← Retour au Blog
Briefing Sécurité 8 min de lecture 10 mars 2026

Phishing Teams déploie A0Backdoor, campagne de détournement Signal, Salesforce Aura sous attaque

Des hackers déploient le nouveau malware A0Backdoor via des campagnes de phishing Microsoft Teams ciblant les secteurs financier et de la santé. Des acteurs liés au GRU russe détournent les comptes Signal et WhatsApp de responsables gouvernementaux. ShinyHunters exploite activement une vulnérabilité Salesforce Aura. Cisco SD-WAN CVE-2026-20127 est massivement exploité.


1. Le phishing Microsoft Teams déploie le malware A0Backdoor

🚨 CRITIQUE — Campagne active ciblant la finance et la santé

Des acteurs malveillants utilisent des messages Microsoft Teams pour cibler les employés des secteurs financier et de la santé. Après avoir initié le contact via Teams, les attaquants convainquent les victimes d'accorder un accès distant via Quick Assist, un outil de support à distance Windows légitime. Une fois connectés, ils déploient une porte dérobée inédite appelée A0Backdoor.

Actions requises : Restreindre Quick Assist via les stratégies de groupe. Sensibiliser les employés aux demandes de support Teams non sollicitées. Surveiller les activités inhabituelles des outils d'accès distant.


2. Google : les attaques cloud exploitent les failles plus que les identifiants faibles

Le dernier rapport de Google révèle que les hackers exploitent de plus en plus les vulnérabilités nouvellement divulguées dans les logiciels tiers plutôt que de s'appuyer sur des identifiants faibles ou volés. Le délai entre la divulgation et l'exploitation active est passé de semaines à quelques jours, voire quelques heures.

MétriqueAvantActuel
Délai moyen d'exploitation2–4 semaines1–3 jours
Vecteur d'accès initial principalIdentifiants volésExploitation de vulnérabilités
Implication de logiciels tiersModéréeCible principale

3. Des hackers du GRU russe détournent les comptes Signal et WhatsApp

🚨 ÉTAT-NATION — Alerte du gouvernement néerlandais

Le gouvernement néerlandais a émis un avertissement formel concernant une campagne de phishing en cours parrainée par l'État russe liée au GRU. La campagne cible les responsables gouvernementaux, le personnel militaire et les journalistes.

Actions requises : Vérifier les appareils liés dans les paramètres Signal et WhatsApp. Activer le verrouillage d'enregistrement sur Signal. Informer le personnel sensible de cette menace spécifique.


4. Violation de données Ericsson US

La filiale américaine d'Ericsson a divulgué une violation de données résultant de la compromission d'un prestataire de services tiers. Des données d'employés et de clients ont été volées.


5. ShinyHunters exploite la vulnérabilité Salesforce Aura

⚠️ EXPLOITATION ACTIVE — Salesforce Experience Cloud

Le groupe d'extorsion ShinyHunters exploite activement un nouveau bug dans Salesforce Experience Cloud (framework Aura) pour voler des données d'instances mal configurées.

Actions requises : Auditer immédiatement les configurations Salesforce Experience Cloud. Vérifier les permissions des utilisateurs invités.


6. Un paquet npm malveillant se fait passer pour OpenClaw

Un paquet npm malveillant nommé @openclaw-ai/openclawai a été découvert. Il déploie un cheval de Troie d'accès distant (RAT) et vole des données sensibles sur macOS : identifiants système, cookies de navigateur, portefeuilles crypto, clés SSH et historique iMessage. 178 téléchargements avant détection.


7. UNC4899 nord-coréen compromet une entreprise crypto

Mandiant attribue la compromission d'une entreprise crypto à UNC4899 (TraderTraitor), un groupe nord-coréen. Les attaquants ont utilisé un fichier AirDrop piégé, puis se sont déplacés vers l'infrastructure cloud avec des techniques de living-off-the-cloud.


8. Des extensions Chrome deviennent malveillantes après un transfert de propriété

Deux extensions Chrome sont devenues malveillantes après leur transfert à de nouveaux développeurs, permettant l'injection de code et le vol de données.


9. Cisco Catalyst SD-WAN CVE-2026-20127 massivement exploité

🚨 CVE CRITIQUE — Exploitation massive active

Une vulnérabilité critique dans Cisco Catalyst SD-WAN (CVE-2026-20127) est désormais massivement exploitée. Appliquez les correctifs immédiatement.


10. L'attaque ClickFix utilise Windows Terminal

La technique ClickFix a évolué : des fausses pages CAPTCHA demandent aux victimes de coller des commandes malveillantes dans Windows Terminal au lieu de la boîte de dialogue Exécuter.


11. Autres actualités

ActualitéImpact
FBI enquête sur une intrusion dans un système de surveillanceLe FBI examine une activité cyber suspecte sur un système contenant des informations de surveillance sensibles
CISA ajoute des failles iOS au KEVLe kit d'exploitation Coruna cible 23 vulnérabilités d'iOS 13 à 17.2.1
Mise à jour de la cyberstratégie américaineNouvelle stratégie ciblant les adversaires, les infrastructures critiques et la cryptographie post-quantique

Comment KENSAI vous protège

Surveillance CVE en temps réel — CVE-2026-20127 et toutes les vulnérabilités critiques suivies en quelques heures

Analyse de la chaîne d'approvisionnement — Détection des paquets malveillants

Audit de configuration cloud — Identifier les mauvaises configurations Salesforce

Gestion continue de la surface d'attaque — Surveillez votre exposition sur tous les vecteurs

Protégez votre organisation avec KENSAI

Scan de vulnérabilités alimenté par l'IA et surveillance de sécurité continue.

Lancer un scan gratuit →

Restez en sécurité. Restez vigilants.

🗡️ KENSAI Security Team