decio[VULN] CISA alerte sur une vulnérabilité Splunk Enterprise exploitée, un correctif urgent à appliquer avant dimanche CVE-2026-20253
Attention sur Steam : des wallpapers animés installent infostealers et ransomwares
[Outil] DarkMoon : un moteur libre de pentest autonome avec agents IA, MCP et outillage conteneurisé
[Suisse] [Arnaque] Ces QR codes vous font payer des amendes... à des escrocs
CyberVeille.ch📢 Cisco corrige une vulnérabilité critique d'exécution de commandes dans ISE (CVE-2026-20181)
📝 📰 Source : SecurityWeek, publié le 18 juin 2026 par Ionut Arghire.
📖 cyberveille : https://cyberveille.ch/posts/2026-06-19-cisco-corrige-une-vulnerabilite-critique-d-execution-de-commandes-dans-ise-cve-2026-20181/
🌐 source : https://www.securityweek.com/critical-command-execution-vulnerability-patched-in-cisco-ise
#CVE_2026_20181 #CVE_2026_20190 #Cyberveille
📝 📰 Source : SecurityWeek, publié le 18 juin 2026 par Ionut Arghire.
📖 cyberveille : https://cyberveille.ch/posts/2026-06-19-cisco-corrige-une-vulnerabilite-critique-d-execution-de-commandes-dans-ise-cve-2026-20181/
🌐 source : https://www.securityweek.com/critical-command-execution-vulnerability-patched-in-cisco-ise
#CVE_2026_20181 #CVE_2026_20190 #Cyberveille
Cisco corrige une vulnérabilité critique d'exécution de commandes dans ISE (CVE-2026-20181)
📰 Source : SecurityWeek, publié le 18 juin 2026 par Ionut Arghire. Cisco a publié des correctifs pour plusieurs vulnérabilités affectant ses produits, dont une faille critique dans Identity Services Engine (ISE) et ISE Passive Identity Connector (ISE-PIC). 🔴 Vulnérabilité critique — CVE-2026-20181 (CVSS 9.1) La faille résulte d’une validation insuffisante des entrées utilisateur. Un attaquant distant authentifié disposant de credentials administratifs valides peut envoyer une requête HTTP forgée pour :
📢 Cline (4,2M installs) : deux contournements de sécurité permettent l'exécution de code arbitraire
📝 ## 🔍 Contexte
Publié le 17 juin 2026 par Ax Sharma (Head of Research, Manifold Security), cet article de recherch...
📖 cyberveille : https://cyberveille.ch/posts/2026-06-19-cline-42m-installs-deux-contournements-de-securite-permettent-l-execution-de-code-arbitraire/
🌐 source : https://www.manifold.security/blog/cline-code-execution-bypass
#AI_coding_agent #Cline #Cyberveille
Cline (4,2M installs) : deux contournements de sécurité permettent l'exécution de code arbitraire
🔍 Contexte Publié le 17 juin 2026 par Ax Sharma (Head of Research, Manifold Security), cet article de recherche documente deux chemins d’exécution de code locale à haute sévérité dans Cline, l’extension VS Code d’agent de codage IA comptant environ 4,2 millions d’installations sur le VS Code Marketplace et OpenVSX. 🎯 Scénario d’attaque L’attaque cible un workflow développeur courant : cloner un dépôt inconnu et demander à Cline de le configurer. Le contenu du dépôt (README malveillant ou autre contenu lu par l’agent) manipule l’agent pour exécuter des commandes shell arbitraires sous le compte du développeur. L’impact potentiel inclut l’accès aux clés SSH, credentials AWS/GCP, cookies de navigateur, code source et tout ce que le développeur peut atteindre via VPN. Il s’agit d’un pattern confused-deputy dans l’IA agentique.
📢 Compromission supply chain npm : 140+ packages Mastra empoisonnés via typosquat easy-day-js
📝 ## 🔍 Contexte
Publié le 17 juin 2026 par la Microsoft Defender Security Research...
