AryStinger détourne routeurs D-Link 🤖, systemd adopte un TPM 🔐, DragonForce abuse Teams 💬

3 minutes de lecture

Bonjour, voici ta veille Cybere du 22 juin 2026 !

L'actualité du jour mêle attaque et défense : d'un côté des attaquants qui détournent des routeurs et des outils légitimes, de l'autre une brique de sécurité Linux qui se renforce.

Retrouve les trois articles à la une du jour :

  • Le botnet AryStinger transforme 4000 routeurs D-Link en proxies malveillants
  • systemd 261 intègre un TPM logiciel et un installeur
  • DragonForce dissimule son C2 via l'infrastructure Teams Microsoft

Le botnet AryStinger a compromis plus de 4000 routeurs obsolètes pour les convertir en exécuteurs distants au service d'opérations malveillantes. Le malware exploite plusieurs failles, dont deux anciennes (CVE-2013-3307, CVE-2016-5681) et une récente (CVE-2025-11837), ciblant principalement les modèles D-Link DIR-850L et DIR-818LW, visant surtout la Corée du Sud (48,5%) et la Chine (31,8%).

Selon les chercheurs de Qianxin XLab, le botnet distribue des tâches de scanning à plusieurs dispositifs infectés et peut modifier les paramètres DNS, intercepter le trafic ou servir de tremplin pour des intrusions. Deux variantes ont été identifiées : une version écrite en C ciblant les routeurs obsolètes et une version écrite en Go plus avancée visant les systèmes NAS, mais de portée encore très limitée à ce jour. Les chercheurs ne rattachent AryStinger à aucun groupe connu.

Points d'attention

  • Exploitation de failles sur équipements D-Link en fin de vie, requérant remplacement ou mise à jour firmware immédiate.
  • Infrastructure DNS distribuée permettant potentiellement des attaques par saturation de requêtes contre les résolveurs, non observées à ce jour.
  • La variante NAS supporte l'exécution de code Shell, Go, Java et Python, augmentant les risques d'intrusion interne.

→ Lire la source


systemd 261 intègre un TPM logiciel et un installeur

La version 261 de systemd, le composant qui orchestre le démarrage de la plupart des distributions Linux, apporte plusieurs nouveautés côté cloud et sécurité.

Elle permet d'abord aux applications de récupérer les informations d'une instance cloud (chez AWS, Azure, Google Cloud, Oracle…) via une interface locale unifiée. Elle ajoute surtout un TPM logiciel pour les machines dépourvues de puce de sécurité dédiée (un TPM servant normalement à stocker clés et secrets de chiffrement), ainsi qu'un installeur de système en mode texte. Enfin, certaines données d'exécution peuvent désormais survivre à un redémarrage rapide du noyau (kexec), sans repartir de zéro.

Points d'attention

  • Les métadonnées cloud sont exposées localement, avec un accès réseau verrouillable et une mesure des données avant leur import, deux garde-fous côté sécurité.
  • systemd-boot conserve désormais l'ancien chargeur d'amorçage comme solution de secours lors d'une mise à jour, évitant un système non démarrable.
  • Les bibliothèques externes sont chargées à la demande (dlopen), ne laissant plus que libc comme dépendance directe, ce qui réduit la surface exposée.

→ Lire la source


DragonForce dissimule son C2 via l'infrastructure Teams Microsoft

Le groupe de ransomware DragonForce a déployé Backdoor.Turn, un cheval de Troie d'accès à distance écrit en Go, pour masquer son trafic de commande et contrôle au sein des relais Microsoft Teams. Il s'agit du premier cas publiquement documenté d'abus de l'infrastructure de relais TURN de Microsoft par ces acteurs.

Les attaquants ont obtenu un jeton Teams anonyme, exploité l'infrastructure TURN légitime de Microsoft, puis établi une session QUIC vers leur serveur C2. Pour les défenseurs réseau, seules les connexions sortantes vers les serveurs Teams étaient visibles. L'accès initial, remontant à décembre 2025, proviendrait de l'exploitation d'une vulnérabilité SQL ou MS-SQL, ou d'un courtier d'accès initial.

Points d'attention

  • L'attaque combine injection de processus, technique BYOVD (Bring Your Own Vulnerable Device) et drivers vulnérables (CVE-2023-52271, CVE-2025-61155, CVE-2025-1055) pour contourner les protections.
  • Backdoor.Turn supporte l'exécution de commandes, le scanning réseau, le vol d'identifiants, la recherche LDAP/Active Directory et le mouvement latéral par identifiants.
  • Les attaquants ont maintenu leur présence entre un et deux mois en injectant la backdoor dans DbgView64.exe après le déploiement du ransomware.

→ Lire la source


Autres actus importantes


Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️

À demain pour la prochaine veille 🔐 – Kilian de Cybere