la vulnérabilité est à considérer comme activement exploitée selon watchTowr.
ils ont publié une analyse technique détaillée de la faille, utile pour mieux comprendre le mécanisme d’exploitation
👇
https://labs.watchtowr.com/please-we-beg-just-one-weekend-free-of-appliances-citrix-netscaler-cve-2026-3055-memory-overread-part-2/
Pour les équipes concernées, on n’est plus dans l’anticipation mais dans la réaction rapide.
⚠️ CVE-2026-3055 / Citrix NetScaler : la reconnaissance est en cours.
Des activités de reconnaissance ciblent déjà les appliances exposées, avec notamment des requêtes vers /cgi/GetAuthMethods pour identifier les configs exploitables, en particulier les environnements SAML IdP.
GBHackers relaie ces observations
👇
https://gbhackers.com/hackers-probe-citrix-netscaler-systems-cve-2026-3055-exploitation/
Côté exposition, ONYPHE recense plus de 18000 IP uniques sur une version vulnérable, (dont environ +800 en Suisse).
👇
https://www.linkedin.com/posts/onyphe_vulnerability-asm-attacksurfacemanagement-activity-7442250727046987776-ofYV
Le pattern rappelle clairement les précédents CitrixBleed : si du NetScaler est encore exposé, la fenêtre avant exploitation de masse pourrait être très courte.
Cybersecurity researchers are warning organizations about imminent cyberattacks targeting a newly disclosed critical vulnerability in Citrix NetScaler ADC and Gateway appliances.
📢 Abus massif de Keitaro par des cybercriminels pour distribuer malwares, phishing et scams
📝 ## 🔍 Contexte
Publié le 26 mars 2026 par Infoblox Threat Intel en co...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-29-abus-massif-de-keitaro-par-des-cybercriminels-pour-distribuer-malwares-phishing-et-scams/
🌐 source : https://www.infoblox.com/blog/threat-intelligence/no-reach-no-risk-the-keitaro-abuse-in-modern-cybercrime-distribution/
#Cloakilio #DonutLoader #Cyberveille
🔍 Contexte Publié le 26 mars 2026 par Infoblox Threat Intel en collaboration avec Confiant, cet article constitue le second volet d’une étude de quatre mois portant sur l’abus du tracker publicitaire commercial Keitaro par des acteurs malveillants. Confiant surveille près de 90 milliards d’impressions publicitaires par mois. 🎯 Keitaro comme infrastructure criminelle Keitaro est un outil adtech commercial (tracker, TDS et cloaker en un seul produit) massivement détourné par des cybercriminels. Il leur permet d’externaliser la distribution, le ciblage et le routage des victimes sans construire leur propre infrastructure. Plus de 20% des acteurs malveillants suivis par Confiant ont utilisé Keitaro sur la période, certains générant des dizaines de millions d’impressions.
📰 Source : Clubic — Article publié le 29 mars 2026, relatant une annonce faite sur un forum cybercriminel concernant un prétendu piratage d’OVH Cloud. 🎯 Allégation de l’attaquant Un individu disposant du statut d’administrateur sur un forum cybercriminel affirme avoir eu accès à un compte parent d’OVH ainsi qu’à des serveurs. Il revendique : La récupération de 590 To de données La compromission des données de 1,6 million de clients La vente partielle des données à ce jour 🛡️ Réaction d’OVH Aucune confirmation officielle n’a été émise par OVH. Le fondateur Octave Klaba a répondu sur X (ex-Twitter) à une publication relayant l’annonce du forum, indiquant de manière concise que « le sample [échantillon] cité ne se trouve pas dans nos bases », remettant en cause l’authenticité des preuves présentées.
📢 Allemagne : deepfakes sexuels et usurpation d'identité par IA pendant 10 ans
📝 ## 🗓️ Contexte
Article publié le 27 mars 2026 sur Generation-NT, relatant une affaire de violences numériques de longue durée en Allem...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-29-allemagne-deepfakes-sexuels-et-usurpation-d-identite-par-ia-pendant-10-ans/
🌐 source : https://www.generation-nt.com/actualites/allemagne-choc-deepfakes-sexuels-2073148
#TTP #clonage_vocal_IA #Cyberveille
🗓️ Contexte Article publié le 27 mars 2026 sur Generation-NT, relatant une affaire de violences numériques de longue durée en Allemagne impliquant des technologies d’IA générative. 🎭 Faits principaux L’acteur Christian Ulmen a mené pendant près de dix ans une campagne de harcèlement numérique contre son ex-femme, l’actrice Collien Fernandes. Le mode opératoire comprenait : Création et diffusion de deepfakes (photos et vidéos) à caractère sexuel Utilisation de logiciels de clonage vocal par IA pour simuler la voix de la victime lors de conversations téléphoniques Création de fausses adresses email et profils au nom de la victime pour contacter des hommes, y compris dans leur cercle professionnel Organisation de faux rendez-vous pour entretenir l’illusion d’une liaison Envoi d’un script décrivant une scène de viol virtuel collectif Une des vidéos manipulées a été vue plus de 270 000 fois.
📢 Apple révèle à l'FBI l'identité réelle derrière la fonction 'Hide My Email' d'iCloud+
📝 ## 🔍 Contexte
Cet article, publié le 26 mars 2026 par 404 Media en collaboration avec Court Watch, s'appuie sur un...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-29-apple-revele-a-l-fbi-l-identite-reelle-derriere-la-fonction-hide-my-email-d-icloud/
🌐 source : https://www.404media.co/apple-gives-fbi-a-users-real-name-hidden-behind-hide-my-email-feature/
#Apple #FBI #Cyberveille
🔍 Contexte Cet article, publié le 26 mars 2026 par 404 Media en collaboration avec Court Watch, s’appuie sur un document judiciaire récemment déposé pour révéler une divulgation de données par Apple aux autorités américaines. 📋 Faits principaux Apple a transmis au FBI l’adresse email iCloud réelle d’un utilisateur qui se cachait derrière la fonctionnalité ‘Hide My Email’ d’iCloud+. Cette fonctionnalité permet aux abonnés payants de générer des adresses email anonymes afin de masquer leur identité réelle.
