← Retour au blog
Security Briefing4 min de lecture2026-04-26

Security Briefing, 26 avril 2026 : malware Snow livré via Teams, violation ADT liée à ShinyHunters et fenêtre d’exploitation LMDeploy de 13 heures

Le motif du jour est brutal : les attaquants abusent du chat de confiance, de l’identité SaaS de confiance et de l’infrastructure AI de confiance plus vite que la plupart des équipes ne peuvent corriger ou vérifier.


En bref : Trois sujets exigent une attention immédiate ce matin : une chaîne d’ingénierie sociale via Microsoft Teams menant à une compromission de domaine, une vraie intrusion vishing-vers-SaaS chez ADT, et une faille SSRF dans une pile AI testée en moins d’une demi-journée.


1. UNC6692 transforme la confiance helpdesk dans Microsoft Teams en chaîne complète de malware Snow

Selon Google Mandiant, UNC6692 utilise du email bombing et de l’usurpation sur Microsoft Teams pour pousser des employés à installer un faux correctif anti-spam. La victime lance en réalité l’arsenal Snow : l’extension navigateur SnowBelt, le tunnelier SnowGlaze et la porte dérobée Python SnowBasin. Les opérateurs vident ensuite LSASS, se déplacent latéralement, atteignent les contrôleurs de domaine et exfiltrent la matière Active Directory. Ce n’est pas juste un autre e-mail de phishing : c’est un chemin d’intrusion natif au chat maquillé en support interne.


2. ADT confirme une violation après qu’un compte employé adossé à Okta aurait été hameçonné par ShinyHunters

ADT affirme que des attaquants ont volé des données de clients et de prospects, notamment des noms, numéros de téléphone, adresses et, pour une partie plus réduite, des dates de naissance ainsi que les quatre derniers chiffres de SSN ou d’identifiants fiscaux. ShinyHunters a indiqué à BleepingComputer que l’intrusion a commencé par un appel de vishing visant un compte SSO Okta d’employé avant de s’étendre à Salesforce. Que chaque affirmation des attaquants soit exacte ou non, la leçon opérationnelle est nette : lorsqu’une identité SaaS de confiance tombe, tout l’écosystème métier connecté devient rayon de souffle.


3. LMDeploy montre que la fenêtre d’exploitation AI se contracte à quelques heures

La faille SSRF LMDeploy, CVE-2026-33626, aurait été exploitée dans les 12 heures et 31 minutes suivant sa divulgation. Les attaquants ont utilisé le chargeur d’images vision-language pour sonder les métadonnées AWS, Redis, MySQL, des surfaces d’administration locales et un point de rappel externe. C’est crucial parce que LMDeploy ressemble exactement au type de composant de service LLM que les équipes déploient vite et examinent trop peu. Quand l’avis donne la cause racine et le chemin de code touché, les attaquants n’attendent pas votre prochain sprint.


Ce que les équipes sécurité doivent faire aujourd’hui

  1. Verrouillez les workflows de support via Teams et revalidez tout événement récent d’assistance à distance.
  2. Lancez une revue d’incident d’identité SaaS si votre environnement dépend d’Okta, Salesforce ou de connecteurs à haute confiance similaires.
  3. Inventoriez les composants AI exposés ou joignables et corrigez LMDeploy avant la prochaine vague de scans.
  4. Profitez de cette matinée pour fermer des failles de confiance, pas seulement des tickets.

Sources


En clair : Le motif du jour est brutal : les attaquants abusent du chat de confiance, de l’identité SaaS de confiance et de l’infrastructure AI de confiance plus vite que la plupart des équipes ne peuvent corriger ou vérifier.

Repérez les ruptures de confiance avant qu’elles ne deviennent des incidents

KENSAI aide les équipes à révéler les chemins d’attaque exposés à travers les workflows d’identité, les plateformes SaaS, les outils de collaboration et l’infrastructure AI avant que des attaquants ne transforment la confiance métier ordinaire en accès de compromission.

Scan gratuit →

Restez affûtés.

🗡️ KENSAI Security Team