Les géants de la cybersécurité et le FBI avertissent que le célèbre groupe de piratage cible désormais le secteur de l’aviation avec des tactiques avancées d’ingénierie sociale, faisant des alarmes pendant la pointe des voyages.
Une violation de données chez Qantas via un service tiers est typique du groupe d’attaque araignée dispersé, selon des experts.
« La cyber-violation de Qantas porte les caractéristiques de Spattered Spider, le même groupe derrière les attaques récentes contre les compagnies aériennes hawaïennes, Westjet et Marks & Spencer – probablement en compromettant une plate-forme SAAS tierce comme Salesforce ou Zendesk », a déclaré mercredi Toby Lewis, responsable mondial de l’analyse des menaces à Darktrace. « L’attaque suit leur livre de jeu typique », a-t-il déclaré.
Qantas a alerté les clients de la violation de mercredi, disant: «Le lundi 30 juin 2025, nous avons détecté une activité inhabituelle sur une plate-forme tierce utilisée par un centre de contact de la compagnie aérienne Qantas. Nous avons ensuite pris des mesures immédiates et contenu l’incident.» Ses propres systèmes restent sécurisés, a-t-il dit, et bien que les données volées incluaient «les noms de certains clients, les adresses e-mail, les numéros de téléphone, les dates de naissance et les numéros de fidélisation», aucun compte de dépliant fréquent n’a été compromis, et aucun mot de passe ou les détails de connexion n’a été accessible. Le système affecté, qu’il n’a pas identifié, ne contenait aucun détail de carte de crédit, d’informations financières personnelles ou de détails de passeport.
Les grandes sociétés de cybersécurité avaient averti des clients d’entreprise plus tôt dans la semaine que le célèbre groupe de piratage de Spider Spider a mis l’accent sur le ciblage des compagnies aériennes, après les attaques confirmées contre les compagnies aériennes hawaïennes et WestJet que les experts en sécurité disent porter les tactiques d’ingénierie sociale signature du groupe.
« L’unité 42 a observé la Balance confuse (également connue sous le nom d’araignée dispersée) ciblant l’industrie de l’aviation », a déclaré Sam Rubin, vice-président directeur de l’unité 42 de Palo Alto Networks, dans une alerte LinkedIn. «Les organisations devraient être très alertes pour des attaques de génie social sophistiquées et ciblées et des demandes de réinitialisation de MFA suspectes.»
L’unité de renseignement sur les menaces mandiant de Google a également fait écho à l’avertissement, le directeur de la technologie Charles Carmakal confirmant dans son poste LinkedIn que l’entreprise est «consciente de plusieurs incidents dans le secteur des compagnies aériennes et des transports qui ressemblent aux opérations de UNC3944 ou de Spider dispersée».
Les alertes des vendeurs sont disponibles alors que plusieurs intervenants incidents ont attribué des cyberattaques récentes sur les compagnies aériennes hawaïennes et WestJet du Canada à Spattered Spider, le même groupe derrière des infractions dévastatrices en 2023 de Resorts MGM et des divertissements Caesars qui ont coûté aux compagnies des millions de dollars.
Le groupe d’araignée dispersé est également connu sous le nom de UNC3944, Starfraud, Scatter Swine, Mouled Balance, Octo Tempest et 0katpus.
Vendredi, les avertissements du fournisseur de cybersécurité ont gagné en crédibilité lorsque le FBI a publié sa propre alerte confirmant la menace. « Le FBI a récemment observé que le groupe cybercriminal dispersé Spider élargit son ciblage pour inclure le secteur des compagnies aériennes », a déclaré le bureau, avertissant que les attaquants « s’appuient sur des techniques d’ingénierie sociale, souvent usurpant l’identification des employés ou des entrepreneurs pour tromper les bureaux d’accès à l’octroi. »
Le FBI a averti que «une fois à l’intérieur, les acteurs d’araignée dispersés volent des données sensibles pour l’extorsion et déploient souvent des ransomwares». Les attaques surviennent pendant la pointe des voyages d’été, ce qui soulève des préoccupations concernant les perturbations opérationnelles potentielles.
Le troisième secteur majeur en deux mois
Le ciblage de l’aviation représente la troisième importante orientation de l’industrie de Spider en seulement deux mois, à la suite d’attaques concentrées contre les sociétés d’assurance et de vente au détail. Entre mai et juin 2025, des détaillants comme Marks & Spencer, Harrods, Cartier, Victoria’s Secret et Adidas ont subi des infractions attribuées au groupe, ainsi que les géants de l’assurance AFLAC et les compagnies d’assurance de Philadelphie.
