Contenu
01. Brèves
-
La CISA ajoute 4 failles activement exploitées à la liste KEV
-
Des pirates informatiques liés à la Chine ciblent les contribuables indiens à l’aide d’un outil malveillant de déclaration fiscale diffusant le DcRAT
-
Une organisation du secteur public américain aurait versé 1 million de dollars à la suite d’un chantage lié à la fuite de données de Kairos
-
Ubiquiti corrige plusieurs vulnérabilités critiques d’UniFi affectant des composants essentiels de la plateforme
-
Des acteurs malveillants exploitent npm et PyPI avec des paquets de paiement frauduleux
02. Conclusion
La CISA ajoute quatre failles activement exploitées au catalogue KEV
La CISA a ajouté quatre vulnérabilités activement exploitées à son catalogue des vulnérabilités connues pour être exploitées (KEV), soulignant ainsi un contexte de menaces accrues affectant Adobe ColdFusion, les extensions Joomla et la plateforme de workflow d’IA Langflow. La faille la plus critique, CVE-2026-48282 (CVSS 10,0), est une faille de traversée de chemin dans Adobe ColdFusion pouvant conduire à l’exécution de code à distance ; elle aurait été exploitée quelques heures seulement après sa divulgation publique. Par ailleurs, deux vulnérabilités de composants Joomla — CVE-2026-56290 dans Page Builder CK et CVE-2026-48908 dans SP Page Builder — sont actuellement exploitées par des acteurs malveillants pour déployer des shells web et parvenir à une exécution de code à distance sans authentification, ce qui leur confère un accès persistant aux serveurs web compromis. L’ajout de la vulnérabilité Langflow (CVE-2026-55255) démontre encore davantage l’intérêt croissant des attaquants pour les infrastructures d’IA ; les exploitations observées permettent un accès inter-locataires, le vol d’identifiants d’accès aux API cloud et LLM, et facilitent des attaques consécutives impliquant l’exécution de code à distance (RCE), le cryptojacking et le déploiement de logiciels malveillants.
Les organisations utilisant ces technologies doivent donner la priorité à l’application des correctifs, mener des opérations de recherche de menaces pour détecter les shells Web et les comptes administrateurs non autorisés, passer en revue les applications d’IA exposées et surveiller toute activité suspecte liée à l’accès aux identifiants, car l’exploitation active de ces vulnérabilités indique qu’elles sont déjà utilisées dans des attaques réelles.
Des pirates informatiques liés à la Chine ciblent les contribuables indiens à l’aide d’un outil malveillant de déclaration fiscale diffusant le DcRAT
Un acteur malveillant présumé lié à la Chine a été observé menant une campagne de phishing ciblée contre des contribuables indiens, des professionnels de la fiscalité et des responsables financiers d’entreprises, en utilisant de faux avis de l’administration fiscale pour diffuser le cheval de Troie d’accès à distance DcRAT. L’opération, baptisée DragonReturn, utilise des leurres fiscaux hautement personnalisés, des pièces jointes PDF malveillantes et des téléchargements frauduleux d’outils de déclaration d’impôts pour déclencher une chaîne d’infection en plusieurs étapes impliquant le chargement latéral de DLL, l’escalade de privilèges, le contournement de la sandbox, des mécanismes de persistance et l’exécution de logiciels malveillants en mémoire.
Les chercheurs ont identifié le déploiement de DcRAT associé à des capacités de vol de données, permettant la collecte d’identifiants, la capture de captures d’écran et la collecte potentielle de renseignements. Les liens de l’infrastructure avec l’espace IP ChinaNet, les panneaux de gestion en langue chinoise et les similitudes avec les techniques précédemment observées chez Silver Fox suggèrent un lien possible avec la Chine, bien que l’attribution reste non confirmée. La campagne fait preuve d’un haut degré de maturité opérationnelle grâce à l’utilisation d’une dissimulation polyglotte des charges utiles sous forme d’images, à des déploiements redondants de RAT et à de multiples canaux de commande et de contrôle conçus pour renforcer la persistance et échapper à la détection.
Une organisation du secteur public américain aurait versé 1 million de dollars à Kairos suite à une extorsion liée à une fuite de données
Une étude de cas récemment divulguée a mis en évidence la tendance croissante à passer des ransomwares traditionnels à l’extorsion par vol de données, après qu’une entité gouvernementale américaine aurait versé environ 1 million de dollars (9,44 BTC) au groupe malveillant Kairos pour empêcher la divulgation publique des données volées. Contrairement aux opérations de ransomware classiques, les chercheurs n’ont trouvé aucune preuve indiquant que Kairos ait déployé des logiciels malveillants chiffrant des fichiers ou perturbé des systèmes ; au contraire, le groupe s’est appuyé exclusivement sur le vol d’informations sensibles comme moyen de pression au cours d’une négociation d’extorsion qui a duré un mois. L’analyse des conversations de négociation divulguées et des transactions sur la blockchain suggère que la victime pourrait être le comté d’Union, dans l’Ohio, les attaquants affirmant avoir exfiltré plus de 2 To de données comprenant 1,6 million de fichiers, dont des documents gouvernementaux hautement sensibles.
