Menace d'Amazonie Les chercheurs du renseignement ont documenté une campagne qui montre cruellement comment la combinaison des techniques traditionnelles et des services commerciaux de l'intelligence génératrice artificielle peut amplifier la capacité opérationnelle des acteurs ayant des connaissances limitées. Selon le rapport publié par AWS, entre le 11 janvier et le 18 février 2026 l'intrusion de plus de 600 appareils FortiGate a été détectée dans 55 pays, une opération qui n'était pas basée sur des vulnérabilités de zéro jour, mais sur une recette plus prosaïque : interfaces de gestion exposées et faibles pouvoirs protégés uniquement par l'authentification d'un seul facteur. Amazon explique comment l'IV a servi de multiplicateur pour un petit groupe avec des capacités techniques limitées.
La frappe n'est pas tant la sophistication technique classique de l'adversaire, mais l'architecture de l'attaque : un ensemble d'outils commerciaux IA utilisés pour différents moments de la campagne - de la préparation de mouvements de code et de planification à la génération de commandes - a permis à cet acteur de "grandir" sans avoir besoin d'une grande équipe ou d'années d'expérience. La propre analyse d'Amazon a détecté des artefacts publics associés à l'opération, y compris les plans d'attaque générés par l'IA, les configurations des victimes et le code source d'outil personnalisé. Cette infrastructure exposée offrait une sorte de chaîne d'assemblage automatique, où l'IV fournissait le muscle intellectuel et l'attaquant avec une intention économique.
Le modus operandi était systématique: balayage massif des ports de gestion FortiGate accessibles depuis Internet - ports tels que 443, 8443, 10443 et 4443 - suivi de tentatives d'accès avec des identifiants communs ou réutilisés. Le trafic de numérisation identifié provenait, selon les dossiers recueillis, des directions publiques et potentiellement malveillantes, permettant de cartographier la campagne et sa portée. Une fois à l'intérieur d'un appareil FortiGate, l'attaquant pourrait extraire la configuration complète de l'équipement, avec des informations sensibles telles que les identifiants, la topologie du réseau et les paramètres administratifs, des données qui facilitent ensuite les mouvements internes et des engagements plus profonds.
Amazon documente également que l'acteur n'a pas stagné dans le périmètre : après avoir accédé aux réseaux via des périphériques dédiés VPN et FortiGate, il a déployé des outils de reconnaissance - avec des versions en Go et Python - qui, selon l'analyse de code, montrent des signes d'être assisté par IA. Le code présentait des commentaires redondants qui répétaient simplement le nom des fonctions, des architectures simples avec plus d'intérêt pour le format que pour l'efficacité, et JSON parsées faites en assortissant les chaînes plutôt que de la dérialisation robuste: caractéristiques typiques du code généré ou aidé par les modèles de langue.
La conséquence pratique est grave dans plusieurs cas. Les attaquants ont terminé des phases de post-exploitation qui incluaient la reconnaissance avec des outils tels que Nuclei, les engagements Active Directory et la suppression massive des identifiants - y compris les tentatives d'exécuter des attaques DCSync pour reproduire la base de données de contrôleur de domaine -, des manœuvres qui préparent le terrain pour l'extorsion ou le déploiement de ransomware. Les organisations de différents secteurs et situées dans des régions aussi variées que l'Asie du Sud, l'Amérique latine, les Caraïbes, l'Afrique de l'Ouest et l'Europe du Nord ont été rejointes par des groupes d'appareils engagés.
Les techniques de mouvement latéral décrites par les chercheurs ne réinventent pas le playbook des attaquants : utilisation de passe-le-hash et de passe-le-ticket, relais NTLM et exécution à distance de commandes dans les hôtes Windows. En outre, il y avait un modèle spécifique d'intérêt pour les serveurs de sauvegarde: selon le rapport, les attaquants ont essayé d'adresser Veeam Backup & Replication serveurs, en essayant de profiter des erreurs connues comme CVE-2023-27532 et CVE-2024-40711, qui correspond à un modèle classique avant le déploiement de ransomware.
