đŸ—“ïž Contexte

Article publiĂ© le 7 avril 2026 (mis Ă  jour le 8 et 9 avril 2026) par BleepingComputer. L’article rapporte une campagne de vol de donnĂ©es ciblant des clients de la plateforme cloud Snowflake, initiĂ©e via la compromission d’un fournisseur tiers d’intĂ©gration SaaS.

🔓 Incident initial : compromission d’Anodot

Le vecteur initial est une violation de sĂ©curitĂ© chez Anodot, sociĂ©tĂ© d’analyse de donnĂ©es basĂ©e sur l’IA spĂ©cialisĂ©e dans la dĂ©tection d’anomalies en temps rĂ©el, acquise par Glassbox en novembre 2025. Des tokens d’authentification ont Ă©tĂ© dĂ©robĂ©s depuis les systĂšmes d’Anodot, permettant aux attaquants d’accĂ©der aux environnements cloud des clients.

La page de statut d’Anodot signale depuis le samedi prĂ©cĂ©dant la publication que tous ses connecteurs sont hors service dans toutes les rĂ©gions gĂ©ographiques, incluant Snowflake, S3 et Amazon Kinesis.

🎯 Impact et cibles

  • Plus d’une douzaine d’entreprises ont subi des vols de donnĂ©es via les tokens volĂ©s
  • La majoritĂ© des attaques ciblaient la plateforme Snowflake
  • Une tentative de vol de donnĂ©es chez Salesforce a Ă©tĂ© bloquĂ©e par une dĂ©tection IA
  • Snowflake a confirmĂ© une « activitĂ© inhabituelle » sur un petit nombre de comptes clients et a verrouillĂ© les comptes potentiellement impactĂ©s
  • Payoneer a confirmĂ© ĂȘtre au courant de l’incident mais ne pas avoir Ă©tĂ© impactĂ©

đŸ‘Ÿ Acteur de la menace : ShinyHunters

Le groupe d’extorsion ShinyHunters a revendiquĂ© l’attaque auprĂšs de BleepingComputer, affirmant :

  • Avoir volĂ© des donnĂ©es de dizaines d’entreprises le vendredi prĂ©cĂ©dant la publication
  • Avoir utilisĂ© des tokens d’authentification issus d’Anodot
  • Avoir potentiellement eu accĂšs Ă  Anodot depuis un certain temps avant l’exploitation
  • Mener des campagnes d’extorsion contre les entreprises victimes, menaçant de publier les donnĂ©es volĂ©es

🔍 Suivi et rĂ©ponse

  • Google Threat Intelligence Group suit activement l’incident
  • Snowflake prĂ©cise que ses propres systĂšmes n’ont pas Ă©tĂ© compromis (pas de vulnĂ©rabilitĂ© Snowflake exploitĂ©e)
  • Anodot et Glassbox n’ont pas rĂ©pondu aux sollicitations de BleepingComputer au moment de la publication

📋 Type d’article

Annonce d’incident Ă  caractĂšre journalistique, visant Ă  informer sur une campagne active de vol de donnĂ©es et d’extorsion impliquant une chaĂźne d’approvisionnement SaaS.

🧠 TTPs et IOCs dĂ©tectĂ©s

Acteurs de menace

TTP

  • T1078 — Valid Accounts (Defense Evasion / Persistence / Privilege Escalation / Initial Access)
  • T1528 — Steal Application Access Token (Credential Access)
  • T1530 — Data from Cloud Storage (Collection)
  • T1657 — Financial Theft (Impact)
  • T1485 — Data Destruction (Impact)

🟱 Indice de vĂ©rification factuelle : 65/100 (haute)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 4660 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC Ă  vĂ©rifier (0pts)
  • ✅ 5 TTPs MITRE identifiĂ©es (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifiĂ©(s) : ShinyHunters (5pts)
  • ⬜ pas de CVE Ă  vĂ©rifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/snowflake-customers-hit-in-data-theft-attacks-after-saas-integrator-breach/