Le motif du jour est brutal : les attaquants abusent du chat de confiance, de l’identité SaaS de confiance et de l’infrastructure AI de confiance plus vite que la plupart des équipes ne peuvent corriger ou vérifier.
En bref : Trois sujets exigent une attention immédiate ce matin : une chaîne d’ingénierie sociale via Microsoft Teams menant à une compromission de domaine, une vraie intrusion vishing-vers-SaaS chez ADT, et une faille SSRF dans une pile AI testée en moins d’une demi-journée.
Selon Google Mandiant, UNC6692 utilise du email bombing et de l’usurpation sur Microsoft Teams pour pousser des employés à installer un faux correctif anti-spam. La victime lance en réalité l’arsenal Snow : l’extension navigateur SnowBelt, le tunnelier SnowGlaze et la porte dérobée Python SnowBasin. Les opérateurs vident ensuite LSASS, se déplacent latéralement, atteignent les contrôleurs de domaine et exfiltrent la matière Active Directory. Ce n’est pas juste un autre e-mail de phishing : c’est un chemin d’intrusion natif au chat maquillé en support interne.
ADT affirme que des attaquants ont volé des données de clients et de prospects, notamment des noms, numéros de téléphone, adresses et, pour une partie plus réduite, des dates de naissance ainsi que les quatre derniers chiffres de SSN ou d’identifiants fiscaux. ShinyHunters a indiqué à BleepingComputer que l’intrusion a commencé par un appel de vishing visant un compte SSO Okta d’employé avant de s’étendre à Salesforce. Que chaque affirmation des attaquants soit exacte ou non, la leçon opérationnelle est nette : lorsqu’une identité SaaS de confiance tombe, tout l’écosystème métier connecté devient rayon de souffle.
La faille SSRF LMDeploy, CVE-2026-33626, aurait été exploitée dans les 12 heures et 31 minutes suivant sa divulgation. Les attaquants ont utilisé le chargeur d’images vision-language pour sonder les métadonnées AWS, Redis, MySQL, des surfaces d’administration locales et un point de rappel externe. C’est crucial parce que LMDeploy ressemble exactement au type de composant de service LLM que les équipes déploient vite et examinent trop peu. Quand l’avis donne la cause racine et le chemin de code touché, les attaquants n’attendent pas votre prochain sprint.
En clair : Le motif du jour est brutal : les attaquants abusent du chat de confiance, de l’identité SaaS de confiance et de l’infrastructure AI de confiance plus vite que la plupart des équipes ne peuvent corriger ou vérifier.
KENSAI aide les équipes à révéler les chemins d’attaque exposés à travers les workflows d’identité, les plateformes SaaS, les outils de collaboration et l’infrastructure AI avant que des attaquants ne transforment la confiance métier ordinaire en accès de compromission.
Scan gratuit →Restez affûtés.
🗡️ KENSAI Security Team