2026 : 12 CVE activement exploitées, 4 absentes du catalogue CISA KEV selon Proofpoint

🔍 Contexte

Publié le 27 mai 2026 par la Proofpoint Emerging Threats Team, ce rapport s’appuie sur deux flux de télémétrie : la surveillance des emails ciblés (centaines de millions de messages quotidiens) et un réseau de plus de 5 000 capteurs réseau ayant généré plus de 3 millions d’alertes en 2026. L’article dresse un bilan de l’exploitation des CVE 2026 dans la nature.

📧 Télémétrie email : 3 CVE weaponisées

CVE-2026-21509 (Microsoft Office, RCE via RTF/OLE) : weaponisée par TA422 (APT28) dans les 24 heures suivant sa divulgation publique en janvier 2026. Ciblage d’agences gouvernementales ukrainiennes et d’entités européennes (défense, transport, diplomatie) via spear-phishing avec leurres institutionnels haute fidélité. La chaîne d’infection aboutit au backdoor NotDoor Outlook et aux implants Covenant Grunt. L’infrastructure C2 utilise filen.io comme service de stockage cloud.

CVE-2026-21510 (Windows Shell Protection Mechanism Failure) : chaînée avec CVE-2026-21509 par TA406 (Opal Sleet) dans deux campagnes (mars et avril 2026). Les leurres portaient sur le traitement de visas et des initiatives diplomatiques. Les pièces jointes RTF contenaient des objets OLE (fichiers LNK) initiant une connexion WebDAV pour télécharger des LNK secondaires, puis invoquer CVE-2026-21510 pour contourner les contrôles Windows Shell et exécuter un payload DLL.

CVE-2026-32202 (Windows, bypass de patch incomplet pour CVE-2026-21510) : exploitée en zero-day avec CVE-2026-21513 par TA422 contre l’Ukraine et des États membres de l’UE depuis fin 2025. Ajoutée au catalogue CISA KEV en avril 2026.

🌐 Télémétrie réseau : 12 CVE, dont 4 hors KEV

Les 12 CVE détectées couvrent :

• Cisco Catalyst SD-WAN : CVE-2026-20122, CVE-2026-20128 (auth bypass), CVE-2026-20133 (info disclosure), CVE-2026-20182 (auth bypass, hors KEV) — objet de la directive d’urgence CISA ED 26-03
• Palo Alto PAN-OS : CVE-2026-0300 (RCE out-of-bounds write)
• Ivanti EPMM : CVE-2026-6973 (auth bypass), CVE-2026-1281 et CVE-2026-1340 (zero-day auth bypass, hors KEV)
• WebPros cPanel & WHM / WP2 : CVE-2026-41940 (missing auth, exploitation massive multi-acteurs incluant ransomware, défacement, espionnage et TA569/SocGholish)
• Microsoft Exchange Server (OWA) : CVE-2026-42897 (XSS)
• Marimo (notebooks Python) : CVE-2026-39987 (RCE)
• Linux Kernel : CVE-2026-31431 (privilege escalation, hors KEV)

🤖 Contexte structurel : IA et volume de CVE

NIST signale une hausse de ~33 % des soumissions CVE en Q1 2026 par rapport à l’année précédente, attribuée principalement à la découverte assistée par IA côté défenseurs. Projection : 55 000 à 60 000 CVE pour l’ensemble de 2026. La NVD ne peut plus enrichir toutes les soumissions à la même cadence. Les CVE antérieures au 1er mars 2026 en attente basculent en catégorie « Not Scheduled ».

La télémétrie Proofpoint ne montre pas de transformation du comportement offensif : les acteurs restent opportunistes, s’appuient sur les PoC publics et les chaînent à des infrastructures existantes.

📋 Type d’article

Rapport de threat intelligence à visée CTI, publié par Proofpoint pour documenter l’état de l’exploitation des CVE 2026 dans la nature, mettre en évidence l’écart de couverture avec la CISA KEV et contextualiser l’impact de l’IA sur le paysage des vulnérabilités.

🧠 TTPs et IOCs détectés

Acteurs de menace

• TA422 (state-sponsored) — orkl.eu · Malpedia
• TA406 (state-sponsored) — orkl.eu · Malpedia
• TA569 (cybercriminal) — orkl.eu · Malpedia · MITRE ATT&CK

TTP

• T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
• T1203 — Exploitation for Client Execution (Execution)
• T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
• T1190 — Exploit Public-Facing Application (Initial Access)
• T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
• T1102 — Web Service (Command and Control)
• T1105 — Ingress Tool Transfer (Command and Control)
• T1218.011 — System Binary Proxy Execution: Rundll32 (Defense Evasion)
• T1547 — Boot or Logon Autostart Execution (Persistence)
• T1204.002 — User Execution: Malicious File (Execution)

IOC

• Domaines : filen.io — VT · URLhaus · ThreatFox
• CVEs : CVE-2026-21509 — NVD · CIRCL
• CVEs : CVE-2026-21510 — NVD · CIRCL
• CVEs : CVE-2026-21513 — NVD · CIRCL
• CVEs : CVE-2026-32202 — NVD · CIRCL
• CVEs : CVE-2026-20122 — NVD · CIRCL
• CVEs : CVE-2026-20128 — NVD · CIRCL
• CVEs : CVE-2026-20133 — NVD · CIRCL
• CVEs : CVE-2026-0300 — NVD · CIRCL
• CVEs : CVE-2026-6973 — NVD · CIRCL
• CVEs : CVE-2026-41940 — NVD · CIRCL
• CVEs : CVE-2026-42897 — NVD · CIRCL
• CVEs : CVE-2026-39987 — NVD · CIRCL
• CVEs : CVE-2026-1281 — NVD · CIRCL
• CVEs : CVE-2026-1340 — NVD · CIRCL
• CVEs : CVE-2026-20182 — NVD · CIRCL
• CVEs : CVE-2026-31431 — NVD · CIRCL

Malware / Outils

• NotDoor (backdoor)
• Covenant Grunt (framework)
• SocGholish (loader)

🟢 Indice de vérification factuelle : 75/100 (haute)

• ✅ proofpoint.com — source reconnue (liste interne) (20pts)
• ✅ 16680 chars — texte complet (fulltext extrait) (15pts)
• ✅ 17 IOCs (IPs/domaines/CVEs) (10pts)
• ⬜ 0/1 IOCs confirmés externellement (0pts)
• ✅ 10 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : TA422, TA406, TA569 (5pts)
• ⬜ 0/5 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.proofpoint.com/us/blog/threat-insight/more-cves-same-playbook-2026-vulnerability-exploitation-wild