Vol d'identifiants FortiGate, le botnet KadNap frappe 14 000 routeurs, Microsoft corrige 2 Zero-Days
1. Pare-feu FortiGate exploités pour voler des identifiants AD
🚨 CRITIQUE — Campagne active ciblant la santé & les administrations
Des acteurs malveillants abusent des appliances FortiGate Next-Generation Firewall (NGFW) comme points d'entrée pour compromettre les réseaux des victimes. La campagne cible les environnements de santé, gouvernementaux et de fournisseurs de services managés, en extrayant des fichiers de configuration contenant des identifiants de comptes de service et des données de topologie réseau.
Selon SentinelOne, les attaquants exploitent des vulnérabilités récemment divulguées — CVE-2025-59718, CVE-2025-59719 et CVE-2026-24858 — ou des identifiants faibles pour compromettre les appliances FortiGate. Comme ces appareils se connectent souvent à Active Directory et LDAP pour l'application de politiques basées sur les rôles, une appliance compromise donne aux attaquants les clés de toute l'infrastructure d'authentification.
Dans un incident documenté, les attaquants ont créé un compte administrateur local malveillant nommé « support », configuré quatre politiques de pare-feu permissives, puis déchiffré le fichier de configuration pour extraire les identifiants de compte de service LDAP en clair. Ils ont ensuite inscrit des postes de travail malveillants dans Active Directory avant d'être détectés.
Actions requises : Mettre à jour les appliances FortiGate vers le dernier firmware immédiatement. Renouveler tous les identifiants de comptes de service connectés à FortiGate. Activer la MFA sur toutes les interfaces d'administration. Surveiller la création de comptes non autorisés et les modifications de politiques de pare-feu.
2. Le botnet KadNap détourne plus de 14 000 routeurs ASUS
🚨 CRITIQUE — Plus de 14 000 appareils compromis, 60 % aux États-Unis
Un nouveau malware appelé KadNap a infecté plus de 14 000 appareils réseau périphériques — principalement des routeurs ASUS — pour alimenter un botnet proxy furtif. Plus de 60 % des victimes se trouvent aux États-Unis.
Découvert par Black Lotus Labs chez Lumen, KadNap utilise une version personnalisée du protocole Kademlia Distributed Hash Table (DHT) pour dissimuler son infrastructure de commande et contrôle au sein d'un réseau pair-à-pair, le rendant très résistant aux tentatives de démantèlement.
Les appareils compromis sont intégrés dans un service proxy appelé Doppelgänger (un rebranding du réseau proxy Faceless), qui vend des proxys résidentiels « 100 % anonymes » dans plus de 50 pays. Le malware cible les processeurs ARM et MIPS, établit la persistance via des tâches cron et ferme activement l'accès SSH sur le port 22 pour empêcher la remédiation.
| Détail | Information |
|---|---|
| Appareils infectés | Plus de 14 000 |
| Cible principale | Routeurs ASUS |
| Victimes aux É.-U. | 60 %+ |
| Protocole C2 | Kademlia DHT personnalisé (P2P) |
| Service proxy | Doppelgänger (rebranding de Faceless) |
| Actif depuis | Août 2025 |
Actions requises : Mettre à jour le firmware des routeurs ASUS immédiatement. Vérifier les tâches cron non autorisées et les processus inconnus. En cas de compromission, réinitialiser l'appareil en usine. Bloquer l'IP C2 connue 212.104.141.140.
3. Patch Tuesday de mars 2026 de Microsoft : 2 Zero-Days, 79 failles
⚠️ PATCHER MAINTENANT — 2 Zero-Days divulgués publiquement
Le Patch Tuesday de mars 2026 de Microsoft corrige 79 failles de sécurité, dont 2 vulnérabilités zero-day divulguées publiquement et 3 problèmes classés critiques. Deux bugs critiques d'exécution de code à distance affectent Microsoft Office et peuvent être déclenchés via le volet de prévisualisation.
