Partner Login

Monthly Threat Report Mars 2026

Contourné, Perturbé et Exploité

Écrit par Security Lab / 16.03.2026 /
Home » Blog » Monthly Threat Report Mars 2026

Introduction

Le Monthly Threat Report de Hornetsecurity fournit chaque mois un aperçu des tendances de sécurité M365, des menaces basées sur l’email et une analyse de l’actualité dans le domaine de la cybersécurité. Cette édition du Monthly Threat Report se concentre sur les événements du secteur survenus en février 2026.

Résumé exécutif

  • Perturbations dans les campagnes d’email : les acteurs malveillants utilisent de plus en plus la randomisation dynamique du texte pour contourner les détections basées sur les signatures et le clustering, fragmentant les signaux de campagne en milliers de variantes à faible volume afin de rester sous les seuils de détection.
  • Démantèlement de Tycoon 2FA : une opération coordonnée majeure impliquant Proofpoint, Microsoft, Europol et les forces de l’ordre internationales a permis la saisie de 330 domaines de panneaux de contrôle liés à l’une des plateformes de phishing-as-a-service AiTM les plus prolifiques.
  • Zero-Day BeyondTrust (CVE-2026-1731) : une vulnérabilité RCE pré-authentification dans BeyondTrust Remote Support a été exploitée dans des campagnes actives de ransomware. La CISA a imposé un délai de trois jours pour appliquer les correctifs dans les agences fédérales, soulignant l’urgence.
  • RCE VMware Aria Operations (CVE-2026-22719) : une seconde vulnérabilité touchant une plateforme de gestion au cours du même mois a été ajoutée à la liste Known Exploited Vulnerabilities de la CISA, confirmant une tendance des attaquants à cibler l’infrastructure dont dépendent les défenseurs.
  • Perspectives : les techniques de contournement du MFA, la résilience des plateformes PhaaS et le ciblage des outils de gestion devraient façonner le paysage des menaces dans les mois à venir. Les défenses multicouches et des cycles de correctifs rapides ne sont plus optionnels.

Vue d’ensemble des menaces

Fuzzing dans les campagnes d’attaque par email : l’art de paraître différent à chaque envoi

Dans ce rapport mensuel, nous mettons régulièrement en lumière certaines techniques utilisées par les acteurs malveillants. L’édition de ce mois aborde l’utilisation du « fuzzing » dans les attaques par email.

Le fuzzing, ou la randomisation dynamique d’éléments textuels dans les messages email, est devenu une technique d’évasion privilégiée pour les acteurs menant des opérations massives de spam et de phishing. Plutôt que d’envoyer des copies identiques d’un même message, les attaquants insèrent désormais des variables (par exemple {RAND_1} ou {RAND_ALPHA}) directement dans leurs modèles d’envoi. Des scripts ou modules de spambots génèrent ensuite des valeurs uniques au moment de l’envoi. Le résultat est un flot de messages partageant la même intention malveillante mais présentant suffisamment de différences pour éviter d’être regroupés. Les champs randomisés incluent généralement les alias d’expéditeur, les noms d’affichage et les objets des emails, précisément les attributs sur lesquels reposent fortement de nombreux systèmes de détection et de clustering.

Cette technique est particulièrement efficace en raison de sa précision. La randomisation n’est pas totalement chaotique. Elle suit des schémas contraints tels que des chaînes de longueur fixe, des ensembles limités de caractères ou des phrases modèles contenant un ou deux éléments aléatoires. Les acteurs ajustent ces paramètres en fonction des taux de délivrabilité et des retours de détection afin de rester juste en dessous du seuil où les systèmes de filtrage commencent à établir des corrélations. Les campagnes sont volontairement réparties sur de nombreuses variantes à faible volume, ce qui maintient chaque « cluster » d’emails malveillants trop petit pour déclencher une détection par rafale ou des mécanismes de réputation, tandis que le volume global continue d’atteindre les boîtes de réception à grande échelle.

Pourquoi est-ce important ?

