Le CERT-EU attribue avec un niveau de confiance élevé la violation de données de la Commission européenne au groupe TeamPCP, via une compromission supply chain de l'outil Trivy. 92 gigaoctets de données ont été exfiltrés depuis l'infrastructure AWS hébergeant la plateforme Europa.eu, affectant au moins 29 entités de l'Union européenne. Les données ont été publiées le 28 mars sur la plateforme dark web de ShinyHunters.

La Shadowserver Foundation recense plus de 14 000 instances F5 BIG-IP APM toujours exposées sur internet et non corrigées. La vulnérabilité CVE-2025-53521, initialement classifiée Denial-of-Service, a été reclassifiée en Remote Code Execution critique et inscrite au catalogue KEV de la CISA. L'exploitation active est confirmée en environnement réel.

Les incidents Ransomware à double et triple extorsion ont progressé de 49 % en glissement annuel en 2025, atteignant 1 174 incidents confirmés. 124 groupes sont actifs, dont 73 apparus dans l'année. Le secteur de la santé et les infrastructures de paiement figurent parmi les cibles prioritaires.

Cisco Talos documente une campagne automatisée de credential harvesting menée par UAT-10608, ayant compromis 766 hôtes en moins de 24 heures via CVE-2025-55182, une faille RCE pre-authentication dans les React Server Components. Le framework NEXUS Listener exfiltre clés SSH, tokens AWS, credentials de bases de données et clés API Stripe. Plusieurs hôtes exposent des fichiers d'authentification à des registres npm et pip, faisant peser un risque de supply chain.

Sources :

• https://therecord.media/european-commission-cyberattack-teampcp
• https://cybersecuritynews.com/14000-f5-big-ip-apm-exposed-online/
• https://www.bleepingcomputer.com/news/security/evolution-of-ransomware-multi-extortion-ransomware-attacks/
• https://blog.talosintelligence.com/uat-10608-inside-a-large-scale-automated-credential-harvesting-operation-targeting-web-applications/

⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

#RadioCSIRT #CyberSecurity #CERT #CSIRT #ThreatIntelligence #Ransomware #SupplyChain #F5 #CVE #KEV #CISA #CredentialHarvesting #TeamPCP #CiscoTalos #ReactJS