Ep.674 - RadioCSIRT Édition Française - Flash info cybersécurité du samedi 20 juin 2026

🔍 Elastic Security Labs publie un guide complet pour ingérer les Azure AD Graph Activity Logs dans Elastic et détecter les énumérations par ROADrecon et AADInternals. Cette catégorie de diagnostic, disponible depuis début 2026, comble un angle mort de près de dix ans sur l'activité de l'API legacy graph.windows.net. Cinq règles de détection prêtes à l'emploi sont fournies. 🎣 Le SANS Internet Storm Center documente une technique de phishing bancaire utilisant une adresse IPv4 encapsulée en notation IPv6 (RFC 4291) pour contourner les filtres d'URL classiques. L'adresse malveillante, sans enregistrement DNS, redirige vers un kit de phishing ciblant un établissement belge. 🇰🇵 Microsoft attribue au groupe nord-coréen Sapphire Sleet (BlueNoroff) la compromission de la chaîne d'approvisionnement npm du framework Mastra AI. Plus de 140 paquets ont été infectés via un typosquat « easy-day-js », déployant un infostealer multiplateforme ciblant 166 extensions de portefeuilles crypto. 📡 Brian Krebs révèle les liens entre le botnet Popa, composant du botnet Vo1d sur boîtiers TV Android, et le service de proxy résidentiel NetNut d'Alarum Technologies. Le botnet maintient 1,5 à 2,5 millions d'IP par jour. Plus de 42 % des apps sur LG webOS intègrent des SDK de proxy résidentiel. 🐛 Wordfence alerte sur l'exploitation massive de CVE-2026-4020 dans le plugin WordPress Gravity SMTP. Un endpoint REST API sans contrôle d'accès expose clés API, tokens OAuth et rapport système complet. Plus de 17 millions de tentatives bloquées, correctif disponible en version 2.1.5. Sources : Azure AD Graph Activity Logs: Ingestion and threat detection — Elastic Security Labs : https://www.elastic.co/security-labs/aad-graph-activity-logs-threat-detection eBanking Phishing Delivered Through IPv4-Mapped IPv6 Address — SANS ISC : https://isc.sans.edu/diary/rss/33090 Microsoft links Mastra AI supply chain attack to North Korean hackers — BleepingComputer : https://www.bleepingcomputer.com/news/security/microsoft-links-mastra-ai-supply-chain-attack-to-north-korean-hackers/ 'Popa' Botnet Linked to Publicly-Traded Israeli Firm — KrebsOnSecurity : https://krebsonsecurity.com/2026/06/popa-botnet-linked-to-publicly-traded-israeli-firm/ Hackers Exploit Gravity SMTP WordPress Plugin Bug to Expose API Keys — The Hacker News : https://thehackernews.com/2026/06/hackers-exploit-gravity-smtp-wordpress.html ⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09 📩 Email : radiocsirt@gmail.com 🌐 Site : https://www.radiocsirt.org 📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #AzureAD #EntraID #ROADrecon #ElasticSecurity #Phishing #IPv6 #RFC4291 #SANSISC #SapphireSleet #BlueNoroff #NorthKorea #SupplyChainAttack #npm #MastraAI #Botnet #Popa #Vo1d #NetNut #AlarumTechnologies #ResidentialProxy #WordPress #GravitySMTP #CVE-2026-4020 #Wordfence #RadioCSIRT