← Retour au blog
Security Briefing4 min de lecture2026-04-27

Security Briefing, 27 avril 2026 : malware Snow via Teams, intrusion réseau utilitaire chez Itron, FakeWallet sur l’App Store et l’alerte LMDeploy en 13 heures

Le schéma de ce matin est laid et cohérent : canaux de support de confiance, infrastructure de confiance, App Store de confiance et outils IA de confiance deviennent tous des voies d’attaque à grande vitesse.


À retenir : Quatre sujets comptent avant même la fin du standup de nombreuses équipes : ingénierie sociale via chat avec conséquences de niveau domaine, intrusion dans un réseau interne du secteur utilitaire, vol de portefeuilles via l’App Store et faille d’IA exploitée en moins d’une demi-journée.


1. Le malware Snow transforme la confiance accordée au helpdesk Microsoft Teams en chemin vers la compromission du domaine

Selon Google Mandiant, UNC6692 combine email bombing et faux support helpdesk dans Microsoft Teams pour pousser les victimes à installer un faux correctif anti-spam. Ce correctif dépose la boîte à outils Snow : SnowBelt pour la persistance navigateur, SnowGlaze pour le tunneling et SnowBasin pour l’exécution de commandes. Les opérateurs vident ensuite LSASS, se déplacent latéralement et exfiltrent des éléments Active Directory. Ce n’est plus du phishing ordinaire, mais une exploitation de la confiance du support pour obtenir un accès réseau profond.


2. La brèche IT interne d’Itron est un avertissement pour les infrastructures critiques, même sans impact client confirmé

Itron a déclaré un accès non autorisé à certains systèmes internes et affirme avoir bloqué l’activité, lancé une enquête et ne constater pour l’instant aucune perturbation opérationnelle majeure. C’est rassurant, mais insuffisant. Itron est profondément intégré aux technologies utilitaires pour l’énergie et l’eau. Lorsqu’un fournisseur aussi imbriqué signale une compromission interne, les opérateurs doivent y voir une alerte sur la segmentation, l’accès fournisseurs et la préparation à l’incident.


3. FakeWallet sur l’App Store d’Apple montre que la distribution mobile de confiance reste un canal de vol actif

Des chercheurs ont trouvé 26 applications FakeWallet sur l’App Store d’Apple visant les phrases de récupération et les clés privées, y compris des imitations de grands portefeuilles. Dans certains cas, les applications redirigeaient les utilisateurs vers des parcours d’installation de portefeuilles trojanisés, avec une disponibilité signalée sur l’App Store chinois. La leçon dépasse la crypto : même un store de confiance peut devenir un canal de livraison pour le vol d’identifiants et d’actifs quand l’imitation de marque et la confiance mobile suffisent.


4. Surveillance : LMDeploy prouve que la fenêtre d’exploitation de l’IA s’effondre

LMDeploy CVE-2026-33626, une faille SSRF dans une pile open source de service LLM, aurait été exploitée en 12 heures et 31 minutes après sa publication. Cela devrait inquiéter toute équipe qui traite l’infrastructure IA comme un simple logiciel interne. Les advisories sont désormais si proches du prompt d’exploitation que la latence de patch devient elle-même l’exposition.


Ce que les équipes sécurité doivent faire aujourd’hui

  1. Revalidez chaque workflow de support basé sur Teams et imposez une confirmation hors canal pour toute demande helpdesk urgente.
  2. Réexaminez les hypothèses de segmentation des infrastructures critiques et des réseaux internes, surtout autour des fournisseurs et de l’administration distante.
  3. Diffusez immédiatement des règles d’hygiène pour portefeuilles mobiles et bloquez les schémas d’installation risqués quand la gestion des terminaux le permet.
  4. Patchez rapidement les composants de service IA et bloquez par défaut l’accès aux métadonnées, au loopback et aux sorties réseau inutiles depuis l’infrastructure des modèles.

Sources


Conclusion : Le schéma de ce matin est laid et cohérent : canaux de support de confiance, infrastructure de confiance, App Store de confiance et outils IA de confiance deviennent tous des voies d’attaque à grande vitesse.

Trouvez les ruptures de confiance avant qu’elles ne deviennent des incidents

KENSAI aide les équipes à révéler les chemins d’attaque exposés à travers les workflows d’identité, l’infrastructure interne, les chaînes logicielles mobiles et les piles de service IA avant que les attaquants ne transforment la confiance en accès.

Scan gratuit →

Restez vigilants.

🗡️ KENSAI Security Team