📖 cyberveille : https://cyberveille.ch/posts/2026-06-19-compromission-supply-chain-npm-140-packages-mastra-empoisonnes-via-typosquat-easy-day-js/
🌐 source : https://www.microsoft.com/en-us/security/blog/2026/06/17/postinstall-payload-inside-mastra-npm-supply-chain-compromise/
#IOC #TTP #Cyberveille
Compromission supply chain npm : 140+ packages Mastra empoisonnés via typosquat easy-day-js
🔍 Contexte Publié le 17 juin 2026 par la Microsoft Defender Security Research Team, cet article documente une attaque supply chain npm de grande envergure ciblant l’écosystème Mastra. Microsoft Threat Intelligence a identifié la compromission et partagé ses conclusions avec l’équipe de sécurité npm, qui a supprimé les packages affectés et révoqué les droits de publication du compte compromis. ⚔️ Déroulement de l’attaque L’attaque s’est déroulée en six phases : Compromission de compte : Prise de contrôle du compte npm ehindero, mainteneur légitime avec droits de publication sur le scope @mastra. Création du typosquat : Publication de easy-day-js, impersonation de la bibliothèque légitime dayjs (57M+ téléchargements hebdomadaires), via un compte anonyme Tutamail. Empoisonnement massif : Publication de nouvelles versions de 140+ packages @mastra injectant easy-day-js@^1.11.21 comme dépendance, toutes taguées latest. Livraison : La plage SemVer ^1.11.21 résout vers la version 1.11.22 contenant le hook postinstall malveillant. Exécution : Le hook déclenche un dropper obfusqué de 4 572 octets (setup.cjs) qui désactive la vérification TLS et contacte le C2. Payload de second stade : Téléchargement et exécution d’un implant Node.js multiplateforme (~41 Ko) en processus détaché. 🎯 Stratégie de livraison en deux phases Phase 1 (leurre propre) : [email protected] publié le 16 juin 2026 à 07:05 UTC — code dayjs légitime, sans payload. Phase 2 (armement) : [email protected] publié le 17 juin 2026 à 01:01 UTC — ajout de setup.cjs et du hook postinstall. 🛠️ Analyse technique du payload Stage 0 — Dropper obfusqué (setup.cjs) : Tableau de 40 chaînes Base64 mélangées via un seed numérique (0x4c11d), décodées par une fonction personnalisée.
📢 Dropping Elephant : chaîne de chargement China-themed livrant un RAT furtif en mémoire
📝 🔍 **Contexte** : Le 17 juin 2026, Rapid7 publie une anal...
📖 cyberveille : https://cyberveille.ch/posts/2026-06-19-dropping-elephant-chaine-de-chargement-china-themed-livrant-un-rat-furtif-en-memoire/
🌐 source : https://www.rapid7.com/blog/post/tr-malware-tracking-dropping-elephant-tradecraft-china-themed-loader-chain/
#APPWIZ_cpl__bluetooth_callback_dll_ #DLL_side_loading #Cyberveille
📝 🔍 **Contexte** : Le 17 juin 2026, Rapid7 publie une anal...
📖 cyberveille : https://cyberveille.ch/posts/2026-06-19-dropping-elephant-chaine-de-chargement-china-themed-livrant-un-rat-furtif-en-memoire/
🌐 source : https://www.rapid7.com/blog/post/tr-malware-tracking-dropping-elephant-tradecraft-china-themed-loader-chain/
#APPWIZ_cpl__bluetooth_callback_dll_ #DLL_side_loading #Cyberveille
Dropping Elephant : chaîne de chargement China-themed livrant un RAT furtif en mémoire
🔍 Contexte : Le 17 juin 2026, Rapid7 publie une analyse technique détaillée d’une campagne attribuée au groupe Dropping Elephant, découverte lors d’une chasse proactive aux menaces. L’article documente l’intégralité de la chaîne d’infection, de l’accès initial jusqu’au RAT final en mémoire. 🎯 Vecteur initial : La campagne débute par un fichier LNK malveillant (GRES3001.lnk) déguisé en PDF, utilisant un leurre thématique lié au secteur énergétique chinois — un contrat de réception pour le projet GRES-3 portant sur des pompes de circulation d’eau de mer industrielles. L’ouverture du raccourci déclenche conhost.exe qui lance un téléchargeur PowerShell obfusqué se connectant au serveur de staging chinagreenenergy[.]org.
📢 Gentlemen RaaS : analyse approfondie du framework EDR killer GentleKiller
📝 ## 🔍 Contexte
Publié le 18 juin 2026 par ESET Research (Jakub Souček), cet article présente les résultats d'une investiga...