L’impact sur les infrastructures de filtrage est important et multiple. La détection basée sur le clustering, qui regroupe les messages selon des attributs communs pour identifier les campagnes coordonnées, perd en précision lorsque chaque message est légèrement différent. Les boucles de rétroaction basées sur les plaintes (FBL) se fragmentent en dizaines de variantes à faible volume, rendant plus difficile l’identification d’un signal clair pour les anciens systèmes de réputation. Des indicateurs habituellement fiables, comme les alias d’expéditeur, les objets ou le texte du message, deviennent incohérents, ce qui prive les équipes de sécurité des schémas nécessaires pour réagir rapidement. S’appuyer uniquement sur des signatures ou sur la réputation n’est plus suffisant. Une protection email de nouvelle génération intégrant analyse comportementale, inspection de contenu et heuristiques avancées est indispensable.

Tycoon 2FA perturbé : une victoire majeure contre le phishing-as-a-service AiTM

Lors d’une opération coordonnée annoncée le 4 mars 2026, Tycoon 2FA, une plateforme de phishing-as-a-service de type adversary-in-the-middle (AiTM), a été démantelée grâce à la collaboration de partenaires publics et privés dont Proofpoint, Microsoft, Europol, Cloudflare et plusieurs forces de l’ordre internationales. L’opération a conduit à la saisie de 330 domaines de panneaux de contrôle Tycoon 2FA.

Tycoon 2FA était commercialisé via Telegram depuis 2023 et fonctionnait principalement en collectant les cookies de session Microsoft 365 et Gmail via un proxy transparent. Cette technique permettait aux attaquants de contourner totalement le MFA et de prendre le contrôle complet des comptes. En février 2026 seulement, Proofpoint a observé plus de trois millions de messages liés à des campagnes Tycoon 2FA ciblant des organisations dans presque tous les secteurs.

Selon Microsoft, la plateforme donnait aux cybercriminels accès à près de 100 000 organisations, notamment des écoles, des hôpitaux et des institutions gouvernementales. Les données de Proofpoint indiquent que 59 % des comptes compromis avaient le MFA activé au moment de l’attaque. Les campagnes Tycoon 2FA étaient volontairement larges et opportunistes, diffusées via des liens email, des QR codes et des pièces jointes. Les attaquants exploitaient même des comptes compromis pour renforcer la crédibilité du leurre. Cette technique appelée « ATO Jumping », où une boîte de réception compromise sert à diffuser d’autres messages de phishing, compliquait fortement la détection pour les destinataires.

Pourquoi est-ce important ?

Ce démantèlement constitue une perturbation significative de l’un des écosystèmes de contournement du MFA les plus actifs, mais il ne doit pas être interprété comme une résolution définitive. Les plateformes PhaaS sont résilientes et leurs opérateurs reconstruisent, changent de marque et réapparaissent régulièrement. La leçon essentielle est que le MFA seul n’est plus un contrôle suffisant face aux attaques AiTM sophistiquées. Les organisations doivent ajouter des protections des jetons de session, des méthodes d’authentification résistantes au phishing (comme FIDO2 ou les passkeys) ainsi qu’un filtrage email avancé capable de détecter les vecteurs utilisés par Tycoon 2FA, tels que les QR codes, les pièces jointes malveillantes et les comptes expéditeurs compromis.

Incidents majeurs et événements du secteur

Zero-Day RCE critique dans BeyondTrust Remote Support exploité dans des campagnes de ransomware

Début février, BeyondTrust a révélé une vulnérabilité d’exécution de code à distance pré-authentification dans son produit Remote Support, référencée CVE-2026-1731. Cette faille, due à une injection de commande OS, permet à un attaquant non authentifié d’exécuter des commandes arbitraires via des requêtes client spécialement conçues, sans identifiants. Des exploits proof-of-concept publics sont apparus presque immédiatement après la divulgation le 6 février, et la CISA a confirmé une exploitation active dans la nature le 13 février. La vulnérabilité a été ajoutée au catalogue Known Exploited Vulnerabilities avec un délai de trois jours pour appliquer les correctifs dans les agences fédérales ou retirer complètement le produit.

