Je vous propose une analyse sur deux groupes qui font parler d’eux dans le monde de la cybersécurité avec le malware sp1d3rhunters, l’ensemble des informations est en source ouverte, vous pourrez vérifier l’ensemble des informations produites dans cet article.
Je vous souhaite une excellente lecture.
1. Présentation générale et historique :
Commençons par ShinyHunters qui est un groupe de cybercriminalité financière apparu en 2020, soupçonné d’être lié au groupe GnosticPlayers (actif en 2019). Des chercheurs ont noté des similarités de mode opératoire entre ShinyHunters et GnosticPlayers, bien que ShinyHunters ait nié toute connexion directe, se disant seulement inspiré par eux. L’un des membres présumés (un étudiant français de 21 ans) a été arrêté au Maroc en mai 2022 et fait face à une extradition vers les États-Unis pour son implication supposée dans le collectif. ShinyHunters serait composé de plusieurs hackers (possiblement francophones et asiatiques d’après diverses sources), motivés par le profit financier via le vol et la revente de données, ainsi que l’extorsion.
Le groupe s’est fait connaître en mai 2020 en revendant plus de 200 millions de comptes utilisateurs volés à une douzaine d’entreprises sur le dark web. Au fil de 2020-2021, ShinyHunters a orchestré une série de brèches majeures (Tokopedia, Unacademy, Microsoft, BigBasket, etc.) et vendu les données volées sur des forums clandestins.
En 2021, ils auraient ainsi monétisé les données d’au moins 60 entreprises, causant des dommages évalués à des dizaines de millions de dollars. Après une relative discrétion en 2022 (en partie due aux poursuites judiciaires), ShinyHunters est revenu sur le devant de la scène en 2023-2024 avec des attaques ciblant des services cloud de grandes entreprises (fournisseurs de stockage de données, CRM) et une présence accrue sur les forums de leaks comme RaidForums puis BreachForums.
Notamment, un opérateur sous le pseudonyme ShinyHunters a co-administré la relance du forum BreachForums en 2023. En 2024-2025, ShinyHunters s’est illustré par le vol de données via des accès à Snowflake (Ticketmaster) et Salesforce (Qantas, Allianz, LVMH, Google, etc.), adoptant une stratégie d’extorsion plus agressive et publique.
2. Tactiques, techniques et procédures (TTPs) :
Les méthodes de ShinyHunters ont évolué d’opportunistes à sophistiquées. Initialement, le groupe ciblait souvent des développeurs ou employés via des campagnes de phishing par email (T1566.001). Par exemple, le FBI a constaté qu’ils envoyaient de faux emails GitHub aux développeurs pour subtiliser leurs identifiants et accéder aux dépôts privés de code.
Ils exploitent les comptes compromis (T1078) pour infiltrer les systèmes de l’entreprise visée, puis procèdent à la récupération des identifiants stockés (T1003) dans les bases de données ou annuaires internes afin d’étendre leur accès. ShinyHunters est aussi connu pour pratiquer le credential stuffing/brute force (T1110) en capitalisant sur les énormes jeux d’identifiants volés qu’il possède.
Une fois l’accès établi, leur priorité est l’exfiltration massive de données. Ils privilégient pour cela des canaux Web/API légitimes (T1567.002) : par exemple, lors des vols de données Salesforce, ils ont abusé de l’API CRM en utilisant l’outil officiel Data Loader détourné ou un script Python personnalisé pour exfiltrer rapidement l’entièreté de la base.
En 2024, on observe une montée en gamme de leurs TTP : ShinyHunters a adopté des techniques de social engineering par téléphone (vishing) en se faisant passer pour le support informatique de l’entreprise cible, afin de faire approuver des applications OAuth malveillantes ou d’obtenir des accès à des comptes cloud.
Cette approche par voie vocale était caractéristique de Scattered Spider, ce qui montre la porosité entre les deux groupes. De plus, ShinyHunters déploie désormais des pages de phishing personnalisées (par exemple imitant la page de connexion Okta de l’entreprise cible) pour capturer des codes MFA et tokens de session, combinant ainsi phishing et contournement de MFA (technique dite MFA fatigue push – T1621). À noter que ShinyHunters n’a historiquement pas utilisé de malwares type RAT ou ransomware dans ses attaques (pas de binaire malveillant propre) – sa force réside dans l’utilisation directe des accès légitimes volés et d’outils natifs.
3. Victimes connues et secteurs ciblés :
ShinyHunters a frappé un large éventail d’organisations à travers le monde. Parmi les victimes notables figurent des plateformes grand public en 2020 : Tokopedia (91 millions de comptes exposés) et Unacademy (22 millions), Wattpad (270 millions), la boutique BigBasket (20 millions), ainsi que des services occidentaux comme Zoosk, HomeChef, Mindful, Chatbooks, Minted, dont plusieurs millions de comptes chacun. ShinyHunters a également revendiqué le vol de 500 Go de code source chez Microsoft (via GitHub) en 2020. En 2021, le groupe a publié ou vendu des bases de données d’entreprises telles que Pixlr (1,9 million d’utilisateurs) et Nitro PDF (77 millions), ou encore Bonobos (site de mode masculin). Il a aussi ciblé de nombreuses sociétés indiennes début 2021 (ex : Juspay, WedMeGood, ClickIndia, Chqbook). En 2021, une fuite massive de 70 millions de clients AT&T a été attribuée à ShinyHunters (AT&T n’a reconnu la brèche qu’en 2024).
Sur la période récente (2023-2025), ShinyHunters – souvent conjointement avec Scattered Spider – s’est tourné vers des multinationales et leurs données hébergées dans le cloud. Par exemple, l’incident Snowflake/Ticketmaster en 2024 a compromis potentiellement 680 millions d’enregistrements clients et des millions de tickets d’événements. En 2025, des attaques coordonnées ont visé des clients Salesforce de grands groupes : la compagnie aérienne Qantas, l’assureur Allianz Life (2,8 M de dossiers d’assurés exposés), le groupe de luxe LVMH, la marque Chanel, ou encore Google (base de prospects Google Ads, 2,55 M de contacts). Les secteurs touchés sont variés : e-commerce et tech (vols de bases utilisateurs), télécom (AT&T), finance/assurance (Allianz, possiblement d’autres), transport (aérien), divertissement (Ticketmaster, Pluto TV).
Cette diversité illustre le fait que ShinyHunters s’attaque avant tout aux organisations stockant de larges volumes de données monétisables, sans préférence sectorielle nette. Les victimes se situent majoritairement en Amérique du Nord, en Europe et en Asie du Sud (Inde, Indonésie pour 2020), montrant la portée internationale du groupe.
4. Modes opératoires et outils utilisés :
ShinyHunters opère principalement sur les forums clandestins et places de marché du dark web pour monétiser ses butins. Le groupe a activement contribué sur RaidForums et BreachForums, allant jusqu’à co-gérer ce dernier en 2023 sous l’alias ShinyHunters. En termes d’outils, il ne développe pas nécessairement de malware sur mesure (pas de backdoor dédiée connue). Au lieu de cela, il exploite les outils légitimes des plateformes ciblées : par exemple, Salesforce Data Loader (ou son API) pour extraire des données CRM, ou les fonctionnalités d’export de Snowflake pour copier des tables entières. En 2025, ShinyHunters a indiqué utiliser un script Python personnalisé pour accélérer le siphonnage de données Salesforce, remplaçant l’outil standard pour gagner en vitesse et furtivité. Le groupe profite aussi de données issues de malwares infostealers en circulation : une analyse montre qu’ils ont exploité des identifiants trouvés dans des logs de malwares (ex: RedLine, Raccoon) pour pénétrer des comptes Snowflake, faute de MFA activé. Côté attaques, ShinyHunters s’est appuyé sur les ressources de Scattered Spider pour la phase initiale d’ingénierie sociale (appels téléphoniques de phishing, etc.), consolidant ainsi leur arsenal. L’absence de recours à un serveur de commande & contrôle (C2) propre rend leurs activités plus difficiles à détecter via des indicateurs réseau classiques. Sur le plan communication, ShinyHunters a su diversifier ses canaux : après la fermeture de BreachForums, ils ont investi Telegram en août 2025 via un canal nommé “Scattered Lapsus$ Hunters” pour revendiquer des attaques et vendre des données/exploits. Ce canal a été rapidement banni, signe de la surveillance dont ils font l’objet.
5. IOCs connus :
Les indicateurs de compromission liés à ShinyHunters sont principalement contextuels et liés à leurs campagnes. On peut citer :
(a) Domaines de phishing – le groupe a créé de nombreux domaines imitant des services d’authentification d’entreprise (par ex. faux domaines Okta ou Microsoft). Des recherches ont identifié plus de 700 domaines enregistrés en 2025 suivant les schémas de phishing de Scattered Spider/ShinyHunters, souvent utilisés pour des pages de connexion SSO factices. La plupart de ces domaines sont désormais suspendus ou inactifs.
(b) Alias et handles – les pseudonymes “ShinyHunters”, “Shiny”, “Sp1d3r” ou “Sp1d3rHunters” eux-mêmes sont des IOCs à surveiller sur les forums et canaux Telegram.
(c) Adresses IP et infrastructures – ShinyHunters s’appuyant sur des accès légitimes, les IP peuvent être celles des VPN ou services cloud de la victime lors de l’exfiltration. Par exemple, une activité sortante importante depuis l’IP d’un nœud Snowflake ou une plage AWS inhabituelle au milieu de la nuit pourrait indiquer une exfiltration en cours.
(d) Empreintes de fichiers/scripts – le script Python d’exfiltration mentionné n’est pas public, mais les défenseurs peuvent rechercher des patterns comme l’utilisation intensive de l’API Salesforce (appel en boucle de l’endpoint d’export) dans les logs. Il n’y a pas de hash MD5/SHA-256 notoire directement associé à ShinyHunters puisque ce dernier n’emploie pas de malware classique.
(e) Autres – l’utilisation de comptes d’administration inhabituels, la présence d’applications OAuth non approuvées (ex: une appli Salesforce Data Loader non standard connectée) sont des signes possibles de compromission.
Statut : Beaucoup de ces IOCs techniques (domaine, IP) sont périssables et ont une durée de vie courte. Les domaines de phishing identifiés en 2024 ont été désactivés suite aux divulgations, tout comme les comptes BreachForums de ShinyHunters qui sont inactifs après les arrestations. La vigilance doit donc être maintenue sur de nouveaux IOCs à chaque campagne, en privilégiant les indicateurs comportementaux (par exemple, détection de téléchargements massifs de données ou de pics de trafic anormaux) plus que des signatures statiques.
6. Liens ou corrélations avec les autres entités : ShinyHunters a entretenu des liens étroits avec Scattered Spider à partir de 2024. Les deux groupes ont confirmé collaborer directement : selon ShinyHunters, Scattered Spider fournit l’accès initial aux systèmes, tandis qu’eux procèdent à l’exfiltration et à la monétisation, “ne faisant qu’un” dans ces attaques.
Cette synergie a donné naissance à l’alias commun “Sp1d3rHunters”, contraction de Spider et Hunters, utilisé sur les forums clandestins. Par exemple, l’attaque Snowflake qui a touché Ticketmaster a été menée par ce duo, tout comme la vague d’intrusions sur Salesforce en 2025. En outre, ShinyHunters et Scattered Spider semblent connectés à un réseau criminel plus large surnommé “The Com”, comprenant aussi des membres de Lapsus$. En août 2025, un canal Telegram baptisé “Scattered Lapsus$ Hunters” a rassemblé des membres de ShinyHunters, Scattered Spider et Lapsus$ pour revendiquer des attaques et annoncer le développement d’un ransomware commun.
Bien que ce canal ait été rapidement fermé, il illustre la porosité des frontières entre ces groupes. Ainsi, ShinyHunters partage des ressources, des informations et possiblement des membres avec Scattered Spider (et par extension Lapsus$). On peut parler d’une coalition de fait en 2024-2025, où ces entités s’entraident pour maximiser leurs gains et défier les autorités. Sp1d3rHunters est précisément l’incarnation de cette coalition (voir section dédiée).
