剣 KENSAI
← Back to archive

Veille quotidienne des menaces

2026-03-24 — Mardi — 04:00 CET
2 CVEs critiques Attaque Supply Chain Chaîne 0-Day iOS Activité étatique Phishing massif
3
Fuites de données
4
CVEs critiques
1
Ransomware
5
Étatiques

⛓️ Attaque Supply Chain — Scanner Trivy compromis

Le scanner de vulnérabilités Trivy compromis par une backdoor — Propagation via Docker & GitHub

Supply Chain Exploitation active

Le groupe de hackers TeamPCP a compromis le scanner de vulnérabilités open source Trivy, largement utilisé et développé par Aqua Security. Des versions malveillantes (0.69.4–0.69.6) ont été publiées sur Docker Hub, contenant un malware de type infostealer. L'attaque s'est étendue au-delà de Docker — TeamPCP a pris le contrôle de l'organisation GitHub d'Aqua Security pour altérer des dizaines de dépôts. La dernière version saine connue est la 0.69.3. Les images malveillantes ont été retirées, mais le rayon d'impact sur les environnements de développement reste considérable.

Pertinence KENSAI

C'est exactement le type de compromission supply chain que l'analyse SBOM et le scan de dépendances de KENSAI peuvent détecter. Si votre pipeline CI/CD a récupéré des images Trivy pendant la fenêtre de compromission, un audit immédiat est nécessaire. Les organisations utilisant la surveillance continue de KENSAI auraient été alertées des changements binaires inattendus.

Sources : BleepingComputer, The Hacker News, SecurityWeek — 23 mars

TeamPCP déploie un wiper Kubernetes ciblant l'Iran

Hacktivisme Wiper

Le même groupe TeamPCP derrière la compromission de Trivy cible également des clusters Kubernetes avec un wiper destructeur. Le script malveillant détecte si les systèmes sont configurés pour une infrastructure basée en Iran et efface toutes les machines si la condition est remplie. Cela représente une escalade significative, passant du vol de données à une capacité destructrice complète dans les environnements conteneurisés.

Source : BleepingComputer — 23 mars

🔴 Vulnérabilités critiques

CVE-2026-21992 — Oracle Identity Manager RCE (Correctif d'urgence)

CVE critique Possiblement exploitée

Oracle a publié un correctif d'urgence hors cycle pour CVE-2026-21992, une vulnérabilité critique dans Oracle Identity Manager. La faille permet une exécution de code à distance sans authentification et pourrait déjà avoir été exploitée en conditions réelles. Les organisations utilisant Oracle Identity Manager doivent appliquer le correctif immédiatement — il s'agit d'une RCE pre-auth sur un système de gestion des identités, ce qui en fait une cible de très haute valeur pour les attaquants.

Source : SecurityWeek — 23 mars

CVE-2025-32975 (CVSS 10.0) — Quest KACE SMA activement exploitée

CVSS 10.0 Exploitation active

Une vulnérabilité de sévérité maximale dans Quest KACE Systems Management Appliance est activement exploitée, ciblant particulièrement le secteur de l'éducation. Arctic Wolf a observé des activités d'exploitation à partir de la semaine du 9 mars sur des systèmes SMA non patchés exposés à Internet. Compte tenu du score CVSS de 10.0 et de l'exploitation confirmée, le déploiement immédiat du correctif s'impose.

Source : The Hacker News, SecurityWeek — 23 mars

Chaîne d'exploits iOS DarkSword — Ajout au catalogue CISA KEV

6 CVEs chaînées Exploitation active Étatique

CISA a ajouté trois vulnérabilités DarkSword (CVE-2025-31277, CVE-2025-43510, CVE-2025-43520) à son catalogue des vulnérabilités exploitées connues. DarkSword est un kit d'exploitation iOS sophistiqué chaînant 6 vulnérabilités pour l'évasion de sandbox, l'élévation de privilèges et la RCE sur iPhone (iOS 18.4–18.7). Lié au fournisseur de surveillance commerciale turc PARS Defense (UNC6748) et au groupe d'espionnage russe UNC6353. Trois familles de malware déployées : GhostBlade, GhostKnife, GhostSaber. Les agences fédérales ont jusqu'au 3 avril pour appliquer les correctifs.

Source : BleepingComputer, CISA — 23 mars

QNAP corrige quatre vulnérabilités Pwn2Own

Pwn2Own

QNAP a corrigé quatre vulnérabilités démontrées lors de Pwn2Own, permettant la divulgation d'informations, l'exécution de code et des comportements inattendus sur les appareils NAS. Étant donné l'historique de QNAP comme cible de ransomware, l'application rapide des correctifs est essentielle.