Pourquoi est-ce important ?

Les outils de support à distance sont au cœur de la plupart des opérations IT, en particulier chez les MSP. Ils disposent souvent de privilèges élevés et d’un large accès réseau, ce qui en fait des cibles extrêmement précieuses. Une RCE pré-authentification dans ce type d’outil revient pratiquement à donner aux attaquants une clé passe-partout, sans phishing, vol d’identifiants ni ingénierie sociale. La rapidité avec laquelle CVE-2026-1731 est passée de la divulgation à l’exploitation par ransomware, moins de deux semaines, montre une nouvelle fois que les fenêtres de correction se réduisent. Les organisations exploitant des déploiements BeyondTrust auto-hébergés et n’ayant pas appliqué le correctif rapidement devraient considérer un scénario potentiel de compromission et enquêter en conséquence.

Faille RCE VMware Aria Operations (CVE-2026-22719) – Ajoutée par la CISA à la liste des vulnérabilités exploitées

Peu après BeyondTrust, une autre plateforme de gestion d’entreprise a attiré l’attention de la CISA en février. La plateforme VMware Aria Operations contient une vulnérabilité d’injection de commande référencée CVE-2026-22719, avec un score CVSS de 8.1 et initialement divulguée par Broadcom le 24 février dans l’avis VMSA-2026-0001.

La faille permet à un attaquant non authentifié d’exécuter des commandes arbitraires sur des systèmes vulnérables pendant le processus de migration assistée du produit. Bien qu’un correctif ait été publié lors de la divulgation, la CISA a rapidement ajouté la vulnérabilité à son catalogue Known Exploited Vulnerabilities après des signalements d’exploitation active. Une échéance fédérale de remédiation a été fixée au 24 mars 2026. Broadcom a reconnu être informé de rapports d’exploitation mais a indiqué ne pas pouvoir confirmer toutes les affirmations et a fourni un script shell de contournement pour les organisations ne pouvant pas appliquer immédiatement le correctif.

Pourquoi est-ce important ?

VMware Aria Operations est une plateforme de supervision d’entreprise utilisée pour surveiller l’état et les performances des serveurs, réseaux et infrastructures cloud dans de grandes organisations. Ce niveau de visibilité et d’accès en fait une cible privilégiée. Comme dans le cas de BeyondTrust, les plateformes de gestion et de supervision sont de plus en plus visées par les attaquants, car leur compromission peut offrir un accès très étendu. Deux vulnérabilités RCE exploitées activement et signalées par la CISA dans des plateformes de gestion en un seul mois ne relèvent pas du hasard. Cela confirme une évolution stratégique où les attaquants ciblent les outils sur lesquels s’appuient les équipes de défense. Appliquez les correctifs en urgence et, si cela n’est pas immédiatement possible, utilisez le script de mitigation fourni par Broadcom et restreignez l’accès réseau à l’interface Aria Operations.