7. Évaluation du niveau de menace par équipe :
- Pour le CERT:
ShinyHunters représente une menace de premier plan pour les équipes de réponse à incident. Du fait de ses exfiltrations massives, un CERT (interne ou national) pourrait être mobilisé sur des crises de grande ampleur impliquant notification de millions de clients et coordination avec les forces de l’ordre. La difficulté est que les attaques de ShinyHunters peuvent passer inaperçues jusqu’au moment de l’extorsion publique. Le CERT doit donc avoir des capacités de détection orientées cloud et données (par ex. surveiller les logs d’accès aux plateformes comme Salesforce) pour détecter en amont des comportements suspects. En termes de criticité, pour un CERT d’entreprise, le risque est élevé car une attaque réussie se traduit par une fuite de données sensibles à grande échelle et une crise médiatique potentielle. La rapidité de réaction est cruciale : ShinyHunters peut exfiltrer des millions de lignes en quelques heures, laissant peu de temps pour contenir l’incident. - Pour le SOC:
Du point de vue d’un Security Operations Center, ShinyHunters est un adversaire redoutable car furtif. Il n’emploie pas de malware bruyant et s’appuie sur des identités légitimes, ce qui complique la détection. Le niveau de menace est jugé critique pour un SOC d’entreprise disposant de beaucoup de données clients. Les analystes SOC doivent être formés à repérer des signaux faibles tels que des exports de données anormalement volumineux, des connexions d’utilisateurs en dehors des heures habituelles ou depuis des localisations atypiques, ainsi que l’apparition de nouvelles applications connectées aux environnements cloud. La charge de surveillance augmente car il faut intégrer la dimension Cloud/SaaS en plus de l’infrastructure traditionnelle. Un SOC mature devrait également surveiller les forums du dark web pour d’éventuelles mentions de l’entreprise par ShinyHunters (ce groupe ayant l’habitude de teaser ses cibles). En résumé, ShinyHunters impose au SOC de sortir du cadre purement technique/malveillant pour englober la threat intelligence et la détection orientée données. - Pour le CISO:
Pour un Chief Information Security Officer, ShinyHunters symbolise le risque de data breach ultime. La probabilité d’attaque par ce groupe ou ses associés est non négligeable pour toute entreprise gérant des données volumineuses et précieuses (données personnelles, propriété intellectuelle, etc.). Le niveau de menace stratégique est élevé, car au-delà du vol de données, il y a le risque d’extorsion publique qui peut gravement nuire à la réputation de l’entreprise. Un CISO doit évaluer si son organisation est préparée à une telle éventualité : audits de configuration des plateformes cloud (MFA activé, moindres privilèges, monitoring), plans de réponse incluant la communication de crise, et éventuellement posture sur le paiement de rançons. ShinyHunters force également les CISO à collaborer avec d’autres métiers (juridique, relations publiques, conformité) dès la phase de préparation, étant donné l’impact d’une fuite massive. En 2025, un CISO doit considérer ShinyHunters/Sp1d3rHunters comme un acteur capable de cibler indirectement son entreprise (via un fournisseur cloud, comme ce fut le cas avec Snowflake ou un CRM externe) : la sécurité des tiers et partenaires devient donc un point d’attention majeur. Enfin, d’un point de vue macro, ce groupe rappelle aux CISO l’importance de l’hygiène des identités (gestion rigoureuse des comptes, suppression des accès non utilisés) et de la surveillance continue des actifs dans le cloud.
8. Recommandations de détection et de mitigation :
- Sécuriser l’authentification et l’accès aux données :
Implémentez une authentification multifacteur résistante au phishing sur tous les comptes sensibles, en particulier ceux des plateformes cloud (GitHub, Azure AD/O365, Salesforce, Snowflake, etc.). Privilégiez les solutions de MFA robustes (clés FIDO2, applications OTP avec anti-phishing) plutôt que les SMS ou push seuls. Envisagez d’obliger une reconfirmation MFA lors d’actions critiques comme l’export de grands volumes de données. Segmentez strictement les droits : un seul compte compromis ne devrait pas pouvoir lire ou extraire l’ensemble des données (application du principe de moindre privilège). - Surveillance renforcée des activités cloud :
Mettez en place des alertes sur les comportements anormaux dans les environnements cloud. Par exemple, configurez des seuils sur les exports de données (exfiltration) : si un utilisateur télécharge soudainement des gigaoctets de données via l’API Salesforce ou Snowflake, cela doit générer une alerte immédiate. Utilisez les fonctionnalités natives des fournisseurs (CloudTrail, événements Salesforce) ou des outils CASB pour détecter ces anomalies. De même, surveillez la création d’applications OAuth dans votre écosystème – une application inconnue approuvée par un utilisateur sans justification doit être examinée rapidement. - Durcissement des processus de support et de vérification :
Formez les équipes IT/helpdesk à identifier les tentatives d’usurpation. Établissez des procédures de validation à deux niveaux pour les demandes sensibles (réinitialisation MFA, ajout d’un accès externe) – par exemple, rappel de l’employé sur son numéro officiel avant de procéder. En interne, diffusez régulièrement des exercices de phishing ciblé (y compris par SMS et téléphone) pour entraîner les employés à déjouer ces attaques. Un accent particulier doit être mis sur les administrateurs cloud et développeurs, qui sont des cibles de choix pour ShinyHunters. - Gestion des identifiants et surveillance des fuites :
Adoptez une politique stricte de gestion des mots de passe (longueur, unicité) et déployez un gestionnaire de mots de passe d’entreprise pour éviter les réutilisations dangereuses. Surveillez activement les bases de données d’identifiants volés qui circulent (via des services de credential monitoring ou en souscrivant aux alertes haveibeenpwned pour votre domaine). De nombreuses attaques de ShinyHunters ont exploité des identifiants présents dans des leaks antérieurs ou logs d’infostealers non protégés. Réagir vite en cas de compromission d’un mot de passe peut prévenir une chaîne d’attaque plus grave. - Protection des données et limitation de l’exfiltration :
Mettez en place des solutions de prévention des fuites de données (DLP) sur les points névralgiques. Par exemple, configurez des règles DLP pour bloquer ou alerter sur l’exportation de données sensibles depuis vos applications cloud (ex : export de plus de X enregistrements clients sans approbation). Chiffrez les données au repos et en transit, et envisagez d’utiliser des cloisonnements (sandbox) pour les environnements de test/développement afin de limiter l’impact si des identifiants de développeurs sont compromis. - Plans de réponse aux extorsions :
Élaborer à l’avance une stratégie en cas de demande de rançon sans chiffrement (data leak). Cela inclut : évaluer la posture de l’entreprise (politique de non-paiement ou cas exceptionnels), préparer un message de communication transparente pour les clients et partenaires, impliquer les juristes sur les aspects réglementaires (RGPD, etc.) et contacter les autorités compétentes (les agences gouvernementales encouragent le signalement de ce type d’attaque). Avoir un plan rôdé permet de gagner un temps précieux si ShinyHunters passe à l’action. - Backups et restauration :
Même si ShinyHunters ne chiffrait pas les données jusqu’à récemment, la tendance à développer un ransomware suggère de ne pas négliger les sauvegardes. Maintenez des sauvegardes offline des données critiques, testées régulièrement. En cas d’altération ou de destruction de données par l’attaquant (par exemple pour couvrir ses traces), vous pourrez restaurer l’activité de l’entreprise rapidement.
9. Chronologie synthétique des événements majeurs :
- Mai 2020 : Apparition de ShinyHunters. Le groupe émerge sur le forum Empire Market, proposant à la vente les données volées de plusieurs entreprises. En deux semaines, plus de 200 millions de comptes de services comme Tokopedia (Indonésie) et Unacademy (Inde) sont mis en vente. ShinyHunters revendique également le piratage du dépôt privé GitHub de Microsoft (~500 Go de code source) et publie 1 Go de preuves en ligne.
- Juin-juillet 2020 : Fuites de masse (“Stage 1” & “Stage 2”). ShinyHunters publie progressivement des lots de bases de données volées. En juillet, ils divulguent gratuitement les données de 25 entreprises supplémentaires (totalisant 386 millions de comptes), dont Wattpad (270M). Leurs annonces créent une onde de choc sur le dark web, succédant à l’époque aux activités de GnosticPlayers qui avaient cessé peu avant.
- Fin 2020 : Nouvelles cibles. En novembre, ShinyHunters vend la base de BigBasket (~20M clients) pour 40 000$ et divulgue celles d’Animal Jam (46M) et Pluto TV (3,2M). Leur bilan pour 2020 dépasse le demi-milliard de comptes volés.
- Début 2021 : Série de brèches début 2021. En janvier, bases de Pixlr (1,9M) et Nitro PDF (77M) divulguées, ainsi que d’autres services (MeetMindful, Teespring, etc.). ShinyHunters cible particulièrement l’Inde ce mois-là (fuites Juspay, WedMeGood, etc.). En mars, une base de 32M d’AT&T est mise en vente par un acteur lié à ShinyHunters (AT&T dément à l’époque).
- Juin 2021 : Action policière. Un grand jury fédéral américain inculpe trois membres présumés de ShinyHunters (dont le Français Sébastien Raoult) pour une soixantaine de hacks. L’inculpation liste Pixlr, Bonobos, Nitro, Tokopedia, BigBasket, etc. comme victimes, et évoque des gains illicites très importants.
- 2022 : Arrestation et transition. En mai, Sébastien Raoult est arrêté au Maroc sur mandat US. Des négociations d’extradition ont lieu. Sur le front des fuites, ShinyHunters reste relativement calme publiquement (possiblement en retrait suite aux inculpations). Néanmoins, le groupe ou ses affiliés continuent de vendre occasionnellement des bases de données sur BreachForums (ex: en 2022, fuite non confirmée de 70M d’utilisateurs d’AT&T – reconnue plus tard en 2024 par la société).
- Début 2023 : Reprise d’activité underground. Après la saisie du forum RaidForums par le FBI (2022), un nouvel administrateur “Baphomet” lance BreachForums v2. ShinyHunters s’y associe et devient co-admin du forum en juin 2023. Cela augmente son influence dans la communauté des hackers. Pendant ce temps, ils se tiennent prêts pour de nouvelles attaques, potentiellement en partenariat (les rapprochements avec Scattered Spider commencent en coulisse).
- Mai 2024 : Campagne Snowflake – Ticketmaster. Une vaste brèche est découverte : plus de 160 entreprises ont eu des données cloud compromises via un accès à la plateforme Snowflake (fournisseur d’entrepôts de données). Ticketmaster est particulièrement touché. Sous l’alias “Sp1d3rHunters” (nouvel utilisateur BreachForums), le hacker publie un échantillon de 166 000 codes-barres de billets de concerts de Taylor Swift, et exige 2 millions de dollars sous peine de fuite de “680 millions” d’enregistrements clients supplémentaires. Ticketmaster dément la possibilité d’un usage frauduleux des billets en invoquant sa technologie SafeTix à renouvellement de QR code, mais confirme plus tard la compromission de son entrepôt de données Snowflake. Cet incident marque la première opération connue combinant Scattered Spider (alias “Sp1d3r”) et ShinyHunters, d’où le nom Sp1d3rHunters utilisé.
- Juillet 2024 : Fuite et bras de fer médiatique. Sp1d3rHunters met sa menace à exécution et divulgue en ligne les 170k tickets volés de Ticketmaster. Le groupe communique via BreachForums, cherchant à embarrasser Ticketmaster publiquement. Ce dernier refuse de payer et coopère avec les autorités. L’affaire fait grand bruit car elle touche l’industrie du divertissement et le grand public (fans de concerts).
