RadioCSIRT Édition Française – Votre actualité Cybersécurité du vendredi 2 janvier 2026 (Ép. 534) - RadioCSIRT - Edition Française

Bienvenue sur votre podcast quotidien de cybersécurité.

Nous ouvrons cette édition avec un avis publié par le CERT-FR le 2 janvier 2026 concernant de multiples vulnérabilités affectant les produits IBM. Référencé CERTFR-2026-AVI-0002, cet avis indique que certaines vulnérabilités permettent un déni de service à distance, une atteinte à la confidentialité et à l'intégrité des données, une injection XSS ainsi qu'un contournement de la politique de sécurité. Les systèmes concernés incluent Sterling Partner Engagement Manager versions 6.2.3.x et 6.2.4.x, ainsi que WebSphere eXtreme Scale 8.6.1.x sans le correctif PH69398 iFix. Quatorze CVE sont référencées. IBM a publié les correctifs via les bulletins de sécurité 7255899 et 7256003 datés des 29 et 30 décembre 2025.

Nous poursuivons avec une compromission d'infrastructures femtocells déployées par Korea Telecom. Selon The Register, plusieurs milliers de femtocells utilisaient un certificat unique partagé, valide dix ans, stocké en plaintext sans root password. Le service SSH était activé sans restriction. Cette configuration a permis l'extraction du certificat et le clonage de femtocells reconnues comme légitimes. Au moins vingt femtocells clonées ont été identifiées, exposant les subscriber numbers, le contenu des SMS et les numéros appelés. Le système de micropaiements a permis une fraude de 169 000 dollars touchant 368 clients. Treize individus ont été arrêtés. Les enquêteurs ont établi un lien potentiel avec une compromission antérieure par BPFDoor entre 2022 et 2025.

Nous terminons cette édition avec de nouvelles campagnes APT36 ciblant des entités gouvernementales et académiques en Inde. Selon The Hacker News, le vecteur initial exploite un fichier LNK déguisé en PDF distribué via spear-phishing. L'exécution déclenche un script HTA via mshta.exe chargeant le RAT directement en mémoire. La persistance s'adapte selon l'antivirus détecté. Le RAT iinneldc.dll offre des capacités de contrôle distant, d'exfiltration de données et de capture d'écran. Une seconde campagne utilise un loader .NET récupérant l'installeur nikmights.msi depuis aeroclubofindia.co.in. Le payload communique avec dns.wmiprovider.com via des endpoints inversés.

Sources

CERT-FR – Multiples vulnérabilités dans les produits IBM : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0002/
The Register – Korean telco failed at femtocell security : https://www.theregister.com/2025/12/30/kt_telecom_femtocell_security_fail/
The Hacker News – Transparent Tribe Launches New RAT Attacks : https://thehackernews.com/2026/01/transparent-tribe-launches-new-rat.html

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web :www.radiocsirt.org
Newsletter Hebdo :https://radiocsirt.substack.com