Prévisions pour les mois à venir

  • Les plateformes PhaaS vont se réorganiser et réapparaître : le démantèlement de Tycoon 2FA est une victoire, mais ce ne sera pas la dernière plateforme AiTM à laquelle les défenseurs devront faire face. Les opérateurs de cet écosystème ont démontré leur capacité à reconstruire l’infrastructure, changer de marque et reprendre leurs activités. Attendez-vous à l’apparition de plateformes successeures ou au retour de l’infrastructure Tycoon 2FA dans les semaines ou mois à venir, probablement avec des mesures OPSEC renforcées.
  • Le contournement du MFA va continuer de s’accélérer : avec la capacité de Tycoon 2FA à voler des cookies de session depuis des comptes protégés par MFA à grande échelle, les autres acteurs disposent désormais d’un modèle éprouvé. Les techniques de phishing AiTM vont se multiplier dans l’écosystème PhaaS, et les organisations considérant encore le MFA comme une protection suffisante risquent d’être prises au dépourvu.
  • Les plateformes de gestion et de supervision deviennent le nouveau périmètre : deux vulnérabilités RCE exploitées activement et signalées par la CISA dans des outils de gestion d’entreprise au cours d’un même mois indiquent une évolution stratégique continue. Attendez-vous à un ciblage accru des outils RMM, des plateformes d’observabilité et des logiciels de gestion IT.
  • Les groupes de ransomware exploiteront des fenêtres de vulnérabilité toujours plus courtes : la chronologie BeyondTrust, entre divulgation et exploitation quasi immédiate par ransomware, confirme que les acteurs malveillants industrialisent les exploits PoC plus rapidement que la plupart des organisations ne peuvent appliquer des correctifs.
  • Le fuzzing dans les emails deviendra plus sophistiqué : à mesure que les systèmes de détection améliorent leurs capacités comportementales et heuristiques, les acteurs malveillants adapteront leur logique de fuzzing.
  • La chaîne d’approvisionnement et les accès tiers resteront un vecteur d’entrée majeur : le schéma consistant à compromettre des comptes de confiance pour diffuser davantage de phishing (comme dans la technique ATO Jumping de Tycoon 2FA) va se développer.

Recommandations mensuelles

  • Renforcez votre filtrage email au-delà des signatures et de la réputation : les techniques d’évasion par fuzzing rendent les correspondances statiques et les systèmes basés sur la réputation beaucoup moins efficaces. Investissez dans une protection email avancée intégrant analyse comportementale et inspection de contenu.
  • Allez au-delà du MFA, adoptez une authentification résistante au phishing : le démantèlement de Tycoon 2FA confirme que le MFA standard ne constitue plus une ligne de défense fiable contre les attaques AiTM. Évaluez et déployez des méthodes comme les passkeys FIDO2 ou les clés de sécurité matérielles, en particulier pour les comptes privilégiés et les environnements cloud sensibles.
  • Auditez et révoquez les jetons OAuth et de session inutiles : le phishing AiTM fonctionne en volant des cookies de session plutôt que des identifiants. Même des sessions récemment authentifiées peuvent donc être détournées. Examinez les autorisations OAuth actives et la durée de vie des jetons dans M365.
  • Appliquez immédiatement le correctif BeyondTrust Remote Support et enquêter si ce n’est pas déjà fait : si votre organisation utilise des instances BeyondTrust Remote Support auto-hébergées et n’a pas appliqué le correctif CVE-2026-1731 rapidement après la divulgation du 6 février, considérez l’environnement comme potentiellement compromis et lancez une analyse forensique.
  • Corriger VMware Aria Operations et restreindre l’accès à l’interface de gestion : appliquez immédiatement le correctif Broadcom pour CVE-2026-22719. Si ce n’est pas possible, utilisez le script de mitigation fourni par Broadcom et limitez l’accès réseau à l’interface Aria Operations aux seules adresses IP administrateur de confiance.

À propos d’Hornetsecurity

Hornetsecurity est l’un des principaux fournisseurs mondiaux de solutions de sécurité, de conformité, de sauvegarde et de sensibilisation à la sécurité basées sur le cloud de nouvelle génération, qui aident les entreprises et les organisations de toutes tailles dans le monde entier. Son produit phare, 365 Total Protection, est la solution de sécurité en cloud pour Microsoft 365 la plus complète du marché. Poussée par l’innovation et l’excellence en matière de cybersécurité, Hornetsecurity construit un avenir numérique plus sûr et des cultures de sécurité durables grâce à son portefeuille primé. Hornetsecurity est présent dans plus de 120 pays grâce à son réseau de distribution international, de plus de 12 000 partenaires de distribution et MSP. Ses services haut de gamme sont utilisés par plus de 125 000 clients. Pour plus d’informations, visitez le site www.hornetsecurity.com.

Vous pourriez aussi être intéressé par