- Fin 2024 : Multiplication des intrusions cloud. ShinyHunters, souvent avec Scattered Spider, continue de cibler des entreprises via leurs prestataires cloud. Des rumeurs font état de brèches chez d’autres clients Snowflake et de premières incursions dans des instances Salesforce (CRM). Les secteurs assurance et transport aérien seraient notamment visés, sans divulgation immédiate (les enquêtes sont en cours).
- Juin 2025 : Vague d’attaques Salesforce. Google publie une alerte via son Threat Intelligence Group (GTIG) sur une série de vols de données visant des clients Salesforce. Des entreprises comme Qantas (aviation), Allianz Life (assurance) et LVMH/Chanel (luxe) sont mentionnées dans la presse comme victimes. Google elle-même détecte en juillet une intrusion dans un de ses CRM Salesforce, revendiquée par ShinyHunters (UNC6040) en collaboration avec Scattered Spider. ShinyHunters affirme avoir dérobé ~2,5 millions de contacts de PME clientes de Google Ads. Une demande de rançon de 20 BTC est envoyée à Google puis présentée comme un “canular” par l’attaquant, qui semble vouloir surtout la notoriété du geste.
- Août 2025 : Coalition et coups de filet. Le 8 août, un canal Telegram baptisé “scattered lapsu$ hunters – The COM” est lancé, réunissant ShinyHunters, Scattered Spider et possiblement des membres de Lapsus$. Ils y narguent les sociétés de cybersécurité et annoncent travailler sur un ransomware “ShinySp1d3r” pour rivaliser avec LockBit. Trois jours plus tard, Telegram supprime le canal pour infractions. Presque simultanément, en France, une opération de police (BL2C) interpelle quatre individus liés à l’administration de BreachForums, dont le principal alias ShinyHunters. ShinyHunters réagit via un communiqué sur un blog clandestin, affirmant que BreachForums est passé sous contrôle des forces de l’ordre (leurres actifs) et que ses comptes administrateurs (Hollow, Anastasia) étaient tous contrôlés par lui-même. Ce coup de projecteur et la pression policière internationale forcent le groupe à la prudence.
- Fin 2025 : Retournement et incertitudes. Suite aux arrestations et compromissions, ShinyHunters semble avoir démantelé sa présence publique. Le site BreachForums est définitivement considéré comme compromis. Des membres du collectif pourraient opérer sous de nouveaux noms ou rejoindre d’autres groupes, rendant le suivi plus complexe. Néanmoins, des bruits laissent penser que malgré ces revers, l’alliance Sp1d3rHunters (ou ce qu’il en reste) conserve des accès volés non divulgués et pourrait chercher à les exploiter plus discrètement ou à les revendre à des tiers.
10. Évaluation stratégique :
ShinyHunters demeure un acteur adaptable et opportuniste. Tendances futures : On observe une convergence entre les approches de cybercriminalité axées sur la fuite de données sans chiffrement (comme ShinyHunters, Lapsus$) et celles axées sur le ransomware.
L’initiative annoncée de développer un ransomware “ShinySp1d3r” suggère que ShinyHunters envisage d’étendre son modèle d’extorsion, potentiellement pour augmenter la pression sur les victimes (double extorsion). Si ce projet se concrétise, le groupe (ou son alliance Sp1d3rHunters) pourrait devenir encore plus destructeur en chiffrant les systèmes en plus de voler les données. Par ailleurs, ShinyHunters a montré un intérêt marqué pour les données hébergées chez des fournisseurs tiers (cloud). Stratégiquement, cela pourrait le conduire à cibler d’autres services SaaS largement utilisés (ERP, outils RH, etc.), où une brèche toucherait de multiples entreprises clientes à la fois.
Le groupe a aussi prouvé sa résilience malgré les arrestations : même si la marque “ShinyHunters” subit un coup, les individus derrière pourraient se restructurer ou s’intégrer dans d’autres collectifs. En ce sens, la menace perdurera sous une forme ou une autre. Probabilité d’attaque : Pour les grandes organisations et celles gérant des données sensibles, la probabilité d’être visé par une attaque de type ShinyHunters/Sp1d3rHunters dans le contexte actuel est élevée. Les attaques récentes ont montré que les secteurs technologiques, financiers, luxe, transport, etc., sont tous dans le viseur.
Il est probable que de nouvelles campagnes d’extorsion de données surviennent en 2025-2026, menées soit par ShinyHunters s’il reste opérationnel, soit par des groupes adoptant des tactiques similaires. La fragmentation possible du groupe suite aux arrestations pourrait temporairement réduire sa capacité, mais chaque fuite de données publiée incite d’autres acteurs à imiter la méthode. En somme, ShinyHunters a inauguré une ère d’attaques centrées sur la donnée et le chantage public plutôt que sur le ransomware classique, et cette tendance stratégique risque de se maintenir voire de s’amplifier à l’avenir.
Passons maintenant au Groupe Scattered Spider (alias UNC3944, 0ktapus)
1. Présentation générale et historique :
Scattered Spider est un groupe de cybercriminels anglophones révélé en 2022, composé principalement de jeunes hackers audacieux (adolescents et jeunes adultes pour certains) localisés en Amérique du Nord et en Europe. Aussi suivi par Mandiant sous le code UNC3944 et connu sous les alias Octo Tempest, Scatter Swine ou encore 0ktapus, il s’est fait connaître par ses attaques de social engineering sophistiquées.
Le groupe serait né de la communauté de SIM swap (échange de carte SIM frauduleux) appelée “The Com”, active dans le vol de cryptomonnaies et de comptes privilégiés. Scattered Spider a d’abord attiré l’attention en mai 2022 par une campagne de phishing massif via SMS visant les utilisateurs d’authentification OTP – campagne surnommée “0ktapus” par les chercheurs. Ce collectif a rapidement évolué d’escroqueries individuelles (vols de crypto-monnaies par SIM swapping) vers des intrusions complexes contre des grandes entreprises en 2023, devenant l’un des groupes criminels les plus perturbateurs de 2023-2024. Ils sont motivés financièrement (extorsion, revente d’accès) mais aussi par la quête de notoriété sur les forums, n’hésitant pas à narguer leurs cibles.
Le groupe a développé un savoir-faire pour exploiter les “maillons faibles” humains et procéduraux plutôt que des exploits technologiques inédits.
En 2023, Scattered Spider a été identifié comme affilié de haut rang du ransomware-as-a-service ALPHV (BlackCat), réalisant l’accès initial que les opérateurs de ransomware exploitent. Malgré des arrestations fin 2023, le groupe a continué ses activités en 2024-2025, notamment en s’alliant avec ShinyHunters.
2. Tactiques, techniques et procédures (TTPs) :
Scattered Spider excelle dans l’ingénierie sociale. Sa technique emblématique est le “SMS phishing” (Smishing) ciblé (T1566.002) combiné à des attaques de type SIM swap pour détourner les numéros de téléphone des victimes. En 2022, via 0ktapus, ils ont envoyé des SMS usurpant des services d’authentification (Okta, services bancaires) pour récolter identifiants et codes OTP.
Ensuite, le groupe utilise une panoplie de méthodes pour franchir la MFA : ils sont pionniers de l’attaque par MFA fatigue (T1621), bombardant la cible de notifications de connexion jusqu’à ce qu’elle approuve par lassitude ou inadvertance. Ils pratiquent aussi l’appel téléphonique direct (vishing) aux centres de support des entreprises, se faisant passer pour un employé en détresse afin d’obtenir une réinitialisation de mot de passe ou l’ajout d’un nouvel appareil approuvé. Une fois l’accès initial obtenu (compte VPN, RDP ou Okta valide), Scattered Spider agit comme un intrus interne : il exploite les comptes valides (T1078) pour se déplacer latéralement. Par exemple, après compromission d’un compte Okta ou d’un VPN, ils cherchent des privilèges plus élevés sur le domaine Windows ou le tenant cloud. Ils n’hésitent pas à escalader les privilèges via des techniques “living off the land” (utilisation d’outils d’administration légitimes). Notamment, ils créent parfois des machines virtuelles cachées sur l’infrastructure de la victime (vSphere, Azure) pour établir une persistance hors de la vue des outils de sécurité (une VM malveillante tourne comme un serveur interne où ils ont la main).
Cette astuce de persistence dans une VM rend leur éjection difficile si elle n’est pas activement monitorée. Scattered Spider excelle aussi à désactiver les protections de sécurité (T1562) : ils utilisent des scripts PowerShell pour stopper des services de sécurité (EDR, antivirus) ou ajoutent des exceptions. Un exemple est un “privacy script” qu’ils ont utilisé pour désactiver Windows Defender en toute discrétion.
Durant leurs opérations, ils peuvent effectuer des captures d’écran (T1113) ou exfiltrer des informations d’identification supplémentaires (dump de coffres CyberArk via PSPAS, extraction de mots de passe locaux via des outils comme Mimikatz ou PCUnlocker). L’exfiltration finale des données se fait généralement via des canaux chiffrés externes (T1041), par exemple en utilisant l’outil rclone pour copier des fichiers volés vers un stockage Cloud externe contrôlé par les attaquants. En parallèle, depuis 2023, Scattered Spider collabore avec des opérateurs de ransomware, ce qui l’amène à déployer en fin de chaîne des charges de type ransomware (par ex : BlackCat/ALPHV en 2023, plus récemment ils ont aussi utilisé une variante appelée DragonForce en 2025). Ainsi, leurs TTP combinent intrusion sans malware, vol de données (pour double extorsion) et éventuellement chiffrement de systèmes critiques.
3. Victimes connues et secteurs ciblés :
Scattered Spider a compromis plus d’une centaine d’organisations depuis 2022. Les premières victimes notoires (campagne 0ktapus mi-2022) incluent Twilio (communications cloud) et indirectement plus de 130 clients de Twilio dont Cloudflare (tentative bloquée grâce à des clés de sécurité) et DoorDash (livraison de repas).
En 2023, le groupe s’est tourné vers des entreprises de premier plan : en janvier 2023, ils ont infiltré Riot Games (éditeur de jeux vidéo) via ingénierie sociale d’employés, volant le code source de League of Legends et demandant une rançon de 10 millions de dollars (refusée). En février 2023, Coinbase a rapporté une intrusion (phishing ciblé d’un employé) aussitôt contenue, qui a été attribuée au même collectif 0ktapus/Scattered Spider. Le groupe s’est aussi attaqué aux prestataires de services de communication/email : par exemple MailChimp a subi deux brèches en 2022-2023 impliquant des accès support compromis (technique de Scattered Spider). Le secteur des télécoms a été touché : plusieurs opérateurs mobiles américains (AT&T, T-Mobile) ont été victimes de SIM swaps par des membres possiblement liés à The Com, antécédents de Scattered Spider.
La santé et le secteur public ne sont pas épargnés : le FBI a noté des tentatives contre des hôpitaux (via des campagnes Lapsus$ affiliées). Les attaques les plus retentissantes associées à Scattered Spider sont survenues en septembre 2023 dans le secteur du jeu et de l’hôtellerie : le groupe a utilisé l’accès à un compte externe pour paralyser les systèmes de MGM Resorts (chaînes de casinos/hôtels) en collaboration avec le ransomware ALPHV, causant des perturbations majeures pendant plus d’une semaine.
De même, Caesars Entertainment a été compromise (données clients volées) et aurait payé ~15 millions de dollars de rançon pour éviter la divulgation. En 2024, après quelques arrestations de membres, le groupe s’est fait plus discret, mais des rapports indiquent qu’il a ciblé des domaines comme le retail britannique (plusieurs grandes enseignes UK fin 2023), ainsi que des compagnies aériennes et des assureurs aux États-Unis au début 2024 (tentatives d’accès aux systèmes internes via leur helpdesk).
Ces chevauchements avec les cibles de ShinyHunters (assurance, retail, aviation) ne sont pas fortuits : cela correspond aux opérations menées conjointement en 2024-2025 (ex : Allianz Life – assurance, Qantas – aviation, Chanel – retail luxe, toutes victimes de fuites Salesforce par ShinyHunters en 2025). En résumé, les secteurs privilégiés de Scattered Spider sont ceux où l’impact est élevé : grandes entreprises technologiques, services financiers (banques, crypto), télécoms/FAI, transports et hôtellerie/loisirs. Ils visent souvent des entreprises ayant un grand nombre d’employés et un support IT potentiellement externalisé, car cela multiplie les vecteurs humains à attaquer.
