剣 KENSAI
← Back to archive

🛡️ Bulletin Quotidien de Renseignement Sécurité

Mercredi 11 mars 2026 · 04:00 CET · Généré automatiquement par KENSAI
Paysage des menaces sur 24 heures
2
Zero-Days corrigés
162+
Vulns corrigées (MS+Adobe+SAP)
14K
Appareils dans le botnet KadNap
376 M$
Nouveau financement sécurité

⚡ Résumé — Ce qui compte aujourd'hui

  • Microsoft Patch Tuesday : 79-83 vulnérabilités corrigées dont 2 zero-days — appliquez les correctifs immédiatement
  • Campagne FortiGate : Des acteurs malveillants exploitent les NGFW FortiGate pour voler des identifiants AD/LDAP dans les secteurs de la santé et du gouvernement
  • Botnet KadNap : Plus de 14 000 routeurs ASUS compromis dans un réseau proxy furtif utilisant un DHT Kademlia personnalisé
  • APT28 (Fancy Bear) : Nouveaux implants BEARDSHELL et COVENANT pour la surveillance à long terme du personnel militaire ukrainien
  • Ivanti EPM activement exploité : CISA l'ajoute au KEV aux côtés des failles SolarWinds et Workspace One
  • Salesforce Experience Cloud : Campagne de scan massif ciblant les permissions mal configurées des utilisateurs invités
  • Violation de données Ericsson : Des milliers de personnes affectées via la compromission d'un fournisseur tiers

🔴 Vulnérabilités critiques & Patch Tuesday

Microsoft · Patch Tuesday

Microsoft Mars 2026 Patch Tuesday — 2 Zero-Days, 79 failles

Microsoft a publié des correctifs pour 79 vulnérabilités dont 2 vulnérabilités zero-day divulguées publiquement. La mise à jour corrige également un problème empêchant certains appareils de s'éteindre. Les mises à jour cumulatives Windows 10 Extended Security Update KB5078885 et Windows 11 KB5079473/KB5078883 sont disponibles.

Zero-Day Correctif urgent Windows 10/11
Adobe

Adobe corrige 80 vulnérabilités dans 8 produits

Adobe a déployé des correctifs pour 80 vulnérabilités dans Commerce, Illustrator, Acrobat Reader, Premiere Pro et 4 autres produits. Plusieurs failles critiques d'exécution de code sont incluses.

Élevé Acrobat Commerce
SAP

SAP corrige des vulnérabilités critiques FS-QUO et NetWeaver

Un bug d'injection de code dans FS-QUO et une faille de désérialisation non sécurisée dans NetWeaver pourraient permettre l'exécution de code arbitraire sur les systèmes SAP d'entreprise. Priorité de correctif : critique.

Critique RCE Entreprise
HPE

HPE — Faille critique AOS-CX — Réinitialisation du mot de passe admin

Hewlett Packard Enterprise a corrigé plusieurs vulnérabilités dans le système d'exploitation Aruba Networking AOS-CX, incluant des failles de contournement d'authentification permettant la réinitialisation des mots de passe administrateur et des problèmes d'exécution de code.

Critique Contournement d'auth Infrastructure réseau
CISA · Mise à jour KEV

CISA signale Ivanti EPM, SolarWinds & Workspace One comme activement exploités

Trois vulnérabilités ajoutées au catalogue des vulnérabilités exploitées connues de CISA : contournement d'authentification Ivanti Endpoint Manager de haute sévérité, faille SolarWinds et CVE-2021-22054 (SSRF dans VMware/Omnissa Workspace One UEM, CVSS 7.5). Toutes confirmées exploitées dans la nature.

Activement exploité KEV Ivanti
Google · Tenable Research

« LeakyLooker » — 9 failles inter-locataires dans Google Looker Studio

Tenable a divulgué 9 vulnérabilités inter-locataires dans Google Looker Studio qui auraient pu permettre aux attaquants d'exécuter des requêtes SQL arbitraires sur les bases de données des victimes et d'exfiltrer des données sensibles dans les environnements Google Cloud. Aucune preuve d'exploitation dans la nature.

Élevé Cloud Inter-locataires

🟠 Menaces actives & Campagnes

SentinelOne

Campagne FortiGate NGFW — Vol d'identifiants dans la santé et le gouvernement

Des acteurs malveillants exploitent les pare-feux nouvelle génération FortiGate comme points d'entrée pour compromettre des réseaux. La campagne extrait des fichiers de configuration contenant des identifiants de comptes de service AD/LDAP et la topologie réseau. Les cibles incluent la santé, le gouvernement et les fournisseurs de services managés.