📢 Attaque RBCD cross-domaine et cross-forêt Active Directory : analyse technique et implémentation Impacket
📝 ## 🔍 Contexte
Publié le 23/03/2026 par Simon Msika de Synacktiv, c...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-29-attaque-rbcd-cross-domaine-et-cross-foret-active-directory-analyse-technique-et-implementation-impacket/
🌐 source : https://www.synacktiv.com/en/publications/exploring-cross-domain-cross-forest-rbcd
#Active_Directory #Cross_domain #Cyberveille
🔍 Contexte Publié le 23/03/2026 par Simon Msika de Synacktiv, cet article présente une recherche approfondie sur l’exploitation de la délégation contrainte basée sur les ressources (RBCD) dans des environnements Active Directory multi-domaines et multi-forêts, un scénario peu documenté jusqu’alors. ⚙️ Mécanisme de l’attaque L’attaque RBCD repose sur la modification de l’attribut msDS-AllowedToActOnBehalfOfOtherIdentity d’un compte machine pour permettre l’usurpation d’identité d’utilisateurs. Dans un contexte cross-domaine, le workflow Kerberos implique plusieurs étapes supplémentaires :
📢 Attaque supply chain : deux versions malveillantes du SDK Python Telnyx publiées sur PyPI
📝 ## 📌 Contexte
Le 27 mars 2026, Telnyx publie un avis de sécurité officiel concernant la compromission temporaire de...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-29-attaque-supply-chain-deux-versions-malveillantes-du-sdk-python-telnyx-publiees-sur-pypi/
🌐 source : https://telnyx.com/resources/telnyx-python-sdk-supply-chain-security-notice-march-2026
#IOC #PyPI #Cyberveille
📌 Contexte Le 27 mars 2026, Telnyx publie un avis de sécurité officiel concernant la compromission temporaire de son SDK Python sur PyPI, survenue le 27 mars 2026. Cet incident s’inscrit dans une campagne supply chain multi-semaines ayant également ciblé Trivy (19 mars 2026), LiteLLM (24 mars 2026) et Checkmarx. 🎯 Déroulement de l’incident Deux versions non autorisées du package telnyx ont été publiées sur PyPI : telnyx==4.87.1 : publiée à 03:51:28 UTC le 27 mars 2026 telnyx==4.87.2 : publiée peu après Les deux versions contenaient du code malveillant. Elles ont été mises en quarantaine à 10:13 UTC le même jour, soit environ 6h22 après la première publication. Les deux packages ont depuis été retirés de PyPI.
📢 Campagnes malveillantes via Google Ads diffusent AMOS et Amatera déguisés en outils IA
📝 ## 🔍 Contexte
Source : Kaspersky Blog (kaspersky.fr), publié le 29 mars 2026.
📖 cyberveille : https://cyberveille.ch/posts/2026-03-29-campagnes-malveillantes-via-google-ads-diffusent-amos-et-amatera-deguises-en-outils-ia/
🌐 source : https://www.kaspersky.fr/blog/fake-ai-agents-infostealers/23740/
#AMOS #Amatera #Cyberveille
🔍 Contexte Source : Kaspersky Blog (kaspersky.fr), publié le 29 mars 2026. Cet article présente les résultats d’une investigation approfondie menée par Kaspersky sur plusieurs campagnes malveillantes exploitant la popularité des outils d’intelligence artificielle. 🎯 Description de l’attaque Des acteurs malveillants diffusent des infostealers en se faisant passer pour des outils d’IA populaires via des annonces Google Ads sponsorisées. Les leurres utilisés incluent : AI Doubao (application chinoise populaire) OpenClaw (assistant IA viral) Claude Code (assistant de programmation d’Anthropic) Lorsqu’un utilisateur clique sur l’annonce malveillante, il est redirigé vers un faux site de documentation hébergé sur Squarespace (plateforme légitime), ce qui permet de contourner les filtres anti-phishing.
📢 CVE-2025-14325 : Type confusion dans le JIT Baseline de Firefox via SpiderMonkey
📝 ## 🔍 Contexte
Publié le 28 mars 2026 sur le blog de recherche QriouSec, cet article présente une analyse technique approfondie de la vulnérabilité **CVE-2025-...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-29-cve-2025-14325-type-confusion-dans-le-jit-baseline-de-firefox-via-spidermonkey/
🌐 source : https://qriousec.github.io/post/cve-2025-14325/
#CVE_2025_14325 #Firefox #Cyberveille
🔍 Contexte Publié le 28 mars 2026 sur le blog de recherche QriouSec, cet article présente une analyse technique approfondie de la vulnérabilité CVE-2025-14325, découverte dans le moteur JavaScript SpiderMonkey de Mozilla Firefox. La découverte a été facilitée par du fuzzing assisté par IA (Claude Code) ciblant la fonctionnalité TypedArray resizable. 🐛 Vulnérabilité : Type Confusion dans le JIT Baseline La vulnérabilité réside dans le mécanisme des inline caches (IC) du tier Baseline JIT de SpiderMonkey. Le flux d’exploitation repose sur une fenêtre de ré-entrance :
decio
CyberVeille.ch