Points clés de ce cycle de correctifs :
- Zero-Day SQL Server EoP : Un contrôle d'accès inadéquat accorde des privilèges SQLAdmin sur le réseau
- Zero-Day .NET DoS : Une lecture hors limites permet un déni de service non autorisé sur le réseau
- CVE-2026-26110 & CVE-2026-26113 : Bugs critiques RCE Office exploitables via le volet de prévisualisation
- CVE-2026-26144 : Faille de divulgation d'informations Excel pouvant exfiltrer des données via Microsoft Copilot — permettant un vol de données zero-click par le mode agent IA
La vulnérabilité liée à Copilot (CVE-2026-26144) est particulièrement notable — elle représente un nouveau vecteur d'attaque où les assistants IA peuvent être utilisés comme armes pour exfiltrer des données sans interaction utilisateur. C'est un signe avant-coureur de la surface d'attaque basée sur l'IA à laquelle les organisations sont désormais confrontées.
Actions requises : Déployer tous les correctifs de mars 2026 immédiatement. Prioriser les mises à jour Office en raison de l'exploitation du volet de prévisualisation. Examiner les autorisations de Copilot Agent et restreindre les capacités de sortie réseau.
4. Le tueur d'EDR BlackSanta cible les services RH
⚠️ CAMPAGNE ACTIVE — Acteur malveillant russophone
Une campagne sophistiquée en cours depuis plus d'un an délivre un nouveau tueur d'EDR baptisé BlackSanta aux services de ressources humaines via des e-mails de spear-phishing contenant des fichiers ISO malveillants déguisés en CV.
La chaîne d'attaque est hautement évasive : les fichiers ISO contiennent un raccourci Windows déguisé en PDF, un script PowerShell et une image cachant du code malveillant par stéganographie. Le code extrait utilise le DLL sideloading via un exécutable légitime SumatraPDF, effectue une détection approfondie de sandbox et VM, puis déploie BlackSanta.
BlackSanta désactive systématiquement la détection des endpoints en :
- Ajoutant des exclusions Microsoft Defender pour les fichiers
.dlset.sys - Réduisant la télémétrie et la soumission automatique d'échantillons au cloud Microsoft
- Supprimant les notifications Windows pour éviter d'alerter l'utilisateur
- Utilisant le process hollowing pour exécuter des payloads dans des processus légitimes
Actions requises : Alerter les équipes RH sur les attaques de phishing utilisant des CV. Bloquer les pièces jointes ISO au niveau de la passerelle e-mail. Surveiller les modifications non autorisées des exclusions Defender. Mettre en place un allowlisting d'applications.
5. Bypass d'authentification critique HPE AOS-CX
🚨 CRITIQUE — Réinitialisation du mot de passe admin sans authentification
HPE a corrigé CVE-2026-23813, un bypass d'authentification critique dans le système d'exploitation Aruba Networking AOS-CX qui permet à des attaquants distants non authentifiés de réinitialiser les mots de passe administrateur sur les switches campus et datacenter de la série CX.
La vulnérabilité existe dans l'interface de gestion web et ne nécessite que des attaques de faible complexité pour être exploitée. Toute organisation utilisant des switches HPE AOS-CX avec des interfaces de gestion exposées est immédiatement à risque.
Mesures d'atténuation en cas de retard de patching :
- Isoler les interfaces de gestion dans un VLAN dédié
- Implémenter des contrôles d'accès stricts de couche 3+ pour le trafic de gestion
- Désactiver les interfaces HTTP(S) sur les SVI et ports routés non nécessaires
- Appliquer des ACL de plan de contrôle sur les endpoints de gestion REST/HTTP
6. APT28 déploie BEARDSHELL & COVENANT contre l'armée ukrainienne
Le groupe russe APT28 (Fancy Bear / Unité GRU 26165) poursuit sa campagne de cyberespionnage contre l'Ukraine, déployant deux implants — BEARDSHELL et COVENANT — pour la surveillance à long terme du personnel militaire ukrainien depuis avril 2024.
ESET rapporte que l'arsenal comprend également SLIMAGENT, capable d'enregistrement de frappes, de capture d'écran et de collecte de données du presse-papiers. La campagne souligne la dimension cyber continue du conflit russo-ukrainien et le ciblage persistant des communications militaires.
7. La technique Zombie ZIP contourne les outils de sécurité
Une nouvelle technique baptisée « Zombie ZIP » permet aux attaquants de dissimuler des payloads malveillants dans des fichiers compressés spécialement conçus qui contournent la détection antivirus et EDR. La technique exploite les différences dans la façon dont les outils de sécurité et les logiciels d'archivage légitimes analysent les fichiers ZIP, créant des angles morts que les malwares peuvent exploiter.