Critique Santé Gouvernement Vol d'identifiants
APT28 / Fancy Bear · ESET

Le groupe russe APT28 déploie BEARDSHELL + COVENANT contre l'armée ukrainienne

L'APT28 affilié au GRU a été observé utilisant de nouveaux implants BEARDSHELL et COVENANT pour la surveillance à long terme du personnel militaire ukrainien depuis avril 2024. Déploie également SLIMAGENT (keylogger, capture d'écran, vol de presse-papiers). La campagne démontre l'escalade continue des opérations de cyber-espionnage russes.

État-nation Espionnage Russie
Lumen Black Lotus Labs

Botnet KadNap — Plus de 14 000 routeurs ASUS compromis

Le nouveau malware KadNap cible les routeurs ASUS et les appareils de périphérie, construisant un botnet de plus de 14 000 nœuds pour le proxy de trafic malveillant. Utilise un protocole DHT Kademlia personnalisé pour dissimuler l'infrastructure C2. Plus de 60 % des victimes sont aux États-Unis, avec une propagation mondiale à Taiwan, Hong Kong, Royaume-Uni, Australie, Brésil, France, Italie et Espagne. Actif depuis août 2025.

Élevé Botnet IoT 14K appareils
Salesforce

Campagne de scan massif Salesforce Experience Cloud

Des acteurs malveillants scannent massivement les sites Salesforce Experience Cloud avec un outil AuraInspector modifié. Exploitation des configurations d'utilisateurs invités trop permissives pour accéder aux données sensibles. Des centaines de clients seraient ciblés.

Élevé SaaS Mauvaise configuration
Corée du Nord · UNC4899

Des acteurs nord-coréens compromettent une entreprise crypto via un fichier AirDrop trojanisé

UNC4899 (Jade Sleet / TraderTraitor) a compromis une organisation de cryptomonnaie via ingénierie sociale + transfert de fichier AirDrop trojanisé. Pivot vers le cloud utilisant des techniques Living-off-the-Cloud (LOTC), abus de workflows DevOps pour récolter des identifiants, s'échapper de conteneurs et altérer des bases de données Cloud SQL pour le vol de crypto.

APT Crypto Chaîne d'approvisionnement

🟡 Nouveaux malwares & Techniques d'évasion

BleepingComputer

« BlackSanta » — Tueur d'EDR ciblant les services RH

Un acteur malveillant russophone cible les services des ressources humaines depuis plus d'un an avec un malware délivrant BlackSanta, un nouveau tueur d'EDR (Endpoint Detection & Response). La campagne utilise de l'ingénierie sociale adaptée aux workflows RH.

Élevé Contournement EDR Ciblage RH
BleepingComputer

« BeatBanker » — Malware Android se faisant passer pour l'app Starlink

Le nouveau malware Android BeatBanker se déguise en application Starlink sur de faux sites web Google Play Store. Capable de prise de contrôle complète de l'appareil une fois installé.

Moyen Android Trojan bancaire
BleepingComputer

« Zombie ZIP » — Nouvelle technique contournant les scanners de sécurité

Une nouvelle technique d'évasion baptisée « Zombie ZIP » dissimule des charges utiles malveillantes dans des fichiers compressés spécialement conçus pour contourner la détection antivirus et EDR. Exploite les incohérences dans l'analyse des archives ZIP par les outils de sécurité.

Évasion Technique inédite
Picus Security · Red Report 2026

Évasion de sandbox basée sur la géométrie — « Le nouveau test de Turing »

Le Picus Red Report 2026 révèle que 80 % des techniques d'attaque principales se concentrent sur l'évasion et la persistance. Les malwares utilisent de plus en plus des tests de mouvement de curseur basés sur la géométrie et des vérifications de timing CPU pour détecter les environnements sandbox et prouver leur « humanité » avant d'exécuter les charges utiles.

Recherche Évasion de sandbox
The Hacker News · JFrog

Package npm malveillant « GhostClaw » ciblant les développeurs macOS

Un package npm malveillant (@openclaw-ai/openclawai) déployant un RAT qui vole les identifiants, données de navigateur, portefeuilles crypto, clés SSH, Apple Keychain et historique iMessage. Inclut un C2 persistant, proxy SOCKS5 et clonage de sessions navigateur en direct. 178 téléchargements depuis le 3 mars.

