Source : Palo Alto Networks – Unit 42, Global Incident Response Report 2026 (février 2026). Dans plus de 750 interventions IR menées en 2025, le rapport met en évidence quatre tendances majeures: l’IA comme multiplicateur de force, l’identité comme périmètre effectif, l’extension du risque supply chain via connectivités de confiance (SaaS, outils, dépendances), et l’adaptation des acteurs étatiques à l’infrastructure et à la virtualisation. Plus de 90% des brèches ont été permises par des expositions évitables (visibilité limitée, contrôles inégaux, confiance d’identité excessive), et 87% des intrusions ont touché plusieurs surfaces d’attaque.
• IA: l’IA compresse les étapes d’attaque (reconnaissance, ingénierie sociale, scripting, extorsion), permet le ciblage parallèle et accélère l’exploitation. Des cas montrent des scripts opérationnels « machine-like », des négociations d’extorsion au ton standardisé et des usages « LOTAIL » (détournement des assistants/plateformes IA internes, p.ex. Vertex AI) pour l’escalade et l’exfiltration. Côté vitesse, le premier quartile d’attaques atteint l’exfiltration en 72 minutes (vs 285 minutes en 2024), tandis qu’une simulation IA assistée a montré un temps d’exfiltration de 25 minutes; la médiane reste à 2 jours.
• Identité: l’identité est la voie d’entrée la plus fiable: 65% des accès initiaux sont identity-driven (dont 22% phishing lié à l’identité et 11% autres ing. sociale, 13% identifiants compromis, 8% brute force, 1–4% erreurs IAM, 8% insider). Après l’accès, 99% de 680 000 identités cloud analysées avaient des permissions excessives, facilitant l’escalade, le mouvement latéral, et l’abus de tokens/OAuth. Les surfaces d’attaque s’étendent: identité ~89%, navigateur 48%, cloud/SaaS ~35% des enquêtes; les intrusions s’entrecroisent avec les usages quotidiens (email, web, SaaS).
• Supply chain et connectivité de confiance: le risque dépasse le code vulnérable pour toucher intégrations SaaS (OAuth, API, automatisations), outils fournisseurs (RMM/MDM) et dépendances open source (forte part de vulnérabilités transitives; paquets malveillants déclenchés à l’install/build). Les données issues du SaaS ont été pertinentes dans 23% des cas (vs 18% en 2024). Côté C2, 39% des techniques observées étaient liées aux outils d’accès à distance (T1219). Les incidents amplifient la perturbation via l’incertitude et le triage parallèle des clients, aggravés par des lacunes d’inventaire, d’opacité des permissions et de télémétrie.
• États-nations et impacts: des groupes liés à la Chine ciblent davantage l’infrastructure/virtualisation (p.ex. Phantom Taurus, NET-STAR; campagne CL-STA-0242 avec BRICKSTORM, attribuée publiquement par CISA à des acteurs étatiques chinois). La Corée du Nord poursuit Wagemole (emplois distants non autorisés) et Contagious Interview (défis de code piégés). L’Iran (Screening Serpens/Curious Serpens) arme des leurres RH (CV signés, portails frauduleux). Des expérimentations IA apparaissent (p.ex. LAMEHUG pilotant son C2 via LLM, deepfakes pour fraudes RH). L’extorsion se décorrèle du chiffrement: le chiffrement n’apparaît plus que dans 78% des cas d’extorsion (vs ~90% précédemment), tandis que le vol de données reste majoritaire (>50%) et la pression/harcèlement persiste. Médians 2025: demande initiale 1,5 M$ (vs 1,25 M$), paiement 500 k$ (vs 267,5 k$), avec engagements tenus par les acteurs dans 68% des cas où une promesse est faite; 41% ont restauré via sauvegardes, 26% ont vu leurs backups impactés.
IOCs et TTPs
- Menaces/campagnes/malwares: Phantom Taurus; NET-STAR; BRICKSTORM; Wagemole; Contagious Interview; Screening Serpens (aka Smoke Sandstorm/UNC1549); Curious Serpens (aka APT33/Peach Sandstorm); LAMEHUG; cluster CL-STA-0242.
- TTPs (MITRE ATT&CK): T1566 (Phishing), T1190 (Exploit Public-Facing Application), T1133 (External Remote Services), T1078 (Valid Accounts), T1021 (Remote Services), T1219 (Remote Access Tools), T1003 (OS Credential Dumping), T1543 (Create/Modify System Process), T1547 (Boot/Logon Autostart), T1041 (Exfiltration Over C2 Channel).
Type d’article : rapport d’analyse et de tendances du paysage des menaces, fondé sur retours d’intervention et recherche.
🧠 TTPs et IOCs détectés
TTP
[‘T1566 (Phishing)’, ‘T1190 (Exploit Public-Facing Application)’, ‘T1133 (External Remote Services)’, ‘T1078 (Valid Accounts)’, ‘T1021 (Remote Services)’, ‘T1219 (Remote Access Tools)’, ‘T1003 (OS Credential Dumping)’, ‘T1543 (Create/Modify System Process)’, ‘T1547 (Boot/Logon Autostart)’, ‘T1041 (Exfiltration Over C2 Channel)’]
IOC
[‘Phantom Taurus’, ‘NET-STAR’, ‘BRICKSTORM’, ‘Wagemole’, ‘Contagious Interview’, ‘Screening Serpens (aka Smoke Sandstorm/UNC1549)’, ‘Curious Serpens (aka APT33/Peach Sandstorm)’, ‘LAMEHUG’, ‘cluster CL-STA-0242’]