Des hackers utilisent Claude et Codex comme agents autonomes pour compromettre des entreprises

Sun, 21 Jun 2026 00:00:00 +0000

🔍 Contexte

Publié le 16 juin 2026 par OALABS (OpenAnalysis), cet article présente une analyse forensique inédite de plus de 1 000 sessions d’agents IA récupérées sur un serveur compromis ayant servi de pivot à un attaquant. La source primaire est le répertoire de travail de l’attaquant, copié avant nettoyage du serveur.

🧩 Vecteur initial et chaîne de compromission

L’attaquant a volé une instance Claude Code appartenant à un développeur tchèque hébergée sur un serveur Hetzner. Ce développeur avait des pratiques de sécurité défaillantes (credentials collés dans les prompts, services exposés sur internet, mots de passe simples). Le 2 février 2026, le serveur du développeur est compromis ; le 16 février 2026, l’intégralité de l’instance Claude (avec tout l’historique de sessions) est copiée sur un hôte Vultr contrôlé par l’attaquant.

Opération Escaneo : campagne d'intrusion avancée contre des agences fédérales mexicaines

Sun, 21 Jun 2026 00:00:00 +0000

🔍 Contexte

Publié le 17 juin 2026 par CloudSEK, ce rapport documente l’Opération Escaneo, une campagne d’intrusion coordonnée et multi-étapes découverte lors d’une analyse de routine d’infrastructure malveillante. Un serveur de staging exposé hébergé sur 62.171.185.97 a permis de cartographier l’ensemble des capacités offensives du groupe.

🎯 Attribution et ciblage

La campagne est attribuée avec une confiance moyenne au groupe MexicanMafia aka PanchoVilla, un acteur connu pour des attaques antérieures contre des institutions mexicaines (2024). Les secteurs ciblés incluent :

CVE-2021-4034 on CyberVeille

Des hackers utilisent Claude et Codex comme agents autonomes pour compromettre des entreprises

🔍 Contexte

🧩 Vecteur initial et chaîne de compromission

Opération Escaneo : campagne d'intrusion avancée contre des agences fédérales mexicaines

🔍 Contexte

🎯 Attribution et ciblage