📖 cyberveille : https://cyberveille.ch/posts/2026-06-19-gentlemen-raas-analyse-approfondie-du-framework-edr-killer-gentlekiller/
🌐 source : https://www.welivesecurity.com/en/eset-research/killing-me-gently-inside-gentlemens-edr-killer-framework/
#BYOVD #BlackLock #Cyberveille
Gentlemen RaaS : analyse approfondie du framework EDR killer GentleKiller
🔍 Contexte Publié le 18 juin 2026 par ESET Research (Jakub Souček), cet article présente les résultats d’une investigation de plusieurs mois sur le groupe Gentlemen, un gang ransomware-as-a-service (RaaS) apparu fin 2025 et devenu l’un des plus actifs au premier trimestre 2026. L’analyse a été enrichie par une fuite de données interne du groupe survenue en mai 2026. 🎭 Profil du groupe Gentlemen Fondé par l’alias hastalamuerte (également connu sous zeta88), ancien affilié mécontent de Qilin Membres précédemment affiliés à Qilin, Embargo, LockBit, Medusa et BlackLock Offre une part de 90% aux affiliates Utilise la double extorsion (chiffrement + menace de fuite) Encrypteur Go (Windows, Linux) et variante ESXi en C Victimologie atypique : Asie du Sud-Est, Amérique du Sud, Europe de l’Ouest (pas de focus US) Sélection des victimes basée sur les mauvaises configurations FortiGate 🛠️ Arsenal EDR Killers GentleKiller (outil maison) 8 variantes documentées, chacune abusant d’un driver différent Cible plus de 400 processus mappés à 48 produits de sécurité Déployé dans le répertoire GentlemenCollection Caractéristiques communes : strings cohérentes, terminaison périodique de processus en boucle, obfuscation de code identique Intégration rapide de nouveaux BYOVD PoCs (en quelques jours) Drivers abusés par GentleKiller : eb.sys (rootkit Kaspersky PoC) nseckrnl.sys (NSecsoft NSecKrnl) GameDriverX64.sys (anti-cheat Valorant) stpm_old.sys / stpm_new.sys (Safetica ProcessMonitor) dmx.sys (Zemana WatchDog Antimalware) 360netmon_wfp.sys (Qihoo 360) IMFForceDelete (IObit ForceDelete) G11.sys / PoisonX rootkit Outils tiers intégrés : HexKiller : précédemment associé au gang Warlock, abuse googleApiUtil64.sys (Baidu Antivirus BdApi) ThrottleBlood : observé chez MedusaLocker et DragonForce, abuse ThrottleBlood.sys (TechPowerUp LLC) HavocKiller : divulgué publiquement par Huntress le 19 mars 2026, utilisé dès le 23 janvier 2026, abuse havoc.sys (Huawei Audio driver) 🛡️ Stratégie d’évasion défensive Protection binaire avancée : Enigma ou Themida Usurpation d’identité de vendors de sécurité (noms de fichiers, version info, icônes, certificats copiés invalides) Suffixes de nommage standardisés : 1 (Enigma), 2 (Themida), Light (aucun packer), Clear (aucune protection) 🔑 OxideHarvest (credential stealer) Écrit en Rust, attribué à l’affilié quant (outil nommé buildx641) Vole les credentials de navigateurs Chromium et Gecko Paramètres CLI : -i (hosts), -u (username), -p (password), -t (threads), -o (output) Emballé dans différents packers avec usurpation d’identité similaire 📋 Type d’article Publication de recherche technique par ESET Research, visant à fournir des insights exploitables sur les TTPs, IoCs et le framework EDR killer du groupe Gentlemen pour les équipes CTI et défensives.
📢 IA dans les forums cybercriminels : usages, outils et scepticisme observés par Sophos CTU
📝 ## 🔍 Contexte
Publié le 17 juin 2026 par la Sophos Counter Threat Unit (CTU), ce rapport analyse les discussions e...
📖 cyberveille : https://cyberveille.ch/posts/2026-06-19-ia-dans-les-forums-cybercriminels-usages-outils-et-scepticisme-observes-par-sophos-ctu/
🌐 source : https://www.sophos.com/en-us/blog/ai-in-the-underground-curiosity-claims-and-concerns
#ADMN #ApexAI #Cyberveille
IA dans les forums cybercriminels : usages, outils et scepticisme observés par Sophos CTU
🔍 Contexte Publié le 17 juin 2026 par la Sophos Counter Threat Unit (CTU), ce rapport analyse les discussions et activités liées à l’intelligence artificielle (IA) observées sur des forums cybercriminels et canaux Telegram souterrains. L’analyse couvre des observations depuis janvier 2026. 🔑 Accès et partage de connaissances Les chercheurs CTU ont observé la vente de clés API pour des outils d’IA générative (ChatGPT, Claude, Grok) via des comptes partagés et des plateformes alternatives. Des personas comme CyberThreat et VOLTC proposent un accès mutualisé à ces outils. Un manque de connaissances est notable : les acteurs se tournent vers des canaux dédiés pour apprendre les bases, le jailbreaking et les techniques de prompt engineering. Depuis janvier 2026, des offres de recrutement de prompt engineers OpenAI ont été observées.