Géographiquement, la majorité des cibles confirmées sont aux États-Unis et au Royaume-Uni (partenaires du FBI et NCSC), mais le groupe a opéré également au Canada et potentiellement en Australie (d’où la participation de l’ASD australienne aux bulletins d’alerte).
4. Modes opératoires et outils utilisés :
Scattered Spider s’appuie sur une préparation minutieuse et des outils du commerce détournés à son profit.
Préparation/Reconnaissance : Le groupe collecte des informations sur les employés cibles via les réseaux sociaux (LinkedIn), le personnel d’assistance, et s’informe sur les technologies utilisées par l’entreprise (pour créer des leurres crédibles). Ils enregistrent à l’avance des domaines typosquattés proches de ceux des services légitimes de l’entreprise, par exemple en remplaçant un caractère ou en utilisant un TLD différent, afin d’héberger leurs pages de phishing.
ReliaQuest a ainsi identifié une série de domaines thématiques autour de billets/tickets et de logins Salesforce/SSO créés par des acteurs liés à Scattered Spider/ShinyHunters en 2025. Outils d’attaque : Ils privilégient les outils existants plutôt que de développer des malwares détectables. Parmi ceux-ci, Rclone (outil de synchronisation cloud) est largement utilisé pour exfiltrer les données volées de l’infrastructure victime vers un stockage Cloud externe. PC Unlocker (utilitaire de réinitialisation de mots de passe Windows) a été mentionné comme un outil qu’ils utilisent une fois sur place pour s’arroger des droits administrateur sur des machines sans déclencher d’alarme.
Ils disposent de scripts pour manipuler l’Active Directory et les solutions de gestion des accès privilégiés (extraction de hashs NTLM, utilisation du module PowerShell CyberArk PSPAS pour aspirer des mots de passe de coffres). Pour la prise de contrôle interactive, ils peuvent installer des outils d’administration à distance (type ScreenConnect, AnyDesk) sur les machines compromises du support ou des administrateurs, afin d’agir manuellement sans alerter (ces outils étant souvent approuvés en entreprise). Infrastructure et C2 : Étant donné qu’ils n’installent pas de malware permanent, Scattered Spider n’a pas de serveur C2 classique à suivre. Leur “C2” se limite souvent à des connexions VPN/RDP légitimes usurpées.
Toutefois, dans certaines opérations menées avec des ransomware (BlackCat, etc.), ils ont pu relayer l’accès à l’équipe ransomware qui, elle, utilisait son propre C2 pour déployer et exfiltrer (ex: Cobalt Strike Beacon a possiblement été utilisé par BlackCat sur l’accès fourni par Scattered Spider). Évasion et persistance : Outre la création de VMs secrètes mentionnée, ils ajoutent parfois de nouveaux comptes utilisateur ou clés SSH sur des serveurs Linux pour une persistance discrète. Cependant, ils évitent l’usage de backdoors custom qui pourraient être détectées par signatures, préférant s’appuyer sur la confiance existante des systèmes (ex: un compte administrateur de domaine qu’ils compromettent devient leur “backdoor” tant qu’il n’est pas révoqué).
La structure interne de Scattered Spider semble décentralisée et en petites cellules indépendantes, ce qui leur confère une résilience face aux arrestations : l’arrestation de deux de leurs membres fin 2023 n’a pas totalement arrêté le groupe, d’autres membres ayant repris le flambeau. Enfin, ils partagent volontiers informations et techniques avec d’autres groupes (comme Lapsus$), ce qui diffuse leurs outils et savoir-faire plus largement.
5. IOCs connus :
Scattered Spider laisse relativement peu de traces techniques faciles à partager, car ses attaques reposent principalement sur l’usurpation d’identité et des outils légitimes. Cependant, certains IOCs ont été documentés :
(a) Numéros de téléphone/expéditeurs de SMS – la campagne 0ktapus 2022 utilisait des expéditeurs du style “OKTA” ou des numéros courts aux États-Unis. Ces indicateurs sont difficiles à exploiter en défense car ils changent d’une campagne à l’autre.
(b) Domaines de phishing – de nombreux domaines ayant servi aux attaques ont été listés par les chercheurs (souvent rapidement bannis). Par exemple, des domaines imitant des portails Okta ou Azure AD avec de légères modifications orthographiques. Un rapport Cyble a mentionné que certains domaines de phishing utilisés par Scattered Spider contenaient le nom de la cible suivi de termes comme “vpn”, “login”, “auth” etc., combinés à des TLD inhabituels (.xyz, .support, etc.). Fin 2025, les acteurs ont accru l’enregistrement de domaines liés aux secteurs financiers (+12% depuis juillet 2025) indiquant une focalisation sur ces cibles.
(c) Adresses IP d’attaquants – lorsqu’ils se connectent aux VPN/RDP des cibles, ils passent souvent par des VPN commerciaux (Mullvad, ProtonVPN) ou le réseau TOR. Certaines IP de sorties TOR ayant été observées dans plusieurs incidents, les entreprises peuvent surveiller l’utilisation de TOR vers leurs portails d’accès distant (cela dit, bloquer TOR peut causer des faux positifs avec des utilisateurs légitimes en voyage).
(d) Empreintes d’outils – l’exécution d’rclone.exe sur un poste d’administration sans raison légitime peut être un IOC ; de même que l’utilisation soudaine de tscon.exe (outil de prise de contrôle de session RDP) par un utilisateur du support, ou l’installation imprévue d’un utilitaire comme TeamViewer. Un PDF interne du FBI (HC3) de 2024 listait quelques signatures de scripts utilisés par Scattered Spider dans des attaques sur le secteur santé (ex: scripts batch créant des comptes locaux avec le nom “HELPDESK” sur les machines) – ces détails sont à usage restreint, mais un IOC général est l’apparition de nouveaux comptes ou tâches planifiées non reconnus.
(e) Artefacts sur systèmes – s’ils ont utilisé Mimikatz ou LaZagne, il peut subsister des traces dans la mémoire ou les logs (fichiers d’événement de sécurité montrant un vidage LSASS, etc.). Cependant, Scattered Spider étant prudent, ces indices ne sont pas garantis. Statut : la plupart des IOCs “simples” (domaines, numéros) relatifs aux premières attaques ont expiré. Le groupe renouvelle constamment son infrastructure, rendant caducs les indicateurs statiques. La défense doit donc surtout s’appuyer sur des IOCs comportementaux et sur les recommandations générales de vigilance.
En outre, du fait de la collaboration avec ShinyHunters, les IOCs de celui-ci (par ex. alias Sp1d3rHunters sur les forums, ou l’usage de domaines liés à des CRM) peuvent être considérés comme pertinents indirectement pour Scattered Spider.
6. Liens ou corrélations avec les autres entités :
Scattered Spider est désormais intimement lié à ShinyHunters par leur collaboration active. Comme mentionné, ils forment ensemble l’entité Sp1d3rHunters, où Scattered Spider apporte la porte d’entrée et ShinyHunters l’exfiltration/monétisation. Les attaques de 2024-2025, notamment sur Snowflake et Salesforce, ont été menées conjointement, ciblant les mêmes secteurs et entreprises sur la même période.
Par ailleurs, Scattered Spider partage une origine commune avec des membres de Lapsus$ (un groupe d’adolescents ayant sévi en 2021-2022) au sein de la communauté “The Com”. Ceci explique l’apparition du canal “Scattered Lapsus$ Hunters” en 2025 où les trois noms sont associés. Il semble que certains acteurs de Scattered Spider aient interagi avec Lapsus$ (par exemple, l’attaque d’Okta en 2022 est attribuée à Lapsus$, mais Scattered Spider utilisait des méthodes semblables sur Twilio – possiblement une interconnexion de membres). La fusion de ces groupes a des limites (ce ne sont pas exactement les mêmes entités, mais des collaborations ponctuelles), cependant la tendance est à la coalescence des talents criminels quand une opération est jugée lucrative ou stratégique.
En résumé, Scattered Spider ne peut plus être vu comme isolé : en 2025, c’est un maillon d’une constellation de groupes e-crime (The Com) dont fait partie ShinyHunters, et qui a emprunté techniques et membres à Lapsus$. Cette interconnexion accroît la menace globale, en permettant le partage de ressources (identifiants volés, infrastructure) entre ces groupes.
7. Évaluation du niveau de menace par équipe :
- Pour le CERT: Scattered Spider représente une menace critique orientée ingénierie sociale et détournement de confiance. Pour un CERT, cela implique que les incidents liés pourraient ne pas ressembler à des attaques techniques classiques : un compromis de compte administrateur suite à un appel téléphonique malveillant peut être plus difficile à investiguer qu’un malware détecté. Le CERT doit développer des procédures spécifiques pour ce type d’attaque (analyse des logs VPN/MFA, vérifications auprès des employés ciblés, collaboration avec les opérateurs téléphoniques). Le niveau de menace est très élevé car le groupe vise des infrastructures névralgiques (authentification, annuaires, consoles cloud) et peut causer des arrêts d’activité (cas MGM). Par ailleurs, leur mode opératoire pouvant impliquer le ransomware en phase finale, le CERT doit être prêt à enclencher son plan de réponse ransomware en plus de la gestion d’une exfiltration de données – double défi. Un CERT national ou sectoriel (ex : finance) doit également se tenir informé en continu car Scattered Spider a la capacité de frapper de multiples entités dans un laps de temps court (effet de campagne). En somme, le CERT doit considérer qu’une attaque de Scattered Spider sur son périmètre est probable et aurait un impact majeur, ce qui justifie une posture de préparation maximale.
- Pour le SOC: Du point de vue d’un SOC, Scattered Spider est un adversaire extrêmement challengant. Le groupe excelle à mimer des actions légitimes, ce qui complique la détection basée sur les règles traditionnelles. Le niveau de menace est critique – on parle d’un groupe qui a réussi à infiltrer plus de 100 organisations, souvent sans utiliser de malware détectable. Cela exige que le SOC élargisse son périmètre de surveillance : il ne suffit plus de surveiller les endpoints et le trafic réseau interne, il faut aussi intégrer les journaux des services cloud et même la détection de fraudes internes (par ex, alerte si un employé IT change subitement la MFA d’un dirigeant). Les SOC doivent se doter d’outils de détection comportementale (UEBA) capables de repérer des écarts d’usage par rapport à la base (ex : un compte qui s’authentifie normalement depuis la France commence à le faire depuis un VPN suédois en pleine nuit, puis accède à des données sensibles). En termes de charge, suivre Scattered Spider implique également du renseignement proactif : un SOC bénéficiera de surveiller les pastebin, forums ou réseaux sociaux où les attaquants se vantent de leurs exploits pour anticiper de potentielles cibles. Le SOC doit par ailleurs être en veille sur les correctifs et guides publiés par les autorités (CISA, FBI) relatifs à Scattered Spider, car ceux-ci contiennent des TTP émergents à intégrer en détection. Enfin, le SOC devrait idéalement disposer d’une cellule d’analyse des menaces internes capable d’auditer régulièrement la posture sécurité (par ex, en testant si un employé lambda peut inscrire un nouvel appareil MFA – pour voir si le processus est vulnérable). Un SOC bien préparé peut détecter précocement un début d’attaque (par exemple, un ticket IT suspect ou un appel inhabituel), ce qui est vital pour neutraliser Scattered Spider avant qu’il n’escalade ses privilèges.