Actions requises : S'assurer que les outils de sécurité peuvent inspecter les formats d'archives imbriqués et malformés. Envisager le sandboxing de toutes les pièces jointes compressées avant leur livraison aux utilisateurs finaux.
8. CISA : Faille Ivanti EPM activement exploitée
La CISA a ajouté une vulnérabilité récemment corrigée de Ivanti Endpoint Manager (EPM) à son catalogue de vulnérabilités exploitées connues (KEV) après avoir confirmé une exploitation active dans la nature. Les organisations utilisant Ivanti EPM doivent prioriser le patching immédiatement.
Le schéma de vulnérabilités Ivanti rapidement transformées en armes se poursuit — c'est la dernière d'une longue série de failles critiques Ivanti qui passent de la divulgation à l'exploitation en quelques jours.
9. Le malware Android BeatBanker se fait passer pour l'application Starlink
Un nouveau cheval de Troie bancaire Android appelé BeatBanker est distribué via de faux sites web Google Play Store, se faisant passer pour une application Starlink. Une fois installé, le malware détourne les appareils pour intercepter les identifiants bancaires et les transactions financières.
Actions requises : N'installer des applications que depuis le Google Play Store officiel. Activer Google Play Protect. Sensibiliser les utilisateurs aux faux magasins d'applications.
10. Support des Passkeys Microsoft Entra pour Windows
Note positive, Microsoft déploie le support des passkeys pour Microsoft Entra sur les appareils Windows, permettant une authentification sans mot de passe résistante au phishing via Windows Hello. C'est une étape significative vers l'élimination des attaques basées sur les mots de passe — les organisations devraient commencer à planifier le déploiement des passkeys Entra.
Autres titres
| Article | Impact |
|---|---|
| Le groupe nord-coréen UNC4899 compromet une société crypto | Fichier AirDrop trojanisé + techniques living-off-the-cloud volent des millions en cryptomonnaie |
| Windows 10 KB5078885 ESU publié | Mise à jour de sécurité étendue pour Windows 10 corrigeant les vulnérabilités du Patch Tuesday de mars, y compris 2 zero-days |
| Un paquet npm malveillant imite OpenClaw | Le paquet déploie un RAT et vole les identifiants macOS, les clés SSH, les portefeuilles crypto et l'historique iMessage |
Comment KENSAI vous protège
✅ Surveillance des appareils périphériques — Détection des appareils FortiGate, ASUS et HPE compromis avant que les attaquants ne pivotent plus profondément
✅ Intelligence de patching — Suivi priorisé des CVE pour Microsoft, Ivanti et l'infrastructure réseau dans les heures suivant la divulgation
✅ Vérifications d'intégrité EDR — Identification de la manipulation de type BlackSanta des configurations de sécurité des endpoints
✅ Posture de sécurité IA — Surveillance des autorisations de Copilot et des agents IA pour prévenir les vecteurs d'exfiltration de données comme CVE-2026-26144
Actions recommandées
- Immédiat : Patcher FortiGate au dernier firmware. Déployer les correctifs Microsoft de mars 2026. Mettre à jour les switches HPE AOS-CX.
- Aujourd'hui : Vérifier les routeurs ASUS pour les indicateurs KadNap. Renouveler tous les identifiants de comptes de service connectés à FortiGate. Examiner les paramètres de sortie réseau de Copilot Agent.
- Cette semaine : Bloquer les pièces jointes ISO aux passerelles e-mail. Auditer les déploiements Ivanti EPM. Planifier le déploiement des passkeys Entra.
- En continu : Surveiller les schémas de manipulation d'EDR. Informer les équipes RH sur le phishing par CV. Implémenter le zero-trust pour la gestion des appliances réseau.
Protégez votre organisation avec KENSAI
Scan de vulnérabilités alimenté par l'IA et surveillance de sécurité continue. Lancez votre scan gratuit aujourd'hui.
Lancer le scan gratuit →Restez en sécurité. Restez vigilant.
🗡️ Équipe de sécurité KENSAI
🛡️ Votre site est-il sécurisé ?
Découvrez les vulnérabilités avant les attaquants.
Scannez votre site gratuitement →