaies. Les attaquants, opérant sous la couverture d'une société fictive nommée Veltrix Capital, approchent leurs victimes sur LinkedIn, Facebook et Reddit. L'opération modulaire en cinq phases aboutit au déploiement d'un RAT doté de communications C2 protégées par token, avec détection de Crypto Wallets comme MetaMask. Un des packages npm, bigmathutils, a atteint plus de dix mille téléchargements avant l'injection de code malveillant.

Enfin, le projet Vim annonce la publication de Vim 9.2 le 14 février 2026. Cette version majeure apporte le support natif des Enums, des Generic Functions et du type Tuple dans Vim9 Script, le support complet de Wayland, ainsi que la conformité XDG Base Directory. Le mode Diff bénéficie de l'algorithme linematch et d'une nouvelle option diffanchors. De nombreuses vulnérabilités de sécurité, Memory Leaks et Crashes potentiels ont été corrigés depuis Vim 9.1.

Sources :

• The Hacker News – Microsoft Discloses DNS-Based ClickFix Attack Using Nslookup for Malware Staging : https://thehackernews.com/2026/02/microsoft-discloses-dns-based-clickfix.html
• Security Affairs – Malicious npm and PyPI packages linked to Lazarus APT fake recruiter campaign : https://securityaffairs.com/188009/apt/malicious-npm-and-pypi-packages-llinked-to-lazarus-apt-fake-recruiter-campaign.html
• Vim.org – Vim 9.2 released : https://www.vim.org/vim-9.2-released.php

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec l'ajout par la CISA d'une nouvelle vulnérabilité à son catalogue Known Exploited Vulnerabilities. La CVE-2026-1731, une faille de type OS Command Injection, affecte les produits BeyondTrust Remote Support et Privileged Remote Access. Activement exploitée dans la nature, elle s'ajoute aux quatre entrées référencées la veille, dont la CVE-2025-15556 ciblant Notepad++ et la CVE-2026-20700 visant Apple. La Binding Operational Directive 22-01 impose aux agences fédérales américaines de corriger les vulnérabilités inscrites au catalogue dans les délais prescrits.

L'actualité se poursuit avec la publication par le Google Threat Intelligence Group d'un rapport documentant une campagne d'extraction massive visant le modèle Gemini. Plus de cent mille requêtes ont été soumises au modèle dans le cadre d'une attaque par distillation, visant à reproduire sa logique interne via des accès API légitimes. D'après The Register, le groupe APT31, également connu sous les noms Violet Typhoon et Zirconium et attribué à la Chine, a utilisé Gemini pour planifier des cyberattaques contre des organisations américaines. Les requêtes portaient sur l'analyse de vulnérabilités d'exécution de code à distance et le contournement de Web Application Firewalls. Le rapport souligne que d'autres acteurs étatiques liés à l'Iran, à la Corée du Nord et à la Russie expérimentent également l'usage de Gemini à différents stades du cycle offensif.

Enfin, l'interpellation le 10 février d'un intérimaire de 19 ans sur le site Dassault Aviation de Cergy illustre la menace que représentent les objets connectés discrets pour la sûreté des installations industrielles sensibles. Selon RTL et l'AFP, l'homme, monteur-câbleur sur la chaîne d'assemblage du Rafale, portait des lunettes Ray-Ban Meta équipées d'une caméra. Placé en garde à vue pour atteinte aux intérêts fondamentaux de la Nation, il a été libéré le 12 février sans qu'aucune utilisation malveillante n'ait été établie. L'affaire, suivie par la DGSI, pose la question du contrôle d'accès physique et de la politique BYOD dans les environnements liés à la défense nationale.

Sources :

• CISA – CISA Adds One Known Exploited Vulnerability to Catalog : https://www.cisa.gov/news-events/alerts/2026/02/13/cisa-adds-one-known-exploited-vulnerability-catalog
• 01net – Cyberattaques chinoises sur Gemini : Google s'attend à un coup dur : https://www.01net.com/actualites/cyberattaques-chinoises-gemini-google-sattend-co
• ZDNet France – Lunettes connectées au travail : pourquoi un simple gadget peut vous mener en garde à vue : https://www.zdnet.fr/actualites/lunettes-connectees-au-travail-pourquoi-un-simple-gadget-peut-vous-mener-en-garde-a-vue-490077.htm

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com