- Pour le CISO: Scattered Spider est un cas d’école montrant que la sécurité humaine et des processus est tout aussi importante que la sécurité technique. Pour un CISO, ce groupe souligne les lacunes potentielles dans la formation du personnel et les procédures de support. Le niveau de menace pour l’entreprise est élevé : en combinant vol de données, sabotage (ransomware) et atteinte à l’image, Scattered Spider peut causer des dommages financiers et réputationnels sévères. Le CISO doit donc s’assurer que des contrôles sont en place pour contrer ce type d’attaques : sensibilisation renforcée de tous les employés (et en particulier du helpdesk et des administrateurs système) aux attaques de social engineering, mise en place de politiques de vérification d’identité forte pour toute demande exceptionnelle, et culture de la méfiance constructive (“zero trust” humain). Sur le plan de la gouvernance, un CISO vigilant inclura dans ses tableaux de bord de risques l’axe “menace interne simulée” (par un acteur externe se faisant passer pour interne). Le risque juridique est aussi à considérer : des attaques de Scattered Spider ont conduit à des compromis de données personnelles et donc à des déclarations aux régulateurs, ce qui peut engager la responsabilité de l’entreprise. Un CISO devra possiblement défendre l’investissement dans des solutions de EDR/XDR couplées à du XDR sur le cloud (car sans visibilité sur SaaS et réseau, on est aveugle face à ces menaces). Enfin, d’un point de vue stratégie de défense, le CISO doit encourager une plus grande collaboration inter-entreprises via les centres de partage d’info (ISAAC/ISAC), car la menace Scattered Spider dépasse souvent le cadre d’une seule organisation – l’information partagée sur une technique ou un leurre utilisé peut en sauver d’autres.
8. Recommandations de détection et de mitigation :
- Authentification et MFA renforcés :
Éliminez l’usage de MFA “faible” (OTP SMS, appels push sans protection). Préférez des méthodes résistantes aux attaques type Scattered Spider, comme les clés U2F/FIDO2 ou les OTP hardware. Déployez des solutions limitant le push bombing (par exemple, certains fournisseurs proposent de restreindre à une seule notification toutes les X minutes, ou de rendre nécessaire de taper un numéro affiché à l’écran – “number matching” – plutôt que d’accepter un push aveuglément). Mettez en place des verrous d’ingénierie sociale auprès des opérateurs téléphoniques pour les cadres dirigeants (ex : mot de passe de portabilité, liste blanche d’opérations autorisées) afin de contrer le SIM swapping. - Durcir les procédures de support :
Instituez des politiques de vérification multi-facteur pour toute demande passée via le helpdesk interne. Par exemple, si un employé appelle pour réinitialiser un MFA, le protocole pourrait exiger de le rappeler sur son numéro officiel enregistré ou de valider via un manager. Entraînez le personnel support avec des exercices de red teaming interne : des faux appels par l’équipe sécurité pour tester leur vigilance, en leur fournissant ensuite un débriefing et des conseils. Il peut être utile de créer un code secret interne pour les communications sensibles entre employés et support (partagé hors bande), comme cela se fait pour la vérification de clients VIP en banque. - Supervision centrée sur l’utilisateur et l’endpoint :
Déployez des outils d’EDR sur les postes sensibles (ceux des administrateurs, support, etc.) avec des règles de détection de comportements suspects : exécution d’outils comme Mimikatz ou PCUnlocker, désactivation de services de sécurité, création non planifiée de nouveaux comptes locaux ou VM. Activez la journalisation exhaustive sur les annuaires (Azure AD/AD) pour repérer des changements de configuration ou des tentatives d’ajout de périphérique MFA sur un compte administrateur. Utilisez de l’analytics (UEBA) pour détecter des anomalies d’accès – par exemple, un employé du support qui se connecte soudainement aux comptes de multiples utilisateurs ou un administrateur qui télécharge une grande quantité de données en dehors de son périmètre habituel. - Limiter les outils utilisables par les attaquants :
Mettez en place une liste d’applications autorisées sur les postes critiques (Application Whitelisting). Bloquez l’exécution des outils connus pour être détournés : par exemple, interdire rclone sur les postes utilisateur ou restreindre son utilisation aux seuls serveurs autorisés, afin de prévenir une exfiltration facile. Sur les serveurs Windows, désactivez l’outil Tscon pour tous sauf les administrateurs approuvés, afin d’éviter qu’un attaquant détourne des sessions RDP. Vérifiez aussi les réglages de sécurité de vos hyperviseurs : implémentez des alertes quand une nouvelle VM est créée ou quand un snapshot est pris en dehors des fenêtres de maintenance attendues (pour détecter la tactique de la VM persistante). - Backups et segmentation :
Segmentez votre réseau pour qu’un accès utilisateur ne donne pas accès aux données sensibles sans passer par des contrôles supplémentaires. Par exemple, isolez le réseau du support IT de celui des administrateurs systèmes, de sorte qu’un compte support compromis ne puisse pas directement atteindre le cœur du SI. Conservez des backups hors-ligne et testés comme recommandé contre les ransomwares, car bien que l’extorsion de données soit souvent le premier objectif, plusieurs attaques de Scattered Spider se sont conclues par un déploiement de ransomware. Avoir des backups minimisera l’impact opérationnel en cas de chiffrement. - Plan de réponse et communication :
Préparez un plan de réponse multi-facettes : incluant la gestion d’un incident de type intrusion + extorsion. Identifiez à l’avance les personnes à contacter (forces de l’ordre, experts en négociation si besoin, équipes de communication de crise). Entraînez ce plan via des simulations (table-top exercises) où le scénario implique un groupe comme Scattered Spider accédant aux systèmes, demandant une rançon et potentiellement divulguant des données. Ces exercices aideront à améliorer la coordination entre SSI, DSI, direction générale et communication. Impliquer la haute direction dans ces simulations est important, car des décisions (ex: payer ou non une rançon) peuvent être nécessaires en un temps court. Enfin, anticipez les obligations légales : en cas de fuite de données personnelles, préparez les modèles de notifications aux utilisateurs et aux régulateurs pour respecter les délais (par ex 72h sous GDPR).
9. Chronologie synthétique des événements majeurs :
- Mai-juillet 2022 : Campagne “0ktapus”. Scattered Spider (pas encore nommé ainsi publiquement) mène une vaste campagne de smishing ciblant les employés de plus de 130 sociétés technologiques. Twilio révèle en août qu’une attaque par SMS a compromis les identifiants de certains employés, permettant aux hackeurs d’accéder à des données de clients (dont des identifiants OTP pour des comptes Okta de plusieurs entreprises). Cloudflare rapporte avoir été visé simultanément, mais repousse l’attaque grâce à l’utilisation de clés physiques par ses employés. Plusieurs services en ligne (Signal, DoorDash) notifient des impacts indirects via Twilio. Cette campagne 0ktapus, du nom du kit de phishing utilisé, marque l’essor du groupe.
- Fin 2022 : Infiltrations ponctuelles et Lapsus$.* Le mode opératoire de Scattered Spider est très similaire à celui du groupe Lapsus$ qui sévit début 2022 (attaques sur Microsoft, Nvidia, etc.). En septembre, la police de Londres arrête des adolescents liés à Lapsus$. Il est soupçonné que certains membres de “The Com” (communauté SIM swap dont Scattered Spider) aient fait partie de Lapsus$. Durant la fin 2022, Scattered Spider reste actif de manière sous le radar – par exemple, il pourrait être impliqué dans une brèche de Uber en septembre (intrusion via un fournisseur support, revendiquée par Lapsus$). Les liens entre ces groupes deviennent flous, préparant le terrain à leurs collaborations futures.
- Janvier 2023 : Hack de Riot Games. Un ou plusieurs membres associés à Scattered Spider/Lapsus$ compromettent Riot Games via du social engineering (phishing de comptes Slack d’employés). Ils accèdent au dépôt de code source du jeu League of Legends et du logiciel anti-triche, puis exigent 10 M$ pour ne pas le diffuser. Riot refuse, le code fuite sur Internet. Cet incident illustre le pivot de la cible : de l’accès utilisateur (Slack) à la compromission profonde (code source), via pure ingénierie sociale.
- Février 2023 : Incident Coinbase. Coinbase divulgue qu’un employé a été victime d’une attaque par SMS puis téléphone, donnant accès à son compte. L’attaquant a tenté de pénétrer les systèmes internes mais a été stoppé. Coinbase attribue l’attaque au même groupe que Twilio (0ktapus). Parallèlement, Reddit signale en février une intrusion par phishing ciblé sur son personnel (vol de quelques documents internes), attribuée possiblement à un acteur de type Scattered Spider.
- Mars 2023 : Okta support breach. Okta annonce qu’une intrusion a touché son unité de support clientèle : un attaquant a accédé aux ordinateurs de support via Remote Desktop, permettant de consulter des enregistrements de sessions de clients. Cet événement – lié par la presse à Lapsus$ – présente de fortes similarités avec les méthodes de Scattered Spider (ciblage du helpdesk).
- Avril 2023 : Intrusion chez Western Digital. WD subit une intrusion majeure : les hackers exfiltrent ~10 To de données et obtiennent un accès administrateur, perturbant les services cloud de l’entreprise pendant 2 semaines. Ils demandent un paiement de rançon (~8 chiffres). Le style (pas de chiffrement mais vol de données et sabotage) et le profil des hackers (communiqués moqueurs) laissent penser à Scattered Spider ou une faction similaire. L’enquête est en cours, aucune attribution publique ferme n’est faite, mais cela démontre l’impact possible sur une infrastructure critique.
- Septembre 2023 : MGM et Caesars – apogée médiatique. MGM Resorts (géant des casinos/hôtels) est paralysé après que Scattered Spider, par un simple appel téléphonique de quelques minutes au helpdesk, a obtenu les identifiants d’un employé et accès au réseau. Le groupe revend ensuite l’accès à ALPHV qui déploie un ransomware. Les systèmes de MGM (réservations, machines à sous, etc.) tombent en panne pendant 10+ jours, causant des pertes financières et de réputation significatives. Quasiment simultanément, Caesars Entertainment admet qu’en août un groupe similaire a volé sa base de données clients (~60M de personnes) via un prestataire informatique compromis, et qu’une rançon de 15 M$ a été payée pour détruire les données. Ces deux incidents très médiatisés établissent Scattered Spider (surnommé alors « Octo Tempest » par CrowdStrike) comme l’une des menaces cyber les plus directes pour les grandes entreprises américaines. Le FBI et la CISA s’impliquent activement.
- Novembre 2023 : Alerte CISA et premières arrestations. Le 16/11, la CISA, FBI et homologues internationaux publient un avis conjoint sur Scattered Spider (AA23-320A) détaillant les TTP connus et appelant à renforcer MFA et surveillance. Quelques jours plus tard, l’Espagne extrade vers les USA un jeune Écossais de 23 ans suspecté d’être membre de Scattered Spider. En parallèle en Floride, un complice de 19 ans est arrêté. Ces actions conjuguées entraînent une baisse d’activité attribuée au groupe fin 2023, suggérant que les individus arrêtés jouaient un rôle central (peut-être les hackers derrière MGM).
- Début 2024 : Réorganisation. Avec le démantèlement partiel de fin 2023, Scattered Spider se réorganise. On observe moins d’attaques majeures attribuées directement au groupe au T1 2024. Cependant, certains de ses membres restants semblent s’allier plus étroitement à ShinyHunters qui monte en puissance sur les attaques Salesforce. Le groupe maintient un profil bas pendant quelques mois, possiblement pour se faire oublier des enquêteurs.
- Juin-juillet 2024 : Retour via Sp1d3rHunters. Comme détaillé dans la chronologie ShinyHunters, c’est à travers la coalition Sp1d3rHunters que Scattered Spider refait surface dans les rapports. Les compétences de social engineering du groupe sont mises à profit pour compromettre Snowflake (mai) puis Salesforce (été). Les attaques ne sont plus revendiquées sous le nom “Scattered Spider” publiquement, mais l’alias Sp1d3rHunters ou Octo Tempest apparaissent dans les analyses de cyber-intel. L’absence d’attaques “solo” de Scattered Spider suggère qu’ils concentrent leurs efforts sur ces opérations conjointes plus rentables.
