Le motif laid de ce matin, c’est une confiance mise sous pression : panneaux d’hébergement, plateformes éducatives, apps de messagerie et protection endpoint sont devenus des leviers dès que le chemin familier a été confondu avec le chemin sûr.
À retenir : Patchez cPanel vite, traitez les données liées à Instructure comme potentiellement exposées, méfiez-vous des Mini Apps Telegram qui demandent des dépôts ou des APK, et vérifiez l’état des certificats Defender sur le parc Windows touché le 3 mai.
La CVE-2026-41940 dans cPanel et WHM est déjà exploitée à grande échelle. Selon BleepingComputer, au moins 44 000 IP cPanel ont été compromises dans des attaques en cours, puis rapidement converties en déploiements du rançongiciel Linux "Sorry", écrit en Go, qui ajoute .sorry aux fichiers chiffrés.
Instructure a confirmé que des données d’utilisateurs ont été volées dans l’attaque révélée vendredi. L’entreprise cite des noms, adresses e-mail, identifiants étudiants et messages entre utilisateurs des institutions concernées. Aucune preuve à ce stade pour les mots de passe, dates de naissance, identifiants gouvernementaux ou données financières, mais le rayon d’impact peut rester énorme si les affirmations de ShinyHunters sont même partiellement exactes.
Les chercheurs de CTM360 disent que l’opération FEMITBOT utilise bots Telegram et Mini Apps pour usurper des marques, afficher de faux soldes, pousser les victimes à déposer de l’argent et parfois distribuer des APK Android déguisés en applications légitimes. L’astuce marche car le phishing reste à l’intérieur de Telegram et paraît donc normal.
Une mise à jour de signatures Defender a marqué des certificats racine DigiCert légitimes comme Trojan:Win32/Cerdigent.A!dha et les a, sur certains systèmes, retirés du magasin de confiance Windows. Microsoft dit que le problème est corrigé à partir de la version 1.449.430.0 de Security Intelligence, mais ce type d’erreur défensive casse discrètement la chaîne de confiance pendant que les équipes chassent des fantômes.
En bref : Le point commun du jour est une confiance mal placée dans une infrastructure familière. Les attaquants l’exploitent via cPanel et Telegram, et les défenseurs ont trébuché dessus côté certificats. Les équipes qui vérifient leurs hypothèses le plus vite subiront le moins de dégâts.
KENSAI aide les équipes à cartographier les panneaux exposés, dépendances SaaS, surfaces de phishing et angles morts de chaîne de confiance avant qu’ils ne deviennent des incidents.
Lancer un scan gratuit →Restez affûtés.
🗡️ KENSAI Security Team