JadePuffer : ransomware autonome par IA 🤖, Anubis : exploitation Citrix Bleed 2 🔓, FatFs : vulnérabilités embarqués critiques 🔌

A la une aujourd’hui:

  • JadePuffer : Premier ransomware entièrement piloté par IA
  • Le groupe Anubis exploite la faille Citrix Bleed 2 pour ses attaques par ransomware
  • Failles non corrigées dans FatFs : des vulnérabilités critiques pour les systèmes embarqués
  • Faille ‘Bad Epoll’ : Une vulnérabilité du noyau Linux permettant l’escalade de privilèges
  • Un député européen enquêtant sur Pegasus infecté par ce même logiciel espion

JadePuffer : Premier ransomware entièrement piloté par IA

Points Clés :

  • Un agent IA autonome a mené une attaque complète de ransomware sans intervention humaine
  • L’agent a exploité une vulnérabilité critique dans Langflow, une plateforme open source low code utilisée pour créer des agents et des processus d’IA, pour accéder au système et détruire des données
  • Cette évolution réduit considérablement les compétences et coûts nécessaires pour lancer des cyberattaques complexes

Description :

Des chercheurs de Sysdign, entreprise californienne de cybersécurité, ont identifié JadePuffer, le premier ransomware entièrement orchestré par un LLM. Cet agent autonome a exploité la vulnérabilité CVE-2025-3248 (CVSS 9.8) dans Langflow pour infiltrer un système, collecter des identifiants, et compromettre une base de données MySQL et un service Nacos. L’agent a chiffré 1 342 éléments de configuration avant de laisser une demande de rançon, mais a détruit les données de manière irréversible.

Pourquoi c’est important :

Cette découverte marque un tournant inquiétant dans la cybersécurité : les barrières techniques pour mener des attaques sophistiquées s’effondrent grâce à l’IA. Les cybercriminels peuvent désormais automatiser des opérations complexes sans expertise technique approfondie et à coût quasi-nul. Les organisations doivent urgemment revoir leurs stratégies de protection, notamment en corrigeant les vulnérabilités et en limitant l’exposition des systèmes d’IA sur Internet.


Le groupe Anubis exploite la faille Citrix Bleed 2 pour ses attaques par ransomware

Points Clés :

  • Le groupe Anubis exploite la vulnérabilité Citrix Bleed 2 (CVE-2025-5777, CVSS 7.5) pour accéder aux systèmes
  • Anubis utilise des outils légitimes comme MeshAgent et ScreenConnect pour se fondre dans les opérations IT
  • Le ransomware inclut une fonction de destruction de données pour faire pression sur les victimes

Description :

Le groupe Anubis, apparu fin 2024 comme dérivé du ransomware Sphinx, intensifie ses attaques en exploitant la vulnérabilité Citrix Bleed 2. Selon Arctic Wolf, les affiliés d’Anubis utilisent diverses techniques et des outils d’administration légitimes pour maintenir le contrôle des systèmes ciblés. Le groupe a revendiqué 91 victimes sur son site de fuite de données, avec 11 cibles en juin 2026, principalement aux États-Unis, au Royaume-Uni, en Australie, en France et au Canada.

Pourquoi c’est important :

La particularité d’Anubis réside dans sa fonction de destruction de données (/WIPEMODE) qui réduit les fichiers à 0 Ko, créant une pression considérable sur les victimes pour qu’elles paient avant l’activation complète de cette fonction. Cette tactique change le calcul stratégique traditionnel des ransomwares et offre des rendements lucratifs aux cybercriminels avec un partage attractif des profits (80% de la rançon). Cette évolution représente une menace sérieuse pour les organisations de tous secteurs.