- Août 2025 : Scattered Lapsus$ Hunters. La création puis suppression du canal Telegram associant Scattered Spider, Lapsus$ et ShinyHunters marque une tentative de front uni contre les sociétés de sécurité et les forces de l’ordre. Ce bref épisode, bien qu’avorté, montre la volonté de Scattered Spider (ou du moins ses membres actifs) de s’entourer d’alliances pour revenir sur le devant de la scène. La mention du développement de ransomware “ShinySp1d3r” et la vente de prétendus exploits zero-day sur ce canal signalent une diversification potentielle des activités du groupe vers de nouveaux horizons criminels.
- Fin 2025 : État actuel. Scattered Spider, en tant qu’entité indépendante, est affaibli par les mesures d’application de la loi. Néanmoins, les techniques qu’il a perfectionnées circulent toujours. Le groupe ou ses successeurs se concentrent possiblement sur des attaques plus ciblées et discrètes. Certains spécialistes estiment que Scattered Spider pourrait se fondre dans d’autres collectifs (soit en intégrant des gangs de ransomware existants, soit en évoluant sous un nouveau nom). The Com continue d’exister en tant que réseau souterrain, ce qui assure la transmission du savoir-faire de Scattered Spider à une nouvelle génération de hackers.
10. Évaluation stratégique : Scattered Spider a mis en lumière l’efficacité des attaques centrées sur le facteur humain et l’abus de confiance.
Les tendances futures : On peut s’attendre à ce que les techniques de Scattered Spider soient répliquées et adaptées par d’autres groupes criminels. Par exemple, l’attaque combinée du support IT et du cloud CRM (vue chez MGM/Ticketmaster) pourrait inspirer des campagnes similaires dans d’autres secteurs (imaginons : ciblage du support d’une grande banque pour pénétrer ses systèmes internes). Le fait que Scattered Spider ait voulu développer son propre ransomware en 2025 témoigne d’une convergence entre groupes d’extorsion de données et groupes de ransomware.
Stratégiquement, cela signifie que les frontières entre les groupes “data breach” et “ransomware” vont s’estomper, rendant les attaques hybrides plus fréquentes. Scattered Spider a également montré comment attaquer la chaîne logistique humaine (fournisseurs de support, employés de partenaires). Cela pourrait encourager plus d’attaques de type supply chain sociale – par ex. cibler une compagnie de service client outsourcée pour accéder aux données de plusieurs clients d’un coup.
Concernant le groupe lui-même, si ses leaders ont été mis hors-jeu, les membres restants très jeunes peuvent adopter une stratégie de low profile quelques temps, puis revenir sous un autre label (p. ex. “Octo Team” ou autre) pour échapper aux radars.
Probabilité d’attaque : À court terme, le démantèlement partiel de Scattered Spider réduit la menace directe, mais comme mentionné, d’autres prendront le relais. Pour une grande entreprise, la probabilité de faire face à une attaque du type Scattered Spider (même si ce n’est pas par le groupe d’origine) reste élevée dans les 12-18 mois. Le succès de leurs méthodes incite des copycats à s’y essayer, d’autant plus que les outils requis (phishing, scripts PowerShell) sont peu coûteux. Si les entreprises ne comblent pas les failles humaines/processus révélées, elles resteront vulnérables. Sur le plan géopolitique, on note que des agences gouvernementales (CISA, NSA) s’intéressent de près à ces techniques et diffusent guides et alertes ; cela indique que la menace est prise très au sérieux et considérée durable. En résumé, Scattered Spider a inauguré une ère d’attaques “White-glove” (gants blancs) où l’approche est plus furtive et astucieuse que brute. La stratégie de sécurité des entreprises doit évoluer en conséquence, car la probabilité de telles attaques complexes va croissant.
et enfin pour être complet sur ces acteurs le malware sp1d3rhunters
1. Présentation générale et historique :
sp1d3rhunters n’est pas un malware individuel classique, mais plutôt le nom de code utilisé pour la collaboration entre ShinyHunters et Scattered Spider en 2024-2025. Concrètement, le terme est apparu lorsque l’utilisateur “Sp1d3r” (affilié à Scattered Spider) a commencé à opérer sur les forums sous le nouveau pseudonyme “Sp1d3rHunters” – un alias mélangeant Spider et Hunters.
Il désigne une entité hybride regroupant des membres des deux groupes coopérant sur des attaques de grande envergure. Il existe peu d’informations publiques dédiées spécifiquement à “un malware sp1d3rhunters” – toute mention de sp1d3rhunters réfère en réalité à ce collectif et à ses opérations. L’historique de sp1d3rhunters est lié aux événements majeurs cités plus haut : le nom prend racine avec la fuite Ticketmaster (juin 2024), puis est employé par les attaquants lors des extorsions ultérieures. En août 2025, la création d’un canal Telegram “Scattered Lapsus$ Hunters” a élargi le concept en englobant Lapsus$, mais ce canal a rapidement été supprimé.
En résumé, sp1d3rhunters n’est pas un nouveau groupe indépendant, mais le produit de l’alliance stratégique entre deux groupes existants.
2. Tactiques, techniques et procédures (TTPs) :
Les TTPs de sp1d3rhunters sont la combinaison directe de celles de ShinyHunters et Scattered Spider. Leur tactique d’ensemble consiste à :
1) obtenir un accès initial (par phishing avancé ou en exploitant des identifiants volés existants),
2) escalader les privilèges et naviguer dans l’infrastructure cible, puis
3) exfiltrer un maximum de données via des méthodes furtives et exercer une extorsion.
Plus précisément, sp1d3rhunters s’illustre par le vol d’identifiants (via du smishing, vishing ou récupération de logs d’infostealers) afin de pénétrer des plateformes cloud. Par exemple, ils ont exploité des identifiants d’employés présents dans des logs d’infostealer pour accéder aux environnements Snowflake de certaines entreprises sans MFA.
Ensuite, ils appliquent les techniques de Scattered Spider pour contourner les sécurités (usurpation du support, push MFA) et les techniques de ShinyHunters pour siphonner les données (scripts d’export massif, upload sur leur cloud). Leur approche est hautement obfusquée : ils utilisent les canaux normaux du système ciblé, ce qui rend leurs actions difficiles à distinguer de l’activité légitime. Par exemple, dans l’attaque Ticketmaster, sp1d3rhunters a utilisé les requêtes Snowflake habituelles d’extraction de données, ce qui aux yeux des systèmes de Ticketmaster ressemblait à une requête valide, jusqu’à ce que les données soient exfiltrées en externe.
De plus, sp1d3rhunters est connu pour mettre en scène ses extorsions : tutoriels fournis pour prouver l’utilisabilité des données volées (comme la conversion des codes-barres en billets scannables), messages publics de démenti des déclarations des victimes pour maintenir la pression (par ex, réfutation des propos de Ticketmaster sur l’invalidité des billets).
En 2025, ils ont également menacé d’ajouter la composante ransomware via le projet “ShinySp1d3r” (non abouti), montrant qu’ils envisagent d’enrichir leurs TTPs d’un chiffrement offensif en plus de la fuite de données.
3. Victimes connues et secteurs ciblés :
Les opérations menées sous le nom sp1d3rhunters correspondent aux victimes déjà mentionnées : Ticketmaster (loisirs) en 2024, Allianz Life (assurance) en 2025, Google (CRM) en 2025, ainsi que AT&T, Neiman Marcus, Advance Auto Parts, Bausch & Lomb, etc., cités dans des fuites de données liées à Snowflake ou Salesforce.
En pratique, toute cible revendiquée conjointement par ShinyHunters et Scattered Spider peut être attribuée à sp1d3rhunters. Par exemple, ShinyHunters a affirmé que la brèche Google Ads (Salesforce) était réalisée en collaboration avec Scattered Spider (ils qualifient d’ailleurs explicitement cette collaboration de “Sp1d3rHunters”). Le secteur d’activité n’est pas un facteur limitant pour sp1d3rhunters : ce qui compte, c’est la présence de données exploitables et un vecteur humain ou technique pour y accéder. Ainsi, les cibles vont de la billetterie en ligne grand public (Ticketmaster) à la haute technologie (Google) en passant par la finance (Allianz) et le commerce (Chanel).
Le point commun est plutôt la donnée en masse et la notoriété de la marque (ce qui assure un retentissement maximal à l’extorsion). Les victimes de sp1d3rhunters subissent typiquement une exfiltration discrète suivie d’une exposition publique partielle pour prouver l’attaque. Dans le cas Ticketmaster, la fuite de codes-barres de billets de concerts phares comme Taylor Swift visait à mobiliser l’attention des médias et fans, augmentant la pression sur l’entreprise.
On observe donc que sp1d3rhunters choisit ses cibles pour l’impact potentiel : entreprises possédant des données sensibles sur des millions de personnes, et souvent avec une dimension grand public ou critique (loisirs, communications, transport, finance).
Géographiquement, les victimes identifiées de sp1d3rhunters sont majoritairement en Amérique du Nord (États-Unis) et en Europe (France via LVMH par ex.), ce qui correspond aux zones d’opération de ShinyHunters et Scattered Spider. Il est probable que d’autres victimes n’aient pas été divulguées publiquement, car ShinyHunters a affirmé détenir des bases non révélées lors de ses fuites étalées (comme GnosticPlayers auparavant).
4. Modes opératoires et outils utilisés :
En tant qu’opération conjointe, sp1d3rhunters utilise les outils favoris de ses deux composantes.
Outils d’exfiltration sur mesure :
Le collectif a rapidement développé des utilitaires pour optimiser le vol de données cloud. L’utilisation d’un script Python custom à la place de l’outil Salesforce Data Loader en est un exemple marquant. Ce script, non public, était capable de parcourir rapidement les objets Salesforce (Contacts, Accounts, etc.) et d’en extraire les enregistrements en un temps réduit, évitant les limitations et journaux trop visibles de l’outil officiel.
Outils d’accès initial :
sp1d3rhunters a utilisé des kits de phishing sophistiqués pour récolter des identifiants. Par exemple, lors de l’incident Ticketmaster, ils ont vraisemblablement tiré parti du kit de phishing 0ktapus (pages web clonant parfaitement l’authentification Okta/MFA) pour obtenir une session valide sur Snowflake. De plus, ils ont profité des logs d’infostealers disponibles sur des forums clandestins : selon Hudson Rock, de nombreux identifiants Snowflake volés par malwares avaient été repérés avant l’attaque. sp1d3rhunters a donc pu acquérir ces identifiants (ou acheter l’accès) pour préparer ses intrusions – il s’agit d’une forme de “recyclage” d’outils malveillants existants.
Pas de malware propriétaire identifié :
Il est important de souligner qu’aucun binaire ou malware unique appelé Sp1d3rhunters n’a été isolé. Les analyses (VirusTotal, MalwareBazaar) ne listent pas de fichier à ce nom. Le terme renvoie aux personnes et non à un code. En revanche, si l’on entend “malware sp1d3rhunters” au sens de malicious software employé par sp1d3rhunters, on peut citer les trojans d’accès distant commerciaux (Cobalt Strike Beacon, AnyDesk) qu’ils ont pu utiliser pour maintenir la connexion sur les machines compromises, ou de futurs malwares comme le ransomware ShinySp1d3r s’il voit le jour.
Communication et négociation :
sp1d3rhunters a utilisé BreachForums et Telegram pour ses communications offensives. Sur BreachForums, l’utilisateur Sp1d3rHunters a diffusé les leaks et négocié sous ce pseudonyme. Sur Telegram, ils ont tenté d’adopter une approche plus “publique” (à la manière de Lapsus$) avec des annonces spectaculaires (compte à rebours avant fuite, sondages pour choisir quelle fuite publier en premier, etc.). Ceci fait partie de leurs “outils” de pression psychologique.