Environ 70% des objectifs de Sporded Spider appartiennent aux secteurs de la technologie, des finances et du commerce de détail, le groupe démontrant un modèle de concentration intensive sur les industries uniques avant de pivoter de nouveaux secteurs.
« La dispersion Spider a des antécédents de se concentrer sur les secteurs pendant quelques semaines à la fois avant d’étendre leur ciblage », a déclaré Carmakal de Mandiant.
Campagnes de tromperie sophistiquées de bureau
Le groupe a perfectionné d’appeler les bureaux d’aide à l’entreprise et d’identiter les employés pour inciter le personnel à réinitialiser les mots de passe et l’ajout d’appareils non autorisés aux systèmes d’authentification multi-facteurs.
Les syndicats de cybercriminalité comme Spandred Spider fonctionnent comme des organisations compartimentées, avec des équipes distinctes spécialisées dans différentes phases d’attaque, a déclaré Sunil Varkey, conseiller chez Beagle Security. «Une de ces équipes est l’équipe d’ingénierie sociale – généralement à faible coût, non technique et composée de communicateurs qualifiés – chargés de manipuler les utilisateurs et le personnel du bureau pour contourner les contrôles de sécurité.»
Aidez les bureaux à présenter des cibles particulièrement vulnérables car elles fonctionnent souvent comme des fonctions distinctes et externalisées avec un renouvellement élevé des employés et des scripts prédéfinis. « Il s’agit d’une fonction avec un chiffre d’affaires élevé des employés, car il est généralement peu rémunéré », a déclaré Varkey. « Par conséquent, le contexte basé sur le mandat est très limité pour agir au-delà du script standard. »
L’attaque du groupe en 2023 contre les stations MGM illustre son impact dévastateur – les pirates ont usuré un employé de MGM et ont convaincu le personnel de bureau de réinitialisation des informations d’identification, ce qui a finalement conduit à une attaque de ransomware qui a provoqué 100 millions de dollars de pertes et une fermeture opérationnelle de 36 heures.
Les compagnies aériennes présentent des cibles de grande valeur
Les sociétés d’aviation sont particulièrement vulnérables car elles «comptent fortement sur les centres d’appels pour de nombreux besoins de soutien», ce qui les rend sensibles aux groupes spécialisés dans l’ingénierie sociale de Help Desk.
«Les compagnies aériennes détiennent également de grandes quantités de données sensibles, notamment les PII des clients, les horaires des vols et les informations opérationnelles», a déclaré Brijesh Singh, expert en cybersécurité et directeur général supplémentaire de la police, gouvernement du Maharashtra, en Inde, expliquant pourquoi le groupe vise le secteur. «Les réseaux mondiaux complexes et les chaînes d’approvisionnement complexes des compagnies aériennes en font des cibles principales. Les infiltrations peuvent rapidement dégénérer, entraînant des rançons substantielles ou des données volées vendues sur le Web Dark.»
Les bureaux d’aide dans l’aviation et d’autres grands secteurs sont particulièrement exposés car ils opèrent généralement comme des fonctions non traitées et non sur les opérations commerciales quotidiennes. « L’hypothèse avec le MFA est que si l’utilisateur passe le deuxième facteur, ils sont un utilisateur légitime », a déclaré Varkey. « Dans de nombreux cas, le MFA n’est peut-être pas des questions basées sur OTP mais plutôt des questions secrètes, telles que« votre sport préféré »ou« le nom de jeune fille de votre mère », qui sont trop faciles à deviner ou à obtenir via les réseaux sociaux.»
Le FBI a noté que le groupe cible «les grandes entreprises et leurs fournisseurs informatiques tiers, ce qui signifie que quiconque dans l’écosystème de la compagnie aérienne, y compris les fournisseurs et les entrepreneurs de confiance, pourrait être en danger.»
Tactiques de persistance avancées
Des rapports d’incident récents révèlent l’approche sophistiquée du groupe pour maintenir l’accès. La CISA rapporte que les acteurs d’araignées dispersés «recherchent souvent le mou, les équipes Microsoft de la victime en ligne de la victime» et «rejoignent fréquemment l’assainissement des incitations et les réponses et les téléconférences» pour comprendre comment les équipes de sécurité les chassent.
Mandiant conseille aux clients de «prendre immédiatement des mesures pour resserrer leurs processus de vérification de l’identité d’assistance avant d’ajouter de nouveaux numéros de téléphone aux comptes des employés / entrepreneurs» et d’implémenter une vérification supplémentaire avant de réinitialiser les mots de passe ou d’ajouter des appareils MFA.
(Voir aussi: comment les CISO peuvent se défendre contre les attaques de ransomware d’araignée dispersées)