Failles non corrigées dans FatFs : des vulnérabilités critiques pour les systèmes embarqués

Points Clés :

  • Sept vulnérabilités découvertes dans FatFs, une bibliothèque de système de fichiers largement utilisée dans les appareils embarqués
  • Les failles permettent l’exécution de code malveillant via des supports de stockage manipulés (clés USB, cartes SD)
  • Absence de correctifs en amont, le développeur principal de FatFs étant injoignable

Description :

La société de sécurité runZero a révélé sept vulnérabilités dans FatFs, une bibliothèque utilisée par de nombreux appareils embarqués pour lire les formats FAT et exFAT. Les failles les plus graves (CVE-2026-6682, CVE-2026-6687, CVE-2026-6688, CVSS 7.6) permettent la corruption de mémoire et l’exécution de code arbitraire lorsqu’un appareil lit un support de stockage ou une image firmware modifiée. Ces vulnérabilités affectent caméras, drones, contrôleurs industriels et portefeuilles crypto.

Pourquoi c’est important :

Ces vulnérabilités sont particulièrement préoccupantes car FatFs est intégré dans d’innombrables appareils IoT, industriels et critiques. Sans protection mémoire adéquate, un simple accès physique à un port USB ou un emplacement SD peut compromettre totalement un système. L’absence de correctifs en amont et de canal de communication avec le mainteneur complique considérablement la résolution du problème pour les fabricants, laissant potentiellement des millions d’appareils vulnérables pendant des années.


Faille ‘Bad Epoll’ : Une vulnérabilité du noyau Linux permettant l’escalade de privilèges

Points Clés :

  • La faille Bad Epoll (CVE-2026-46242) permet à un utilisateur ordinaire de prendre le contrôle total d’une machine Linux
  • Elle affecte les ordinateurs de bureau Linux, les serveurs et Android, et se trouve dans le même code où l’IA Mythos d’Anthropic avait trouvé une autre vulnérabilité
  • L’exploit peut être déclenché depuis le sandbox de Chrome et atteindre Android, ce qui le rend particulièrement dangereux

Description :

Bad Epoll est une vulnérabilité de type ‘use-after-free’ dans le noyau Linux qui permet l’escalade de privilèges. Elle se produit lorsque deux parties du noyau tentent de nettoyer le même objet interne simultanément. Bien que la fenêtre d’exploitation soit très étroite (environ six instructions machine), le chercheur Jaeyoung Chung a développé un exploit qui réussit dans 99% des cas. La faille affecte les noyaux Linux 6.4 et plus récents.

Pourquoi c’est important :

Cette vulnérabilité est particulièrement préoccupante car elle peut contourner les protections du sandbox de Chrome et affecter Android, contrairement à la plupart des failles de privilèges Linux. Elle s’ajoute à une série de vulnérabilités critiques du noyau Linux découvertes récemment. Le cas illustre également les limites actuelles de l’IA dans la détection de certains types de bugs complexes, puisque Mythos a trouvé une faille similaire mais a manqué celle-ci.


Un député européen enquêtant sur Pegasus infecté par ce même logiciel espion

Points Clés :

  • Un membre du comité PEGA du Parlement européen a été infecté par le logiciel espion Pegasus
  • L’infection s’est produite pendant que le comité rédigeait son rapport sur l’utilisation abusive des logiciels espions
  • Des législateurs européens appellent à une nouvelle enquête suite à ces révélations

Description :

Selon un rapport du Citizen Lab, Stelios Kouloglou, journaliste grec et député européen membre du comité PEGA enquêtant sur le logiciel espion Pegasus, a lui-même été victime de ce logiciel. Son iPhone a été infecté en octobre 2022 et mars 2023, à des moments critiques des travaux du comité, notamment lors de la rédaction du rapport et avant une visite prévue en Grèce.

Pourquoi c’est important :

Cette révélation souligne les risques auxquels sont exposés même ceux qui enquêtent sur les logiciels espions. Elle met en évidence l’urgence de mettre en œuvre les recommandations du comité PEGA pour limiter l’utilisation de ces technologies de surveillance. Alors que les États-Unis ont sanctionné des entreprises de logiciels espions, l’Europe n’a pas encore pris de mesures significatives malgré les appels répétés à une meilleure protection.