Ransomware ShinySp1d3r :
Bien qu’encore inexistant concrètement, c’était un élément d’arsenal annoncé. S’il avait été lancé, on peut imaginer qu’il se serait appuyé sur des bases de code de ransomwares existants (LockBit ou d’autres, d’après leur message), avec éventuellement un branding personnalisé. L’idée était de se doter d’un outil de chiffrement pour compléter leur panoplie. À ce jour, aucune utilisation d’un ransomware maison par sp1d3rhunters n’a été constatée – leur arsenal est donc resté centré sur l’exfiltration et la menace de divulgation.
5. IOCs connus :
Puisque sp1d3rhunters n’est pas un programme malveillant distinct, les IOCs qui lui sont associés sont indirects et recoupent ceux de ShinyHunters/Scattered Spider. Néanmoins, on peut relever : (a) Alias en ligne : l’apparition de l’utilisateur Sp1d3rHunters sur BreachForums en mai 2024 est un IOC crucial (maintenant obsolète puisque le forum est fermé). De même, les handles Telegram utilisés brièvement (comme @scatteredlapsusp1d3rhunters) sont des IOCs contextuels – par exemple, le lien t[.]me/scatteredlapsusp1d3rhunters a été actif du 8 au 11 août 2025. Ce canal étant supprimé, il n’est plus un IOC exploitable sauf à titre historique.
(b) Données volées en vente/libres : un indicateur tangible du passage de sp1d3rhunters est la diffusion soudaine de bases de données appartenant à une entreprise sur les sites de leaks. Par exemple, la publication des tickets Taylor Swift sur BreachForums ou des 2,8M de clients Allianz sur un forum clandestin signale l’action de sp1d3rhunters. Ces dumps eux-mêmes (empreintes, hash des fichiers CSV) peuvent servir d’IOCs pour repérer d’éventuelles occurrences sur vos systèmes (pour vérifier si vos données figurent dans un dump).
(c) Techniques d’attaque : sur le plan défensif, la conjonction de certains événements est un IOC comportemental fort pour sp1d3rhunters : par exemple, la réception d’un appel suspect au support + des activités anormales sur un tenant cloud la même semaine. Pris isolément, ces indices pourraient sembler bénins ; ensemble, ils dessinent la signature d’une attaque sp1d3rhunters.
(d) Outils réseaux/infrastructure : comme mentionné, il n’y a pas de serveur C2 propre. Toutefois, la utilisation d’un VPN commercial particulier a été notée : dans certains cas, les attaquants se sont connectés via l’IP d’un VPN suédois pour exfiltrer (détails non publics exacts). Surveiller les connexions sortantes vers des services cloud de stockage inhabituels (Mega, Dropbox) après un accès d’admin pourrait aussi révéler l’exfiltration.
(e) Aucun hash de malware spécifique : en l’absence de malware distinct, il n’y a pas de hash unique à l’effigie de sp1d3rhunters à bloquer.
En revanche, on peut recenser les hash des archives de données volées qu’ils ont publiées, afin de pouvoir les détecter sur les postes (par ex, si un employé télécharge l’archive pour vérifier la fuite).
Statut des IOCs :
Tous les IOCs connus liés à sp1d3rhunters pointent vers des activités passées (alias forum, domaine Telegram, fichiers leaks) qui sont à présent inactifs ou connus des autorités. Il est probable qu’ils adopteront de nouveaux alias si l’alliance persiste. Les défenseurs doivent donc se concentrer sur des IOCs dynamiques : surveiller l’apparition de nouvelles identités combinant des références à “spider/chasseur/lapsus”, et partager toute information sur des fuites suspectes survenues dans leur secteur (car sp1d3rhunters a ciblé plusieurs entreprises d’un même secteur en rafale).
6. Liens ou corrélations avec les autres entités :
Par définition, sp1d3rhunters est le point de convergence entre ShinyHunters et Scattered Spider. Ce n’est pas un acteur tiers, mais bien l’étiquette de leur collaboration. Ainsi, toutes les corrélations décrites précédemment (ShinyHunters <-> Scattered Spider, Scattered Spider <-> Lapsus$) s’appliquent directement à sp1d3rhunters. On peut néanmoins ajouter que sp1d3rhunters sert de marque commune pour revendiquer des actions conjointes, ce qui brouille aux yeux du public la distinction entre les deux groupes initiaux. Cela peut être intentionnel de la part des membres : en se présentant comme entité nouvelle, ils compliquent l’attribution et la réaction des défenseurs. En interne, on peut supposer qu’il existe une forte complicité entre certains membres clés de ShinyHunters et Scattered Spider (voire, potentiellement, ce sont parfois les mêmes individus utilisant plusieurs pseudos). L’existence du canal “Scattered Lapsus$ Hunters” indique également que sp1d3rhunters (Shiny+Scattered) envisageait d’intégrer Lapsus$ dans leur giron. Même si cela n’a pas perduré, la communauté de “The Com” reste ce liant informel entre ces groupes. En synthèse, sp1d3rhunters n’a pas d’existence indépendante sans ShinyHunters/Scattered Spider – c’est la face visible de leur coopération. Par conséquent, toute mesure prise contre l’un affecte l’autre et vice-versa. Ce lien symbiotique amplifie leur menace mais signifie aussi qu’ils partagent leur destin : si l’un des deux groupes se disloque, sp1d3rhunters disparaîtra de fait.
7. Évaluation du niveau de menace pour les équipe:
- Pour le CERT: sp1d3rhunters représente une menace “combinée” exceptionnelle pour un CERT d’entreprise ou national. C’est le scénario où l’on fait face simultanément aux techniques d’intrusion les plus abouties (social engineering ciblé, compromission de fournisseurs) ET à des conséquences graves en exfiltration de données. Le niveau de menace est très critique, car une attaque sp1d3rhunters réussie peut mettre en péril la continuité d’activité (si elle s’accompagne de sabotage/ransomware) tout en créant une crise de fuite de données. Pour un CERT, cela signifie qu’en cas d’incident, il faudra mobiliser un large éventail de compétences : investigateurs réseau (pour comprendre comment l’attaquant est entré), spécialistes cloud (pour suivre la trace dans les logs SaaS), équipes légales et communication (vu l’extorsion publique). La coordination sera complexe, d’où l’importance d’exercices de simulation de crise multi-domaines. Le CERT national, de son côté, doit considérer sp1d3rhunters comme un modèle d’attaque émergent dont il faut informer les organisations critiques. En termes de gestion, c’est presque le pire cas en cybersécurité entreprise, d’où la nécessité d’une préparation robuste.
- Pour le SOC: Du point de vue SOC, sp1d3rhunters est l’adversaire ultime combinant furtivité et impact. Tout ce qui a été dit pour ShinyHunters (vol massif de données, usage de comptes valides) et Scattered Spider (contournement de MFA, ruse téléphonique) s’applique conjointement. Le SOC doit donc être capable de détecter une intrusion multi-vecteurs. Le niveau de menace est maximal, car en l’absence de détection, l’attaquant peut opérer longtemps (parfois plusieurs mois comme noté par Google, où ils ont eu le temps d’exfiltrer avant détection) et causer un préjudice majeur. Cela met en lumière le besoin d’outils de XDR (Extended Detection & Response) unifiant la visibilité sur endpoints, réseau, cloud et identité. Un SOC bien outillé pourrait repérer un pattern suspect – par exemple, un employé du support qui ajoute une application OAuth juste avant un gros transfert de données – alors qu’en silo, ces événements passeraient inaperçus. La charge sur les analystes SOC sera élevée en cas d’attaque sp1d3rhunters : la quantité de données à analyser (logs cloud, etc.) sera volumineuse, et l’attaquant cherchera à effacer certaines traces. Le SOC doit s’attendre à des false flags ou diversions (ex: l’attaquant peut déclencher une alerte mineure d’un côté pour occuper l’équipe pendant qu’il exfiltre ailleurs). En synthèse, sp1d3rhunters est un stress-test pour la capacité du SOC à opérer sur plusieurs fronts simultanément.
- Pour le CISO: Pour un CISO, sp1d3rhunters incarne la menace la plus sérieuse à l’heure actuelle contre la sécurité de l’information de l’entreprise. Elle combine l’impact d’une fuite de données massive (atteinte à la confiance, sanctions réglementaires possibles) et la disruption potentielle des opérations (si ransomware ou sabotage). Le CISO doit évaluer honnêtement la posture de son entreprise face à un tel risque. Souvent, cela révèle des angles morts : par exemple, la plupart des budgets sécurité se concentrent sur la protection périmétrique et la détection de malwares, alors qu’ici la menace vient de l’intérieur (attaquant ayant déjà des accès) et utilise des moyens légitimes. Ce décalage peut pousser le CISO à réalouer des ressources vers la sécurité du Cloud et la sécurité des identités, domaines parfois moins matures. Au niveau stratégique, sp1d3rhunters force les CISO à intégrer la notion de confiance zéro (Zero Trust) non seulement dans l’IT mais aussi dans les processus métier. Chaque requête, chaque transaction doit être potentiellement suspecte jusqu’à vérification, ce qui nécessite un changement culturel qui dépasse la seule technologie. La menace sp1d3rhunters est également un rappel que la sécurité ne peut plus être cloisonnée : le CISO doit travailler main dans la main avec le CTO, le responsable RH (pour la sensibilisation), le RSSI des prestataires critiques (pour aligner les exigences de sécurité). En termes de risque résiduel, même avec les meilleures pratiques, on ne peut jamais réduire la probabilité d’attaque à zéro (les attaquants essayeront toujours la ruse humaine). Il incombe donc au CISO de construire une résilience : s’assurer que même si une brèche se produit, l’entreprise sait la contenir, la gérer rapidement et en tirer des leçons pour l’avenir. En résumé, sp1d3rhunters est un game changer pour la fonction de CISO, qui doit élargir sa vision de la sécurité à l’ère du cloud et du social engineering à grande échelle.
8. Recommandations de détection et de mitigation :
(Les recommandations suivantes englobent à la fois les mesures pour contrer ShinyHunters, Scattered Spider et leur alliance sp1d3rhunters, étant donné l’entrelacement de leurs techniques.)
- Adopter une posture Zero Trust renforcée : Supprimez la confiance implicite restante dans vos systèmes. Par exemple, même pour les connexions internes ou déjà authentifiées, implémentez des contrôles adaptatifs : une demande d’extraction de données massive ou de changement de configuration critique devrait nécessiter une revalidation (MFA step-up ou approbation managériale). Segmentez fortement les accès : l’utilisateur lambda n’a pas besoin de requêter des millions de lignes de la base client en une fois. Des solutions de type “Just-in-time access” pourraient limiter la fenêtre de tir d’un attaquant (accorder des droits élevés temporairement sur justification, plutôt que des comptes admins permanents).
- Surveillance holistique et corrélation d’événements : Mettez en place un SIEM ou XDR capable de corréler des événements sur plusieurs environnements. Par exemple, corréler une alerte DLP (export de données) avec un événement Azure AD (ajout d’une application inconnue par un admin) et une connexion VPN depuis un pays inhabituel, pourrait révéler l’attaque sp1d3rhunters en cours. Utilisez l’IA/ML de façon pragmatique pour repérer des patterns complexes. Surveillez notamment les actions sur les comptes à privilèges et les ressources Cloud critiques (CRM, stockage objets, etc.).
- Impliquer la gestion des identités tierces : Exigez de vos fournisseurs (ex: prestataires de support, infogérance) qu’ils renforcent eux aussi leurs mesures de sécurité. Dans les contrats, insérez des clauses imposant MFA et formation anti-phishing pour le personnel du fournisseur qui a accès à vos systèmes. Scattered Spider a souvent exploité la sous-traitance – un maillon plus faible – pour atteindre la cible finale. Une bonne pratique est d’intégrer les fournisseurs critiques à vos exercices de sécurité (ex: drills conjoints). Également, limitez techniquement ce que les comptes de support externes peuvent faire (principe du moindre privilège appliqué aux prestataires).
