KENSAI Security Intelligence
Bulletin quotidien des menaces
Dimanche 8 mars 2026 — 04:00 CET
3
Critiques
5
Fuites de données
13
Nouvelles CVE
2
Sorties d'outils
Fuites de données majeures
Le fournisseur informatique de santé TriZetto Provider Solutions (filiale de Cognizant) a divulgué une violation exposant des données de santé sensibles — y compris des dossiers médicaux, des informations d'assurance et des données personnelles — de 3,4 millions de patients. La violation affecte les assureurs et prestataires de santé utilisant la plateforme logicielle de TriZetto. Notification HIPAA en cours.
Le FBI a confirmé enquêter sur une compromission des systèmes utilisés pour gérer les mandats de surveillance et les opérations d'écoutes téléphoniques. Le Congrès a été notifié. L'étendue et l'attribution restent sous investigation, soulevant de sérieuses préoccupations de sécurité nationale concernant l'exposition des données des forces de l'ordre.
Transport for London (TfL) a divulgué qu'une violation de données affectant ses systèmes a impacté environ 10 millions d'enregistrements clients, y compris les données des cartes Oyster et les coordonnées personnelles.
Un ressortissant ghanéen a plaidé coupable pour son rôle dans un vaste réseau de fraude ayant dérobé plus de 100 millions de dollars à des victimes américaines via des attaques BEC (compromission d'e-mails professionnels) et des escroqueries sentimentales. L'opération a ciblé des entreprises et des particuliers pendant plusieurs années.
Le ressortissant russe Evgenii Ptitsyn, extradé de Corée du Sud en novembre 2024, a plaidé coupable devant un tribunal fédéral américain pour avoir exploité une infrastructure de rançongiciel ciblant des organisations américaines.
CVE critiques et vulnérabilités
CISA KEV : le kit d'exploitation Coruna cible iOS 13–17.2.1
La CISA a ordonné aux agences fédérales américaines de corriger trois vulnérabilités iOS activement exploitées par le kit d'exploitation Coruna — un arsenal de niveau étatique ciblant 23 vulnérabilités iOS d'iOS 13 à 17.2.1. Utilisé dans des attaques de cyberespionnage et de vol de cryptomonnaies.
Vulnérabilité ICS Rockwell — Exploitation active confirmée
Une vulnérabilité Rockwell Automation (divulguée et corrigée en 2021) permettant le piratage à distance de systèmes ICS est désormais confirmée comme activement exploitée. Les organisations utilisant des systèmes Rockwell non corrigés sont exposées à un risque immédiat pour leurs environnements de contrôle industriel.
OpenAI Codex Security — Nouvelles CVE découvertes dans des logiciels open source
Le scanner OpenAI Codex Security a identifié 792 résultats critiques et 10 561 de sévérité élevée sur 1,2 million de commits. Nouvelles CVE émises pour :
- CVE-2026-24881/82 GnuPG — failles d'implémentation cryptographique
- CVE-2025-32988/89 GnuTLS — vulnérabilités de la bibliothèque TLS
- CVE-2025-64175 GOGS — vulnérabilité du serveur d'hébergement Git
- CVE-2026-25242 GOGS — problème de sécurité supplémentaire
- CVE-2025-35430–36 Thorium — 7 vulnérabilités dans l'outil de détection de radiations de la CISA
Plus de 100 dépôts GitHub distribuent le voleur BoryptGrab
Plus de 100 dépôts GitHub malveillants ont été découverts distribuant le malware voleur BoryptGrab, ciblant les données de navigateurs, les identifiants de portefeuilles de cryptomonnaies, les informations système et les fichiers utilisateur. Se fait passer pour des projets open source légitimes.
Activité rançongiciels et APT
Le groupe de rançongiciel « Velvet Tempest » déploie le rançongiciel Termite via la technique d'ingénierie sociale ClickFix, utilisant des utilitaires Windows légitimes pour charger latéralement DonutLoader et la porte dérobée CastleRAT. Combine ingénierie sociale et LOLBins pour l'évasion des défenses.
L'APT iranien MuddyWater (Seedworm), affilié au MOIS, s'est infiltré dans des banques américaines, des aéroports, une organisation à but non lucratif canadienne et la branche israélienne d'une entreprise de logiciels de défense/aérospatiale. Nouvelle porte dérobée « Dindoor » déployée. L'activité s'est intensifiée suite aux frappes militaires américaines et israéliennes contre l'Iran.
L'APT Transparent Tribe, aligné sur le Pakistan, utilise des outils de programmation IA pour produire en masse des implants malveillants jetables en Nim, Zig et Crystal. Utilise Slack, Discord, Supabase et Google Sheets comme C2. Bitdefender qualifie cela d'« industrialisation du malware assistée par IA » — inondant les cibles de binaires polyglottes générés par IA (« vibeware ») pour submerger la détection.
Securonix a découvert une campagne multi-étapes utilisant des scripts batch obfusqués pour délivrer XWorm, AsyncRAT et Xeno RAT. Utilise un runtime Python embarqué et l'injection APC Early Bird dans explorer.exe — exécution entièrement en mémoire. La livraison par scripts imite l'activité utilisateur légitime.