Cet incident met en lumière un paysage des menaces en pleine évolution, dans lequel les cybercriminels privilégient de plus en plus l’exfiltration de données — discrète mais à fort impact — plutôt que le chiffrement, ce qui réduit la complexité opérationnelle tout en maintenant une pression significative sur les victimes. Cette affaire souligne également le caractère limité de la garantie offerte par le paiement d’une rançon, car il n’existe aucun mécanisme fiable permettant de vérifier la suppression des données volées une fois celles-ci transférées aux auteurs de la menace.
Ubiquiti corrige plusieurs vulnérabilités critiques d’UniFi affectant des composants essentiels de la plateforme
Ubiquiti a publié des mises à jour de sécurité pour corriger sept vulnérabilités critiques affectant plusieurs produits UniFi, notamment UniFi Connect, Talk, Access, Protect et UniFi OS, plusieurs de ces failles présentant des scores CVSS compris entre 9,0 et 10,0. Ces vulnérabilités pourraient permettre à des attaquants disposant d’un accès au réseau d’exécuter des commandes à distance, d’élever leurs privilèges, de procéder à des injections SQL, d’exploiter des failles SSRF et de modifier des appareils sans autorisation, ce qui pourrait entraîner la compromission totale des systèmes affectés. Les vulnérabilités d’injection de commandes dans UniFi Connect, UniFi Access et UniFi OS, qui pourraient permettre l’exécution de code arbitraire sur les appareils hôtes, sont particulièrement préoccupantes, tout comme les failles d’élévation de privilèges affectant les déploiements d’UniFi Talk, Access et Protect. Bien qu’il n’y ait actuellement aucune preuve d’exploitation active, la gravité de ces vulnérabilités, combinée au ciblage historique de l’infrastructure Ubiquiti par des acteurs malveillants et à l’exploitation récente d’autres failles liées à UniFi, rend indispensable une correction rapide.
Les organisations utilisant les produits UniFi concernés doivent en priorité appliquer les dernières mises à jour de sécurité et surveiller toute activité inhabituelle pouvant indiquer une tentative d’exploitation
Des acteurs malveillants exploitent npm et PyPI à l’aide de paquets de paiement frauduleux
Une campagne récemment identifiée visant la chaîne d’approvisionnement logicielle a ciblé des développeurs par le biais de 17 paquets malveillants publiés sur npm et PyPI, se faisant passer pour des SDK légitimes des plateformes de paiement Paysafe, Skrill et Neteller. Ces paquets étaient conçus pour imiter des bibliothèques d’intégration de paiement authentiques tout en collectant secrètement des informations sensibles, notamment des clés API, des identifiants AWS, des jetons GitHub, des jetons npm, des noms d’utilisateur et des métadonnées système, puis en exfiltrant ces données vers une infrastructure contrôlée par les attaquants et hébergée sur AWS. Les chercheurs ont constaté que ces paquets malveillants exposaient les API attendues et renvoyaient de fausses réponses de réussite, rendant ainsi la détection difficile pour les développeurs intégrant des services de paiement dans leurs applications.
Cette campagne illustre une menace croissante pour l’écosystème du développement logiciel, où les acteurs malveillants exploitent de plus en plus les dépôts open source de confiance pour compromettre les environnements des développeurs et accéder à des identifiants précieux susceptibles de permettre d’autres compromissions du cloud, du code source et des services financiers.
Il est recommandé aux organisations de supprimer tous les paquets affectés, de renouveler les identifiants exposés et d’examiner les journaux CI/CD à la recherche de tout signe de compromission.
Si l'une des menaces décrites dans ce bulletin vous préoccupe ou si vous avez besoin d'aide pour déterminer les mesures à prendre afin de vous protéger contre les menaces les plus graves auxquelles votre organisation est confrontée, veuillez contacter votre chargé de compte oucliquer icipour découvrir comment protéger votre organisation.
Avertissement
Le « Threat Intel Roundup » a été rédigé par Integrity360 afin de résumer l’actualité des menaces telle que nous l’observons, à la date de publication. Il ne doit en aucun cas être considéré comme un conseil juridique, un conseil en conseil ou tout autre type de conseil professionnel. Toute recommandation doit être envisagée dans le contexte propre à votre organisation. Integrity360 n'adopte aucune position politique dans les informations qu'elle partage. De plus, les opinions exprimées ne reflètent pas nécessairement le point de vue d'Integrity360.