Source : SecurityWeek — 23 mars

💾 Fuites de données

Crunchyroll enquête sur une fuite — 6,8 millions d'utilisateurs potentiellement touchés

Fuite de données

La populaire plateforme de streaming d'anime Crunchyroll (propriété de Sony) mène une enquête après que des hackers ont affirmé avoir dérobé les données personnelles d'environ 6,8 millions d'utilisateurs. L'incident fait l'objet d'une investigation active — l'ampleur et l'authenticité sont encore en cours de vérification.

Source : BleepingComputer — 23 mars

Mazda divulgue une fuite de données d'employés et de partenaires

Fuite de données

Mazda Motor Corporation a confirmé un incident de sécurité détecté pour la première fois en décembre 2025, ayant exposé des données d'employés et de partenaires commerciaux. La divulgation n'est intervenue qu'en mars 2026, soulignant l'écart persistant entre détection et communication publique dans le secteur automobile.

Source : BleepingComputer — 23 mars

Une filiale de Trio-Tech Semiconductor frappée par un ransomware

Ransomware Fuite de données

Le prestataire de services pour semi-conducteurs Trio-Tech International a révélé qu'une filiale à Singapour a été touchée par un ransomware de chiffrement de fichiers. La chaîne d'approvisionnement des semi-conducteurs reste une cible privilégiée — les fabricants et prestataires de services pour puces font face à une pression croissante des ransomwares.

Source : SecurityWeek — 23 mars

🕵️ Activités étatiques & APT

FBI/CISA : Des hackers russes mènent un phishing massif contre les utilisateurs Signal & WhatsApp

Russie / Renseignement Phishing massif

Le FBI et CISA ont publié un avertissement conjoint indiquant que les services de renseignement russes mènent des campagnes de phishing à grande échelle ciblant les comptes Signal et WhatsApp de personnes à haute valeur — responsables gouvernementaux, militaires, personnalités politiques et journalistes. Des milliers de comptes ont été compromis dans le monde. Une fois infiltrés, les attaquants consultent les messages, exfiltrent les contacts et lancent d'autres attaques de phishing depuis des identités de confiance.

Source : The Hacker News, FBI — 21–23 mars

Le FBI met en garde contre les hackers iraniens Handala utilisant Telegram pour diffuser des malwares

Iran / MOIS

Le FBI a averti que des hackers iraniens liés au Ministère du Renseignement et de la Sécurité (MOIS) — connus sous le nom de Handala — utilisent Telegram pour distribuer des malwares. Les États-Unis ont confirmé le lien entre Handala et le gouvernement iranien et ont saisi plusieurs domaines utilisés dans leurs opérations psychologiques cyber.

Source : BleepingComputer, SecurityWeek — 23 mars

Des hackers nord-coréens exploitent VS Code pour le malware StoatWaffle

Corée du Nord / WaterPlum

L'acteur de menace Contagious Interview (WaterPlum) distribue le malware StoatWaffle via des projets VS Code malveillants. L'attaque exploite la fonctionnalité d'exécution automatique tasks.json de VS Code — une tactique relativement nouvelle adoptée depuis décembre 2025. Elle cible les développeurs qui ouvrent des projets VS Code apparemment légitimes, exécutant automatiquement le malware.

Source : The Hacker News — 23 mars

🎣 Phishing & ingénierie sociale

La plateforme PhaaS Tycoon2FA de retour à pleine capacité après l'intervention policière

Phishing-as-a-Service

La plateforme de phishing Tycoon2FA, perturbée par Europol le 4 mars, a déjà retrouvé ses niveaux d'activité d'avant l'intervention. Les volumes d'attaques et les tactiques restent inchangés, démontrant la résilience de l'infrastructure cybercriminelle face aux actions des forces de l'ordre. La plateforme est spécialisée dans le contournement de l'authentification à deux facteurs.

Source : BleepingComputer, SecurityWeek — 23 mars

Microsoft : Le phishing fiscal IRS touche 29 000 utilisateurs

Campagne de phishing

Microsoft a signalé des campagnes de phishing à grande échelle exploitant l'urgence de la période fiscale américaine. Plus de 29 000 utilisateurs ciblés avec de faux avis de remboursement IRS, formulaires de paie et rappels de déclaration. Les campagnes déploient des malwares de type Remote Monitoring & Management (RMM) et exploitent des plateformes PhaaS. Les cibles incluent aussi bien des particuliers que des professionnels de la fiscalité ayant accès à des données financières sensibles.