Un point révélateur de l'étude est le choix pragmatique de l'attaquant: lorsqu'ils ont rencontré des défenses plus dures - systèmes parchés, ports fermés ou vecteurs non exploitables - ils ont préféré quitter cette victime et chercher des objectifs plus faibles. Cette conduite montre que l'IV ne fait pas de magie; ce qu'elle réalise, c'est de convertir des tâches qui exigeaient auparavant l'expertise en processus automatisés et répétables, augmentant considérablement le nombre de « victoires faciles » qu'un petit groupe peut obtenir. Selon CJ Moses, CISO d'Amazon Integrated Security, l'opération semble être le travail d'individus économiquement motivés qui, grâce à l'IA, ont atteint une échelle opérationnelle qui aurait auparavant nécessité une équipe beaucoup plus grande et plus expérimentée.
Ces conclusions s'inscrivent dans le cadre d'avertissements plus larges concernant l'utilisation de modèles génériques par les cybercriminels. Les principales agences et entreprises de sécurité ont noté que l'AI réduit le seuil d'entrée pour les acteurs moins qualifiés, leur permettant d'orchestrer les attaques plus rapidement et plus en volume. Les rapports d'organisations telles que Microsoft et les agences européennes de cybersécurité documentent des tendances similaires: l'IA accélère et simplifie de nombreuses phases du cycle d'attaque sans avoir à introduire de techniques radicalement nouvelles. Pour élargir le contexte technique et stratégique sur les menaces liées à l'IV, des rapports institutionnels tels que Rapport de défense numérique de Microsoft et publications de l'Agence de l'Union européenne pour la cybersécurité ( ENISA) sont des lectures recommandées.
La leçon défensive que les chercheurs tirent est en même temps classique et urgente: la première ligne de résistance reste l'hygiène de sécurité de base. Cela signifie, par exemple, éviter d'exposer les interfaces d'administration d'Internet, remplacer les identifiants par défaut ou communs, permettre l'authentification multifactorielle pour l'accès administratif et VPN, et vérifier les comptes et les sessions administratives à la recherche d'activités non autorisées. Il est également crucial d'isoler les serveurs de sauvegarde du reste du réseau et de maintenir une politique de patch rigoureuse. Amazon insiste sur le fait que les mesures fondamentales - la gestion des patchs, l'hygiène des références, la segmentation du réseau et les capacités de détection pour les indicateurs post-exploitation - restent les défenses les plus efficaces contre les campagnes IA étendues.
Pour les équipes de sécurité qui veulent approfondir, le rapport d'Amazon comprend des détails techniques utiles et des preuves observables, y compris la trace de certains hôtes associés aux scans, qui peuvent être consultés publiquement. En outre, des ressources spécialisées expliquent les techniques spécifiques utilisées par les attaquants, telles que les attaques DCSync contre Active Directory, qui Semperis décrit en détail, et les bases de données sur la vulnérabilité permettent de vérifier les correctifs et les mesures d'atténuation pour des incidents particuliers.
Le moral de l'histoire est clair : l'arrivée de modèles générateurs dans l'écosystème des outils criminels ne transforme pas instantanément le paysage en quelque chose de méconnaissable, mais il démocratise et automatise les tâches qui ont auparavant limité l'activité des acteurs moins sophistiqués. Dans ce contexte, le maintien des bases de sécurité à jour et le déploiement de contrôles de prévention et de détection robustes restent la recette la plus fiable pour la réduction des risques. Il ne suffit pas de faire confiance à l'obscurité du réseau: les dispositifs de périmètre doivent être traités comme la porte principale d'une maison qui doit être soigneusement fermée et surveillée.
Si vous gérez l'infrastructure avec FortiGate ou d'autres dispositifs de bord, vérifiez les directives officielles du fabricant sur le durcissement et les bonnes pratiques, envisagez une surveillance continue de vos interfaces publiques et préparez des procédures d'intervention qui comprennent la vérification de l'intégrité de la configuration et la rotation des références. La menace n'est pas seulement technique : c'est un appel aux organisations de toutes tailles pour savoir pourquoi la discipline opérationnelle en cybersécurité ne peut pas être une tâche secondaire.
Sources recommandées et lectures : Amazon Threat Intelligence rapport documentant la campagne est disponible ici Végétaux Les QE sont disponibles à la base NVD CVE-2023-27532 et CVE-2024-40711, l'explication technique de DCSync apparaît dans l'analyse de Semperis et pour le contexte sur l'évolution des menaces assistées par l'IA, Rapport de défense numérique et les documents de politique générale et les risques ENISA. Pour vérifier les indicateurs observables, certains IP et artefacts ont été publiés sur des plateformes telles que : VirusTotal.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...