Élevé Chaîne d'approvisionnement npm macOS

🔵 Violations de données

SecurityWeek

Violation de données Ericsson — Des milliers de personnes affectées

Le géant des télécommunications Ericsson a confirmé une violation de données affectant des milliers de personnes. L'entreprise a attribué l'incident à une compromission d'un fournisseur tiers. L'étendue des données exposées n'est pas encore entièrement divulguée.

Télécommunications Risque tiers

🟢 Sorties d'outils de sécurité & Financement de l'industrie

SecurityWeek

Armadin de Kevin Mandia se lance avec 190 M$ de financement

L'ancien PDG de Mandiant, Kevin Mandia, lance Armadin, une plateforme de red teaming alimentée par l'IA qui trouve et exploite automatiquement les faiblesses. Soutenue par 190 M$ de financement. Nouveau concurrent majeur dans la sécurité offensive automatisée.

Startup 190 M$ Red Teaming
SecurityWeek

Kai — 125 M$ pour une plateforme IA pont entre sécurité IT et OT

Fondée par un co-fondateur de Claroty, Kai sort du mode furtif avec 125 M$ de financement d'Evolution Equity Partners et N47. Focus : convergence alimentée par l'IA de la sécurité IT et OT (technologie opérationnelle).

Startup 125 M$ IT/OT
SecurityWeek

Jazz — 61 M$ pour la prévention des pertes de données par IA

Jazz sort du mode furtif avec 61 M$ de financement pour du DLP (Data Loss Prevention) alimenté par l'IA. Promet une visibilité sur l'intention, le contexte et le risque au-delà des outils DLP traditionnels.

Startup 61 M$ DLP
SecurityWeek

Escape lève 18 M$ pour automatiser le pentesting

Escape sécurise 18 M$ pour approfondir les capacités d'agents IA pour le test de pénétration automatisé et développer les équipes d'ingénierie et de mise sur le marché.

Startup 18 M$ Pentesting
SecurityWeek · OpenAI

OpenAI lance le scanner de vulnérabilités Codex Security

OpenAI lance Codex Security (anciennement Aardvark), un scanner de vulnérabilités alimenté par l'IA qui a trouvé des centaines de vulnérabilités critiques dans les logiciels testés le mois dernier.

Sécurité IA Scanner de vulnérabilités
Microsoft

Microsoft Entra Passkeys — Connexion Windows résistante au phishing

Microsoft déploie la prise en charge des passkeys pour Entra sous Windows, permettant une authentification sans mot de passe résistante au phishing via Windows Hello. Étape majeure vers l'élimination des attaques basées sur les mots de passe.

Identité Passkeys Défense anti-phishing

📊 Tendances émergentes des menaces

Tendances clés observées ce cycle

L'analyse des dernières 24 heures révèle plusieurs tendances convergentes :

1. Exploitation des appareils de périphérie à grande échelle — KadNap (14K routeurs), campagne FortiGate et exploitation Ivanti EPM ciblent tous l'infrastructure de périphérie réseau. Les attaquants préfèrent de plus en plus compromettre les appareils censés protéger les réseaux.

2. Course aux armements EDR/Sandbox — Le tueur d'EDR BlackSanta, l'évasion par archive Zombie ZIP et la détection de sandbox géométrique montrent des investissements massifs des attaquants dans le contournement de la sécurité des endpoints.

3. Empoisonnement continu de la chaîne d'approvisionnement — Packages npm malveillants (GhostClaw), fichiers AirDrop trojanisés (UNC4899) et outils open-source modifiés (AuraInspector) démontrent la persistance des vecteurs d'attaque par la chaîne d'approvisionnement.

4. Cycle de correctifs massif des éditeurs — Microsoft (79), Adobe (80), SAP (critique), HPE (critique) = 162+ vulnérabilités en une seule journée. La gestion des correctifs reste le fardeau opérationnel n°1 des équipes de sécurité.

5. Afflux d'investissements en sécurité IA — 376 M$ de nouveaux financements pour 4 startups (Armadin, Kai, Jazz, Escape) plus l'entrée d'OpenAI dans le scan de vulnérabilités. Le marché de la sécurité IA s'accélère rapidement.