Source : The Hacker News, Microsoft — 23 mars

📊 Tendances émergentes & recherche

M-Trends 2026 : Le délai de transfert d'accès initial tombe à 22 secondes

Recherche / Mandiant

Le rapport M-Trends 2026 de Mandiant, basé sur plus de 500 000 heures de réponse à incidents, révèle que le délai entre la compromission par un courtier d'accès initial et le transfert aux opérateurs de ransomware est passé de plusieurs heures à seulement 22 secondes. Cela réduit considérablement la fenêtre dont disposent les défenseurs pour détecter et répondre aux intrusions avant le déploiement du ransomware.

Pertinence KENSAI

Un délai de transfert de 22 secondes signifie que le triage manuel en SOC n'est plus viable pour la détection des accès initiaux. Le scan automatisé et continu — comme l'approche de KENSAI — devient la seule défense réaliste. Les organisations sans capacités de réponse automatisée sont essentiellement sans défense face à cette vitesse d'attaque.

Source : SecurityWeek / Mandiant — 23 mars

Huit vecteurs d'attaque découverts dans AWS Bedrock

Recherche en sécurité IA

L'équipe de recherche sur les menaces de XM Cyber a identifié huit vecteurs d'attaque validés dans la plateforme IA AWS Bedrock : manipulation des logs, compromission de la base de connaissances, détournement d'agents, injection de flux, dégradation des guardrails et empoisonnement de prompts. À mesure que les agents IA accèdent aux données d'entreprise (Salesforce, Lambda, SharePoint), ils deviennent des surfaces d'attaque à haute valeur avec des permissions et une portée vers les actifs critiques.

Pertinence KENSAI

La sécurité de l'infrastructure IA est une frontière émergente. Lorsque les entreprises connectent des agents IA aux systèmes de production, la surface d'attaque s'étend considérablement. Cela s'aligne avec le positionnement de KENSAI en matière de sécurité IA — scanner et sécuriser l'infrastructure qui alimente les systèmes d'IA.

Source : The Hacker News / XM Cyber — 23 mars

Les attaques basées sur le navigateur contournent les contrôles de sécurité traditionnels

Recherche / Push Security

Un nouveau rapport de Push Security documente comment les attaques basées sur le navigateur — phishing AITM, ClickFix, applications OAuth malveillantes et détournement de session — sont à l'origine des violations les plus importantes d'aujourd'hui et échappent aux contrôles de sécurité traditionnels. Le navigateur est de plus en plus la surface d'attaque principale.

Source : BleepingComputer / Push Security — 23 mars

💰 Industrie & financements

Cape lève 100 M$ pour la sécurité cellulaire

Financement

Cape, un opérateur de réseau mobile virtuel (MVNO) axé sur la confidentialité, a levé 100 millions de dollars pour la protection contre les menaces de sécurité cellulaire — au service des consommateurs, des entreprises et des administrations.

Source : SecurityWeek — 23 mars

Eclypsium lève 25 M$ pour la sécurité de la supply chain des appareils

Financement

Eclypsium a sécurisé 25 millions de dollars pour développer sa plateforme de sécurité de la supply chain des appareils et étendre ses partenariats de distribution. Particulièrement opportun au vu de l'attaque supply chain sur Trivy qui domine l'actualité du jour.

Source : SecurityWeek — 23 mars

3 hommes inculpés pour contrebande de matériel IA vers la Chine

Contrôles à l'exportation

Trois hommes ont été inculpés pour avoir conspiré à violer les contrôles à l'exportation américains en détournant d'importantes quantités de serveurs IA hautes performances assemblés aux États-Unis vers la Chine. Cela reflète les tensions géopolitiques persistantes autour de l'accès au matériel IA.

Source : SecurityWeek — 23 mars

📋 Conformité & réglementation

Le Royaume-Uni renforce les exigences de signalement des cyberincidents

Réglementation

Le Royaume-Uni renforce les obligations de signalement des cyberincidents. Combiné à l'application croissante de NIS2 dans toute l'UE, les organisations font face à un réseau de plus en plus complexe d'obligations de déclaration. Le reporting de conformité automatisé — un différenciateur clé de KENSAI — devient indispensable.

Source : SecurityWeek — 23 mars