Les VPN FortiGate ciblés par des cyberattaques hautement automatisées et pilotées par l'IA

Une cybermenace importante est apparue au début du mois de février 2026 après que des chercheurs ont découvert une campagne d'intrusion qui intégrait en profondeur de grands modèles de langage dans le cycle de vie de l'attaque. Un serveur mal configuré a exposé un pipeline automatisé dans lequel les acteurs de la menace ont intégré DeepSeek et Claude directement dans leurs flux de travail, dépassant ainsi le simple phishing assisté par l'IA pour passer à une automatisation complète de la chaîne d'exécution.

L'infrastructure s'est concentrée sur le ciblage des appliances VPN SSL FortiGate, en utilisant des données de configuration et des identifiants volés pour obtenir l'accès, cartographier les réseaux internes et identifier les actifs de grande valeur. Des outils personnalisés ont permis aux opérateurs de traiter simultanément des milliers de cibles, les preuves suggérant que plus de 2 500 appareils répartis dans 106 pays ont été analysés en parallèle.

Les analystes ont observé une approche à deux modèles, DeepSeek étant utilisé pour la planification stratégique et Claude pour l'exécution du code et l'évaluation des vulnérabilités. Une fois l'accès obtenu, le système exécutait de manière autonome des outils tels qu'Impacket et Metasploit.

Les résultats soulignent l'urgence de patcher les appareils périphériques, d'auditer l'accès VPN et de surveiller étroitement l'activité du réseau, car les attaques basées sur l'IA continuent de se développer rapidement.

Les cyberattaques basées sur l'IA se multiplient à mesure que les acteurs de la menace intensifient leurs campagnes

Le nombre de cyberattaques basées sur l'IA a presque doublé au cours de l'année écoulée, selon le Global Threat Report 2026 de CrowdStrike. Le rapport prévoit une augmentation de 89 % de l'activité des "adversaires dotés d'IA" en 2025, car les acteurs de la menace adoptent de plus en plus l'apprentissage automatique et les grands modèles de langage pour optimiser les techniques d'attaque existantes.

Plutôt que de créer des vecteurs d'attaque entièrement nouveaux, les attaquants utilisent l'IA pour rendre des méthodes familières plus efficaces et plus évolutives. Il s'agit notamment de générer des courriels d'hameçonnage plus convaincants dans plusieurs langues, d'accélérer la reconnaissance et de soutenir les campagnes de désinformation. CrowdStrike a mis en évidence des campagnes liées aux services de renseignement chinois et aux groupes cybercriminels russes qui utilisent l'IA pour accroître la crédibilité et la portée des opérations d'ingénierie sociale.

Le rapport fait également état des premières expériences de développement de logiciels malveillants assistés par l'IA, y compris l'intégration d'invites LLM dans des outils d'espionnage. Bien que l'impact soit encore limité, CrowdStrike s'attend à ce que cette tendance s'accentue et invite les organisations à renforcer les contrôles d'identité, la formation à la sensibilisation à la sécurité et les capacités de renseignement sur les menaces à mesure que la course à l'armement de l'IA s'intensifie.

Le zero-day du SD-WAN de Cisco exploité pour ajouter des pairs de réseau malhonnêtes

Cisco a émis un avertissement urgent après avoir confirmé l'exploitation active d'une vulnérabilité critique de contournement d'authentification dans le SD-WAN Cisco Catalyst. Pointé comme CVE-2026-20127 et évalué à la gravité maximale de 10.0, la faille permet aux attaquants distants de compromettre les contrôleurs SD-WAN et d'ajouter des pairs malveillants aux réseaux affectés.

La vulnérabilité affecte les déploiements de contrôleurs et de gestionnaires SD-WAN Cisco Catalyst, à la fois sur site et dans des environnements en nuage. L'exploitation permet aux attaquants de s'authentifier en tant qu'utilisateur interne à haut privilège, de manipuler les configurations du réseau et de s'introduire potentiellement plus profondément dans les environnements d'entreprise par le biais de connexions cryptées. Cisco Talos a établi un lien entre cette activité et un acteur de menace très sophistiqué, les preuves suggérant que l'exploitation pourrait remonter à plusieurs années.