Cisco Talos suit le groupe lié à la Chine UAT-9244 (associé à FamousSparrow, chevauchant Salt Typhoon) ciblant les infrastructures de télécommunications sud-américaines depuis 2024. Trois implants déployés : TernDoor, PeerTime et BruteEntry — ciblant Windows, Linux et les équipements périphériques.
Sorties d'outils de sécurité et industrie
OpenAI a lancé Codex Security en aperçu recherche — un scanner de sécurité agentique qui construit des modèles de menaces au niveau projet et valide les résultats dans des environnements sandboxés. A analysé 1,2 million de commits, identifié 10 561 problèmes de sévérité élevée avec une réduction de plus de 50 % des faux positifs par rapport aux itérations précédentes. Gratuit pendant 30 jours pour les utilisateurs ChatGPT Pro/Enterprise/Business. Pertinence KENSAI : Concurrent potentiel dans la détection de vulnérabilités par IA — mais opère au niveau du code, pas au niveau de l'infrastructure comme KENSAI.
Starkiller — Nouvelle plateforme de Phishing-as-a-Service (alerte menace)
La nouvelle plateforme PhaaS « Starkiller » utilise Chrome headless dans des conteneurs Docker pour proxifier dynamiquement les véritables pages de connexion (Apple, Google, Microsoft, etc.), capturant identifiants et jetons MFA en temps réel. Utilise l'astuce URL « @ » pour la tromperie visuelle (ex. : login.microsoft.com@malicious.ru). Analysé par Abnormal AI. Contourne la détection traditionnelle d'hameçonnage statique.
Levées de fonds : ArmorCode (16 M$) et Evervault (25 M$ Série B)
ArmorCode a levé 16 M$ pour sa plateforme de gestion de l'exposition. Evervault a levé 25 M$ en Série B (total 46 M$) pour le chiffrement orienté développeurs et l'orchestration de données. Les deux signalent un appétit continu des investisseurs pour l'outillage AppSec et la sécurité des données.
Tendances des menaces émergentes
L'armement de l'IA atteint une masse critique
Microsoft a averti que les pirates exploitent l'IA « à chaque étape des cyberattaques » — de la reconnaissance à la génération de charges utiles en passant par la post-exploitation. Combiné avec le « vibeware » de Transparent Tribe (malware produit en masse par IA) et les fausses attaques Claude Code InstallFix, nous observons trois tendances convergentes :
1. Malware généré par IA à grande échelle — des APT utilisant des outils IA pour produire des implants jetables en volume dans des langages exotiques
2. Usurpation d'outils IA — de faux guides d'installation pour Claude Code, Codex et d'autres CLI IA délivrant des voleurs d'informations
3. Défense propulsée par IA — OpenAI Codex Security entre sur le marché en tant qu'agent de sécurité IA
1. Malware généré par IA à grande échelle — des APT utilisant des outils IA pour produire des implants jetables en volume dans des langages exotiques
2. Usurpation d'outils IA — de faux guides d'installation pour Claude Code, Codex et d'autres CLI IA délivrant des voleurs d'informations
3. Défense propulsée par IA — OpenAI Codex Security entre sur le marché en tant qu'agent de sécurité IA
Google : la moitié des 90 zero-days de 2025 ciblaient les entreprises
L'analyse annuelle des zero-days de Google montre que 45 des 90 zero-days exploités en 2025 ciblaient des produits d'entreprise (pas les consommateurs). Les éditeurs de logiciels espions et les acteurs étatiques chinois dominent les attributions. Le virage vers le ciblage des entreprises continue de s'accélérer — les appliances réseau, les outils de sécurité et les plateformes collaboratives sont les cibles principales.
Refonte de la stratégie cyber américaine sous l'administration Trump
La nouvelle stratégie cyber américaine appelle à une dissuasion renforcée contre les adversaires cyber, la modernisation des réseaux fédéraux, des mandats de protection des infrastructures critiques et des investissements dans l'IA et la cryptographie post-quantique. Le nouveau RSSI du Pentagone James « Aaron » Bishop a été nommé, remplaçant David McKeown.
🎯 Actions prioritaires KENSAI
- Détection ClickFix/InstallFix : Le rançongiciel Termite et les faux guides d'installation de CLI IA utilisent tous deux des variantes ClickFix — mettre à jour les signatures de détection et publier un article sur cette tendance
- Veille concurrentielle : OpenAI Codex Security est désormais actif — différencier l'analyse au niveau infrastructure de KENSAI par rapport à l'approche au niveau code de Codex dans les supports marketing
- Angle NIS2 : La violation de données de santé TriZetto (3,4 M d'enregistrements) constitue une étude de cas idéale pour le contenu de conformité NIS2 dans le secteur de la santé
- ICS/OT : L'exploitation de Rockwell confirme que les systèmes ICS hérités non corrigés restent des cibles à haute valeur — pertinent pour les capacités d'analyse d'infrastructure de KENSAI
- Chaîne d'approvisionnement : Plus de 100 dépôts GitHub malveillants (BoryptGrab) renforcent le besoin d'analyse SBOM et des dépendances — opportunité de fonctionnalité pour KENSAI