Avalon déploie ransomware CrownX 💻, FatFs expose millions d'appareils 🛡️, Pegasus espionne un député 🕵️

3 minutes de lecture

Bonjour, voici ta veille Cybere du 4 juillet 2026 !

Les attaques se sophistiquent, des frameworks modulaires aux cibles stratégiques, tandis que des failles matérielles exposent des millions d'appareils.

Retrouve les trois articles à la une du jour :

  • Avalon déploie CrownX via phishing et contournement des contrôles
  • FatFs expose des dispositifs embarqués à des exécutions de code
  • Pegasus infecte un parlementaire européen enquêtant sur les espions

Avalon, framework modulaire qui déploie le ransomware CrownX

Des chercheurs en cybersécurité ont découvert Avalon, un framework malveillant modulaire distribué via une chaîne de phishing multi-étapes contournant les contrôles de sécurité traditionnels.

Le framework combine collecte de credentials, mouvement latéral, accès à distance, perturbation de récupération et exécution de ransomware. Selon Blackpoint Cyber, l'attaque débute par un email usurpant l'identité d'un document légal, dirigeant les victimes vers une archive protégée sur Proton Drive contenant une image ISO. Un raccourci Windows déguisé en PDF déclenche une séquence malveillante qui lance Avalon via un projet MSBuild chargeant un assembly .NET perturbant Event Tracing for Windows pour réduire la visibilité forensique.

Points d'attention

  • Avalon intègre des mécanismes avancés d'évasion ciblant Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee et Bitdefender.
  • Le framework extrait credentials, cookies et données de portefeuilles crypto, puis exfiltre vers helloxcherry[.]com avant déploiement de CrownX.
  • Avalon montre des signes de développement assisté par intelligence artificielle, réduisant les barrières d'entrée pour les attaquants peu expérimentés.

→ Lire la source


Sept failles dans FatFs menacent des millions de dispositifs embarqués

runZero a découvert sept vulnérabilités dans FatFs, une petite bibliothèque système de fichiers intégrée au firmware de caméras de surveillance, drones, contrôleurs industriels et portefeuilles crypto.

Les bugs fonctionnent de la même manière : un dispositif lit un volume ou image firmware volontairement malformé et FatFs traite mal ces données corrompues. La plus grave, CVE-2026-6682 (CVSS 7.6), est un débordement d'entier lors du montage d'un volume FAT32 qui peut corrompre la mémoire et permettre l'exécution de code. Deux autres failles atteignent 7,6 et les quatre restantes vont de 6,1 à 4,6. Un accès physique à un port USB ou SD suffit pour prendre le contrôle total de nombreux appareils.

Points d'attention

  • FatFs est maintenu par un seul développeur et runZero n'a reçu aucune réponse à ses tentatives de coordination.
  • Seule la CVE-2026-6684 a une correction en amont dans FatFs R0.16. Les autres exigent des correctifs des fournisseurs.
  • Au 1er juillet, aucune attaque n'avait été signalée, mais runZero a déjà publié des preuves de concept et un exploit fonctionnel.

→ Lire la source


Pegasus cible un parlementaire enquêtant sur les logiciels espions

Le téléphone de Stelios Kouloglou, ancien membre du Parlement européen représentant la Grèce, a été infecté par Pegasus en octobre 2022 et mars 2023, selon les chercheurs du Citizen Lab.

Ces compromissions se sont produites alors que Kouloglou participait au Comité PEGA, chargé d'enquêter sur les abus de logiciels espions commerciaux en Europe. Le chercheur John Scott-Railton du Citizen Lab craint que d'autres parlementaires ignorent l'infection de leur téléphone. Kouloglou soupçonne le gouvernement grec, bien que le Citizen Lab n'ait trouvé aucune preuve soutenant cette hypothèse.

Points d'attention

  • Le même client Pegasus serait responsable des attaques contre Kouloglou et contre des journalistes russes et biélorusses entre 2020 et 2023.
  • La Commission européenne a largement ignoré les recommandations du Comité PEGA publiées en mai 2023 concernant les abus de logiciels espions.
  • Kouloglou a reçu trois notifications de menace d'Apple en plusieurs années mais ne les a jamais vues selon le rapport.

→ Lire la source


Autres actus importantes


Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️

À demain pour la prochaine veille 🔐 – Kilian de Cybere