TL;DR : L’essentiel
- Le gang Scattered Lapsus ShinyHunters déploie une stratégie d’intimidation physique incluant le swatting, où de fausses alertes à la bombe provoquent des interventions policières armées au domicile personnel des cadres ciblés.
- Contrairement aux réseaux cybercriminels russes structurés, ce collectif anglophone issu de The Com privilégie la violence psychologique et le harcèlement constant des proches pour user la résistance des victimes visées.
- Les intrusions débutent souvent par une usurpation d’identité téléphonique, où les attaquants se font passer pour le support informatique afin de détourner les codes d’authentification multifacteur et l’accès SSO.
- Les experts de Unit 221B recommandent de refuser systématiquement tout paiement car ce groupe instable ne fournit aucune preuve de suppression des données et réutilise souvent les informations pour la fraude.
L’émergence du groupe Scattered Lapsus ShinyHunters (SLSH) marque une évolution notable dans les pratiques de la cybercriminalité. Ce collectif anglophone se distingue des groupes de ransomwares traditionnels, souvent basés en Russie et très régimentés, par l’usage d’une terreur psychologique et physique directe. En s’attaquant non plus seulement aux infrastructures techniques, mais à la sphère privée des dirigeants et de leurs proches, ces criminels déplacent le conflit vers la sécurité des personnes.
Scattered Lapsus ShinyHunters usurpe les identités informatiques
L’accès aux réseaux d’entreprises repose sur une maîtrise de l’ingénierie sociale. Durant la période de début à mi-janvier 2026, les membres de Scattered Lapsus ShinyHunters ont multiplié les appels téléphoniques vers les employés en se faisant passer pour des membres du personnel informatique. Sous prétexte d’une mise à jour des paramètres de sécurité, ils dirigent les victimes vers des sites de collecte d’identifiants utilisant l’identité visuelle de la marque ciblée pour capturer les accès SSO.
Ce mécanisme permet d’intercepter les codes d’authentification multifacteur (MFA), le système de double validation des accès. Une fois ces codes saisis sur le site factice, les attaquants enregistrent leur propre appareil pour contourner les protections futures et exfiltrer massivement des données sensibles. Cette technique permet au groupe de s’installer durablement dans le système avant de lancer ses menaces via des canaux de communication publics sur Telegram, provoquant une humiliation immédiate pour l’organisation.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Le harcèlement des familles radicalise l’extorsion physique
La phase de pression exercée par Scattered Lapsus ShinyHunters se caractérise par une escalade vers la violence physique. Selon les informations du média spécialisé KrebsOnSecurity, le groupe pratique le « swatting » contre les dirigeants. Les attaquants communiquent une fausse alerte à la bombe ou une prise d’otage imaginaire à l’adresse de la cible, provoquant l’intervention d’unités de police lourdement armées au domicile des cadres, mettant en danger les occupants et leurs enfants.
Cette terreur est renforcée par des campagnes de harcèlement coordonné. Les criminels saturent les téléphones des responsables et de leurs familles de SMS, d’appels et d’e-mails menaçants. Ils contactent simultanément les médias et les régulateurs pour exposer l’ampleur de l’intrusion. Cette stratégie vise à saturer la capacité de réaction émotionnelle de l’entreprise, poussant les victimes à payer pour faire cesser les attaques personnelles, alors même que le groupe n’offre aucune garantie de suppression réelle des documents volés.
L’imprévisibilité du collectif The Com condamne la négociation
La structure interne du groupe rend toute négociation financière contre-productive. Les membres de Scattered Lapsus ShinyHunters sont issus de « The Com », un réseau de communautés Discord et Telegram marqué par une instabilité chronique et des trahisons internes fréquentes. Cette désorganisation, parfois aggravée par l’abus de substances, empêche le collectif d’agir de manière stratégique ou professionnelle. Contrairement aux groupes de rançongiciels établis, ils ne disposent d’aucun historique de respect de parole une fois la rançon versée.
L’analyse technique montre que ce modèle se rapproche des schémas de sextorsion violente pratiqués contre les mineurs. Les attaquants promettent de supprimer les informations compromises sans fournir de preuve technique vérifiable. Payer la rançon fournit au contraire des indicateurs sur la valeur marchande des données exfiltrées, facilitant des opérations de fraude ultérieures. La seule stratégie préconisée par les spécialistes est le refus total de communication, dissociant la gestion du harcèlement de la protection des données pour ne pas encourager ces méthodes de terreur.
Source et enquête originale : Cet article synthétise les révélations de l’enquête menée par Brian Krebs pour le média KrebsOnSecurity. Pour approfondir l’analyse technique et les témoignages sur les tactiques de harcèlement de SLSH, je vous recommande la lecture du reportage complet : Please Don’t Feed the Scattered Lapsus ShinyHunters.
Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.
