Faille critique corrigée dans Redis 🛠️, Atlas RAT frappe l'Europe 🎯, Nobitex sanctionné par Washington 🏛️
• 3 minutes de lectureBonjour, voici ta veille Cybere du 4 juin 2026 !
Les vulnérabilités critiques resurgissent dans des infrastructures omniprésentes, tandis que les groupes cybercriminels industrialisent leurs attaques et que les régulateurs resserrent l'étau sur les acteurs complaisants.
Retrouve les trois articles à la une du jour :
- Redis corrige une faille de type "use-after-free" permettant l'exécution de code arbitraire, débusquée par un outil d'IA après deux ans sous les radars.
- Le groupe sinophone TA4922 déploie Atlas RAT en Europe via des campagnes de phishing multicanaux et localisées.
- Les États-Unis sanctionnent Nobitex pour son rôle central dans le financement du terrorisme et le contournement de sanctions via les cryptomonnaies.
Redis corrige une faille d'exécution de code critique
Redis a corrigé une faille de type "use-after-free" dans son code de blocage qui permettait à un utilisateur authentifié d'exécuter des commandes système arbitraires. Identifiée comme CVE-2026-23479 (8.8 NVD / 7.7 Redis), elle dormait depuis plus de deux ans dans Redis 7.2.0 et versions ultérieures, jusqu'à sa découverte par un outil d'IA autonome lors du concours ZeroDay.Cloud 2025. Les correctifs sont disponibles depuis le 5 mai (7.2.14, 7.4.9, 8.2.6, 8.4.3, 8.6.3).
L'attaque se déroule en trois temps : un court script repère d'abord une adresse en mémoire, puis l'attaquant pousse Redis à libérer un client en pleine opération pour aussitôt réoccuper cet espace avec une fausse structure, et enfin il détourne le mécanisme de comptabilité mémoire de Redis pour faire exécuter une commande système. Les serveurs configurés par défaut, sans mot de passe et très répandus chez les hébergeurs en nuage, restent les plus exposés tant qu'ils ne sont pas mis à jour.
Points d'attention
- Deux commits de 2023 ont créé la faille, restée invisible aux audits successifs.
- L'exploit requiert les privilèges @admin, @scripting, @stream et @read/@write, tous accordés par défaut à l'utilisateur standard.
- La chaîne complète est désormais publique ; Redis n'a toutefois relevé aucune exploitation active à ce jour.
Groupe cybercriminel sinophone cible l'Europe avec le malware Atlas RAT
Le groupe TA4922, associé à des attaques motivées financièrement, a étendu ses opérations à l'Europe et à l'Afrique du Sud en déployant le malware Atlas RAT et d'autres outils malveillants inédits.
Depuis mars, l'activité de TA4922 s'est intensifiée de manière significative. Le groupe utilise des leurres de phishing localisés imitant des avis de paie, audits fiscaux et notifications gouvernementales, tout en contactant les victimes via WhatsApp, LINE et Microsoft Teams. Proofpoint estime que les attaquants pourraient utiliser des grands modèles de langage (LLM) pour accélérer le développement de leurs logiciels malveillants.
Points d'attention
- Atlas RAT offre reconnaissance système, vol de fichiers ciblé, keylogging, capture d'écran et enregistrement audio/vidéo.
- RomulusLoader télécharge des charges utiles via injection de shellcode et déploie des outils légitimes comme AnyDesk et SyncFuture.
- TA4922 déploie aussi SilentRunLoader (voleur de données Chrome en Python) et Winos4.0, alias ValleyRAT, offrant un accès distant complet.
- TA4922 mène actuellement plus de campagnes uniques que tout autre groupe cybercriminel suivi par Proofpoint ; ses capacités de surveillance pourraient être revendues à des groupes d'espionnage.
Les États-Unis sanctionnent la plateforme iranienne Nobitex
Le Trésor américain a annoncé des sanctions contre Nobitex, la plus grande plateforme d'échange de cryptomonnaies iranienne, pour facilitation de paiements liés au terrorisme, contournement de sanctions et transactions associées au Corps des gardiens de la révolution islamique (IRGC).
Nobitex a traité plus de 50 % des entrées de monnaies numériques iraniennes en 2025 et a facilité des transactions liées à l'IRGC, dont des acteurs de rançongiciels affiliés. Dans le cadre de la campagne « Economic Fury », les autorités américaines ont désigné plusieurs dirigeants et fondateurs de la plateforme, et sanctionné trois autres bourses de cryptomonnaies iraniennes : Wallex, Bitpin et Ramzinex.
Points d'attention
- Nobitex a aidé la Banque centrale iranienne à accéder à des centaines de millions de dollars en stablecoins pour soutenir le rial iranien.
- L'écosystème de cryptomonnaies iranien a reçu près de 7,8 milliards de dollars en 2025, dont plus de 50 % liés à l'IRGC au quatrième trimestre.
- La plateforme a subi une violation en juin 2025 avec un vol estimé à 90 millions de dollars d'actifs numériques.
Autres actus importantes
- Une vulnérabilité non corrigée dans l'URI de Recherche Windows permet aux attaquants de voler des hachages NTLMv2
- Le secrétaire du DHS Markwayne Mullin détermine les effectifs optimaux pour la CISA
- VS Code : un chercheur publie une faille zero-day pour punir Microsoft
- Une nouvelle vulnérabilité 'HTTP/2 Bomb' permet des attaques DoS à distance sur NGINX, Apache, IIS, Envoy et Cloudflare
Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️
À demain pour la prochaine veille 🔐 – Kilian de Cybere