Les autorités américaines et britanniques ont réagi en publiant des avis coordonnés, la CISA exigeant une enquête immédiate et l'application de correctifs sur les réseaux fédéraux. Il est vivement conseillé aux organisations d'auditer les journaux, de rechercher les activités de peering non autorisées et d'appliquer les mises à jour de Cisco sans délai, car il n'existe pas de solution de contournement efficace pour cette vulnérabilité.

Le secteur du fret et de la logistique aux États-Unis et en Europe ciblé par une campagne d'hameçonnage organisée

Les organisations de transport et de logistique des États-Unis et d'Europe ont été touchées par une vaste opération d'hameçonnage d'informations d'identification liée à un groupe de menace à motivation financière connu sous le nom de Diesel Vortex. Active depuis septembre 2025, la campagne a permis le vol d'au moins 1 649 identifiants uniques, en utilisant plus de 50 domaines malveillants pour usurper l'identité de plateformes utilisées quotidiennement par le secteur de la logistique.

Les chercheurs ont découvert cette activité après avoir découvert un dépôt d'hameçonnage exposé contenant des bases de données, des détails d'infrastructure et des communications Telegram. L'analyse révèle une opération très organisée avec des rôles définis, des niveaux opérationnels et des modèles de monétisation, ciblant délibérément un secteur qui échappe souvent aux contrôles de sécurité traditionnels des entreprises.

Les attaquants ont combiné l'hameçonnage par courriel, l'hameçonnage vocal et l'ingénierie sociale basée sur Telegram avec des répliques parfaites de plateformes légitimes de fret et de logistique. Les informations d'identification et les données d'authentification volées ont ensuite été utilisées pour faciliter la fraude ultérieure, y compris l'usurpation d'identité et le détournement de fret.

Bien que l'infrastructure ait été perturbée depuis, la campagne met en évidence le risque cybernétique croissant auquel sont confrontées les chaînes d'approvisionnement mondiales et la nécessité de renforcer la protection de l'identité et la sensibilisation des utilisateurs dans l'ensemble du secteur.

L'utilisation abusive d'un chatbot d'IA est liée à une violation des réseaux du gouvernement mexicain

Un cybercriminel aurait utilisé Claude, le chatbot d'Anthropic, pour compromettre plusieurs agences gouvernementales mexicaines et voler d'importants volumes de données fiscales et électorales sensibles. Selon Bloomberg, les chercheurs de la société de sécurité israélienne Gambit Security ont découvert des preuves montrant que l'attaquant a utilisé Claude pour identifier les vulnérabilités du réseau, générer des scripts d'exploitation et automatiser l'exfiltration de données dans des invites en espagnol.

L'activité aurait duré environ un mois à partir de décembre, affectant l'administration fiscale fédérale mexicaine, l'Institut national électoral et des organismes gouvernementaux régionaux. On estime que 150 Go de données ont été volés, notamment des dossiers fiscaux, des informations sur les électeurs, des identifiants gouvernementaux et des fichiers d'enregistrement de la population. Gambit ne pense pas que cette activité soit liée à un État étranger.

Anthropic a confirmé qu'elle menait une enquête et qu'elle avait bloqué les comptes associés, tandis qu'OpenAI a déclaré que ChatGPT avait résisté à des tentatives d'utilisation abusive similaires. L'incident met en évidence une tendance croissante des attaquants à abuser des outils de codage de l'IA avancée, ce qui soulève des questions urgentes sur les garanties, la surveillance et la détection des abus de l'IA à mesure que ces technologies deviennent plus performantes.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger contre les menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bienprenez contact avec nouspour savoir comment protéger votre organisation.

Le Threat Intel Roundup a été préparé par Integrity360 et résume l'actualité des menaces telle que nous l'observons, à la date de publication. Il ne doit pas être considéré comme un avis juridique, un conseil ou tout autre avis professionnel. Toute recommandation doit être considérée dans le contexte de votre propre organisation. Integrity360 ne prend aucune position politique dans les informations qu'elle partage. En outre, les opinions exprimées ne sont pas nécessairement celles d'Integrity360.