- Mécanismes anti-exfiltration : Outre la DLP mentionnée plus tôt, envisagez des solutions innovantes comme la watermarking de données ou les honeytokens. Par exemple, créer de faux enregistrements de clients traçables (honeyrecords) dans votre base – s’ils se retrouvent publiés sur un forum, vous saurez qu’il y a eu fuite et pourrez potentiellement remonter à la source. De même, paramétrez les services cloud pour qu’ils alertent en cas d’utilisation d’API à haut volume. Si possible, lorsque c’est supporté, définissez des quotas ou limites de requêtes sur vos données (ex: un utilisateur ne devrait pas pouvoir exporter plus de X enregistrements sans déclencher une vérification).
- Formation et simulations orientées “menace actuelle” : Actualisez vos programmes de sensibilisation en incorporant des scénarios tirés de sp1d3rhunters. Par exemple, organisez un exercice où un employé VIP reçoit un appel prétendu du DSI demandant une action urgente – et mesurez s’il suit la procédure de vérification. Faites des modules e-learning courts mais fréquents montrant les dernières techniques (capture d’écran de faux SMS, exemple réel d’un email de phishing utilisé contre Google, etc.). Le but est de maintenir la vigilance au sein du personnel, car l’attaquant n’a besoin que d’une seule erreur humaine pour réussir.
- Collaboration et partage d’intel : Rejoignez les réseaux de partage d’informations sectoriels ou locaux pour échanger sur les menaces. Ce qui a aidé à contrer ces groupes, c’est la coopération internationale (ex: alertes FBI/CISA). Au niveau entreprise, signalez aux autorités sans délai toute tentative sérieuse d’extorsion ou d’intrusion de ce type – non seulement cela peut aider à attraper les coupables, mais en plus vous pourrez recevoir des conseils ou aides (CERT nationaux, etc.). Partagez anonymement les indicateurs de l’attaque (fichier, IP, domaine) avec la communauté via des plateformes comme MISP. En brisant le silo d’information entre victimes potentielles, on peut collectivement réduire la fenêtre d’action de ces groupes.
9. Chronologie synthétique : (Regroupe les événements clés relatifs à sp1d3rhunters en tant qu’entité collaborative)
- Mai 2024 : Genèse sur BreachForums. L’utilisateur “Sp1d3rHunters” est créé sur le forum clandestin BreachForums (v3). Il s’agit du nouveau pseudo de l’acteur “Sp1d3r” (Scattered Spider) opérant conjointement avec ShinyHunters. Peu après, ce compte commence à poster au sujet d’une compromission majeure – il s’avère que c’est l’annonce de la vente des données Ticketmaster/Snowflake.
- Juin 2024 : Attaque Ticketmaster. Sous l’alias Sp1d3rHunters, les hackers publient sur BreachForums la preuve de l’accès Snowflake de Ticketmaster : 166k tickets scannables de concerts Taylor Swift sont mis en ligne. Ils menacent de divulguer 30 millions de codes-barres d’événements supplémentaires et les données de 680M d’utilisateurs si 2 M$ ne sont pas payés. Ticketmaster confirme la brèche mais refuse de céder. C’est la première action publique estampillée sp1d3rhunters, combinant le vol (par ShinyHunters) et l’accès initial (par Scattered Spider).
- Juillet 2024 : Divulgation et escalade. Aucune rançon n’ayant été payée, Sp1d3rHunters publie gratuitement les 170k tickets volés. Ticketmaster minimise l’impact grâce à la rotation des codes-barres. Sp1d3rHunters, dans un message, accuse Ticketmaster de mentir sur l’inutilité des codes volés et affirme avoir des tickets “print-at-home” non protégés, contredisant la version de l’entreprise. Ce bras de fer médiatique établit la réputation du collectif.
- Fin 2024 : Activités en coulisse. Sp1d3rHunters, bien qu’inactif publiquement, serait derrière plusieurs intrusions confirmées en 2025 (Allianz, Qantas). Durant cette période, ils recueillent possiblement d’autres accès (via logs d’infostealers notamment). BreachForums v3 disparaît en avril 2025 dans des circonstances floues, poussant le collectif à chercher d’autres canaux de communication.
- Juin 2025 : Attaques Salesforce en série. Plusieurs grandes entreprises annoncent avoir été victimes d’accès non autorisés à leurs données via Salesforce. Les fuites (Allianz Life, Qantas, Chanel, etc.) sont revendiquées en privé par ShinyHunters, qui précise travailler “avec Scattered Spider” et utiliser le nom Sp1d3rHunters pour cette campagne. Google subit également une brèche Salesforce le 9 juin, confirmée le 8 août 2025, attribuée au duo. Les demandes d’extorsion (20 BTC pour Google) sont faites, puis présentées comme des plaisanteries par les hackers, signe de leur assurance et peut-être d’une envie de se moquer publiquement des cibles.
- Août 2025 : Regroupement et démantèlement. Le 8 août, sp1d3rhunters, Lapsus$ et Scattered Spider lancent un canal Telegram “Scattered Lapsus$ Hunters”, s’affichant comme un collectif unifié. Ils y proclament avoir infiltré divers systèmes et planifient un ransomware ShinySp1d3r. Le 11 août, le canal est banni par Telegram. Le 12 août, ShinyHunters avertit que BreachForums est désormais un piège à hackers tenu par les forces de l’ordre, révélant que ses comptes y sont compromis. Dans les jours suivants, plusieurs individus liés à ShinyHunters/sp1d3rhunters sont arrêtés (en France notamment). Ces événements marquent un coup d’arrêt majeur pour le collectif, avec la perte de leur plateforme de communication et l’arrestation de membres clés.
- Fin 2025 : Après sp1d3rhunters. Suite aux actions policières, l’alliance sp1d3rhunters se fait beaucoup plus discrète. Aucune nouvelle fuite majeure n’est revendiquée sous ce nom après l’été 2025. Il est possible que les membres restants aient choisi de se replier dans l’ombre ou de se réorganiser en scindant à nouveau leurs activités (ShinyHunters d’un côté, d’éventuels successeurs de Scattered Spider de l’autre). L’absence de revendication ne signifie pas inactivité : des intrusions pourraient se poursuivre sans être publiquement attribuées. Néanmoins, le label sp1d3rhunters, trop exposé, n’est peut-être plus utilisé ouvertement. La menace, elle, persiste sous-jacente.
10. Évaluation stratégique :
sp1d3rhunters, bien qu’éphémère en tant que “marque” visible (2024-2025), représente un tournant dans le paysage des menaces : celui de la collusion entre groupes criminels pour réaliser des attaques à plus grande échelle.
Du point de vue stratégique, l’épisode sp1d3rhunters suggère que les barrières traditionnelles entre groupes (APT vs cybercrime, compétition entre gangs) tendent à s’estomper lorsqu’il y a un intérêt commun. On peut s’attendre à voir émerger d’autres coopérations opportunistes de ce type – par exemple, un groupe spécialisé en accès initiaux faisant équipe avec un groupe de ransomware pour maximiser le profit (ce schéma a déjà été observé avec IAB + ransomware, sp1d3rhunters en est une variante orientée exfiltration de données). D’un autre côté, la forte médiatisation de sp1d3rhunters a aussi attiré une répression rapide (arrestations, actions coordonnées internationales).
Stratégiquement, cela pourrait dissuader à court terme d’autres groupes de s’exposer autant. On peut imaginer que les futures collaborations seront plus clandestines, sans canal Telegram public ni fuites “spectacle”. Les acteurs pourraient choisir de monnayer l’accès et les données volées sans les publier eux-mêmes, afin de rester sous le radar (retour à un modèle purement criminel moins bruyant). En matière de tendances techniques, sp1d3rhunters a mis en avant l’importance de cibler les services cloud : c’est une tendance lourde qui va continuer.
De plus en plus de groupes d’attaque chercheront à exploiter les données hébergées sur le cloud (où souvent la sécurité est mal maîtrisée par les clients). De même, l’utilisation de logs d’infostealers pour obtenir des accès d’entreprise (mise en évidence par sp1d3rhunters dans les attaques Snowflake) va certainement se généraliser parmi les cybercriminels, car c’est un moyen efficace de pénétrer sans bruit. En somme, sp1d3rhunters a montré la voie d’une attaque “tout-en-un” très efficace, et bien que le collectif en lui-même soit fragilisé, sa recette sera reproduite.
Probabilité d’attaque : Il est peu probable que sp1d3rhunters tel quel refasse surface à court terme compte tenu des arrestations et de la surveillance. Cependant, les entreprises doivent considérer qu’une attaque reprenant le modus operandi sp1d3rhunters est tout à fait possible – simplement perpétrée par un autre groupe ou une coalition différente. La menace est donc toujours présente, même si le nom change.
Dans une perspective 2025-2026, la probabilité d’attaques combinant ingénierie sociale avancée, exploitation de services cloud et extorsion médiatique est élevée, car elles se sont révélées rentables et difficiles à contrer. Les défenseurs doivent intégrer cette évolution dans leur planification stratégique. L’ère où l’on pouvait se concentrer sur un seul type de menace à la fois (p.ex ransomware ou exfiltration) est révolue : sp1d3rhunters l’a démontré en combinant les vecteurs. Ainsi, bien que sp1d3rhunters en tant qu’entité ait pu être neutralisé en partie, le modèle sp1d3rhunters restera une menace stratégique majeure dans un avenir prévisible.
Sources / References
- https://medium.com/under-the-breach (Under the Breach blog for further threat actor profiles)
- https://www.bitdefender.com/en-us/blog/hotforsecurity/hackers-leak-ticketmasters-barcode-data-for-160-000-taylor-swift-eras-tour-tickets-online
- https://www.scworld.com/brief/ticketmaster-downplays-alleged-shinyhunters-hack-of-taylor-swift-tix
- https://securityaffairs.com/181017/data-breach/google-confirms-salesforce-crm-breach-faces-extortion-threat.html
- https://www.bleepingcomputer.com/news/security/google-confirms-data-breach-exposed-potential-google-ads-customers-info/
- https://www.bleepingcomputer.com/news/security/google-confirms-data-breach-exposed-potential-google-ads-customers-info/ (Expanded article by Lawrence Abrams)
- https://cloud.google.com/blog/products/chronicle/defending-against-unc3944-aka-scattered-spider
- https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-320a (Joint FBI/CISA Advisory on Scattered Spider)
- https://malwarebytes.com/hacker-news/ticketmaster-hackers-release-stolen-ticket-barcodes-taylor-swift (Malwarebytes article referencing Sp1d3rHunters on BreachForums)
- https://securityaffairs.com/181093/data-breach/hackers-leak-2-8m-sensitive-records-from-allianz-life-in-salesforce-data-breach.html
- https://lemonde.fr/en/pixels/article/2022/08/05/who-are-the-shinyhunters-a-hacker-group-an-fbi-wanted-frenchman-is-suspected-of-belonging-to_5992595_13.html
- https://underthebreach.medium.com/meet-the-top-5-threat-actors-exploiting-infostealers-data-to-breach-companies-681253e11998 (Under the Breach – Alon Gal Medium article)
- https://thehackernews.com/2025/08/cybercrime-groups-shinyhunters.html (The Hacker News article on ShinyHunters & Scattered Spider alliance)
- https://falconfeeds.io/blogs/scattered-lapsus-hunters-investigative-timeline (FalconFeeds.io detailed timeline of “Scattered Lapsus$ Hunters” Telegram channel)
- https://medium.com/@tahirbalarabe2/unmasking-the-scattered-spider-threat-actor-6435c2439ed7 (Medium article “Unmasking Scattered Spider”)
- https://cybersecuritydive.com/news/scattered-spider-hacker-group-profile/ (Cybersecurity Dive profile on Scattered Spider)
- https://wired.com/story/scattered-spider-hacking-group-chaos/ (Wired article on Scattered Spider – “Most Imminent Threat”)
- https://en.wikipedia.org/wiki/GnosticPlayers
- https://en.wikipedia.org/wiki/ShinyHunters
- https://whiteblueocean.com/newsroom/shinyhunters-one-of-the-most-recognised-threat-actors-among-the-hacking-community/
