Le schéma de ce matin est laid et cohérent : canaux de support de confiance, infrastructure de confiance, App Store de confiance et outils IA de confiance deviennent tous des voies d’attaque à grande vitesse.
À retenir : Quatre sujets comptent avant même la fin du standup de nombreuses équipes : ingénierie sociale via chat avec conséquences de niveau domaine, intrusion dans un réseau interne du secteur utilitaire, vol de portefeuilles via l’App Store et faille d’IA exploitée en moins d’une demi-journée.
Selon Google Mandiant, UNC6692 combine email bombing et faux support helpdesk dans Microsoft Teams pour pousser les victimes à installer un faux correctif anti-spam. Ce correctif dépose la boîte à outils Snow : SnowBelt pour la persistance navigateur, SnowGlaze pour le tunneling et SnowBasin pour l’exécution de commandes. Les opérateurs vident ensuite LSASS, se déplacent latéralement et exfiltrent des éléments Active Directory. Ce n’est plus du phishing ordinaire, mais une exploitation de la confiance du support pour obtenir un accès réseau profond.
Itron a déclaré un accès non autorisé à certains systèmes internes et affirme avoir bloqué l’activité, lancé une enquête et ne constater pour l’instant aucune perturbation opérationnelle majeure. C’est rassurant, mais insuffisant. Itron est profondément intégré aux technologies utilitaires pour l’énergie et l’eau. Lorsqu’un fournisseur aussi imbriqué signale une compromission interne, les opérateurs doivent y voir une alerte sur la segmentation, l’accès fournisseurs et la préparation à l’incident.
Des chercheurs ont trouvé 26 applications FakeWallet sur l’App Store d’Apple visant les phrases de récupération et les clés privées, y compris des imitations de grands portefeuilles. Dans certains cas, les applications redirigeaient les utilisateurs vers des parcours d’installation de portefeuilles trojanisés, avec une disponibilité signalée sur l’App Store chinois. La leçon dépasse la crypto : même un store de confiance peut devenir un canal de livraison pour le vol d’identifiants et d’actifs quand l’imitation de marque et la confiance mobile suffisent.
LMDeploy CVE-2026-33626, une faille SSRF dans une pile open source de service LLM, aurait été exploitée en 12 heures et 31 minutes après sa publication. Cela devrait inquiéter toute équipe qui traite l’infrastructure IA comme un simple logiciel interne. Les advisories sont désormais si proches du prompt d’exploitation que la latence de patch devient elle-même l’exposition.
Conclusion : Le schéma de ce matin est laid et cohérent : canaux de support de confiance, infrastructure de confiance, App Store de confiance et outils IA de confiance deviennent tous des voies d’attaque à grande vitesse.
KENSAI aide les équipes à révéler les chemins d’attaque exposés à travers les workflows d’identité, l’infrastructure interne, les chaînes logicielles mobiles et les piles de service IA avant que les attaquants ne transforment la confiance en accès.
Scan gratuit →Restez vigilants.
🗡️ KENSAI Security Team