Les chercheurs ont trouvé plus de 40 faux domaines utilisant la même configuration que l’attaque Salesforce du groupe en août.
Les chasseurs de Lapsus$ dispersés ont ciblé les utilisateurs de Zendesk via plus de 40 faux domaines conçus pour voler des informations d’identification et installer des logiciels malveillants, ont déclaré des chercheurs en sécurité.
Les faux domaines, enregistrés au cours des six derniers mois, avaient la même configuration que celui utilisé lors de l’attaque du groupe de cybercriminalité contre Salesforce en août, selon un article de blog publié cette semaine par les chercheurs de ReliaQuest qui ont découvert la campagne. Cela suggère que le groupe s’est concentré sur Zendesk, une plateforme de support client utilisée par plus de 100 000 organisations.
Certains domaines, comme znedesk(.)com et vpn-zendesk(.)com, hébergeaient de fausses pages de connexion qui ressemblaient à de véritables écrans de connexion Zendesk, a déclaré ReliaQuest. D’autres ont incorporé des noms d’entreprises dans l’adresse Web pour donner l’impression que les sites semblent légitimes. « Nous avons également identifié des domaines usurpant l’identité de Zendesk qui contenaient plusieurs noms ou marques d’organisations différentes dans l’URL, ce qui rendait encore plus probable que des utilisateurs peu méfiants feraient confiance et cliqueraient sur ces liens », ont écrit les chercheurs.
Tous les domaines ont été enregistrés via NiceNic, avec des coordonnées aux États-Unis et au Royaume-Uni et des serveurs de noms masqués par Cloudflare – le même modèle observé par ReliaQuest dans la campagne Salesforce.
Scattered Lapsus$ Hunters est une coalition formée en août 2025 à partir de trois gangs de cybercriminalité distincts : Scattered Spider, Lapsus$ et ShinyHunters. Depuis sa création, le collectif a lancé une grande campagne Salesforce en août et octobre qui a exposé les données de dizaines d’entreprises, dont Toyota, FedEx et Disney.
De faux tickets d’assistance arrivent dans les services d’assistance
Au-delà des faux domaines, les attaquants ont également soumis de faux tickets vers de vrais portails Zendesk, a indiqué ReliaQuest. Ces tickets se présentaient comme des demandes informatiques urgentes ou des réinitialisations de mots de passe pour inciter les employés du service d’assistance à télécharger des logiciels malveillants ou à divulguer leurs informations de connexion.
« Cibler les équipes du service d’assistance avec ce type de tactiques implique souvent des prétextes bien conçus, comme des demandes urgentes d’administration système ou de fausses demandes de réinitialisation de mot de passe », a écrit ReliaQuest. « L’objectif est d’inciter le personnel d’assistance à remettre les informations d’identification ou à compromettre leurs points de terminaison. »
Selon les chercheurs, le personnel du service d’assistance constitue de bonnes cibles car il a généralement accès à de nombreux systèmes au sein d’une organisation, ce qui rend un seul compte compromis particulièrement précieux pour les attaquants.
Scattered Lapsus$ Hunters a l’habitude d’utiliser l’ingénierie sociale pour compromettre les services d’assistance. Le groupe a perfectionné l’appel aux services d’assistance d’entreprise et l’usurpation d’identité d’employés pour inciter le personnel d’assistance à réinitialiser les mots de passe et à ajouter des appareils non autorisés aux systèmes d’authentification multifacteur, des tactiques que les entreprises de sécurité ont documentées lors d’attaques précédentes contre des compagnies aériennes et des détaillants.
La violation de Discord peut être liée
La campagne Zendesk n’est peut-être pas un incident isolé. Discord a déclaré le 9 octobre que des attaquants avaient violé son fournisseur de service client, 5CA, exposant les données d’environ 70 000 utilisateurs qui avaient soumis des pièces d’identité gouvernementales pour vérifier leur âge. La violation a également exposé les données des tickets d’assistance des utilisateurs qui avaient contacté le support client de Discord ou les équipes de confiance et de sécurité.
La campagne Zendesk était probablement l’une des nombreuses attaques promises par Scattered Lapsus$ Hunters dans les publications Telegram de début novembre, a déclaré ReliaQuest.
Les chasseurs de Lapsus$ dispersés ont d’abord nié toute implication dans l’attaque Discord, mais ont ensuite publié sur Telegram qu’ils savaient qui était responsable, selon les chercheurs.
« Attendez 2026, nous menons 3 à 4 campagnes ATM (pour le moment) », ont écrit les chercheurs, citant le message du groupe. « Toutes les personnes IR (réponse aux incidents) devraient être au travail pour surveiller leurs journaux pendant les prochaines vacances jusqu’en janvier 2026, car #ShinyHuntazz vient collecter vos bases de données clients. »
Le groupe a également affirmé avoir compromis la plateforme de réussite client Gainsight plus tôt ce mois-ci. « Il est raisonnablement possible que Zendesk soit la deuxième de ces cibles de campagne promises sur Telegram », a déclaré ReliaQuest.
Possibilité de copie
Alors que les modèles d’infrastructure indiquaient des chasseurs de Lapsus$ dispersés, ReliaQuest a déclaré dans le billet de blog que des imitateurs inspirés par le succès du groupe ne pouvaient être exclus.
« Il est également possible que le succès du ciblage de Zendesk et d’attaques similaires contre la chaîne d’approvisionnement ait inspiré des acteurs imitateurs ou des groupes dissidents des Scattered Lapsus$ Hunters », ont écrit les chercheurs. « Nous avons déjà vu ce genre de schéma auparavant, comme avec Black Basta, où les groupes successeurs ont continué à utiliser le même manuel même après que les forces de l’ordre ont perturbé l’opération initiale. »
Les plates-formes de support client constituent de bonnes cibles, car les entreprises ne les surveillent souvent pas aussi étroitement que le courrier électronique, mais elles permettent aux attaquants d’accéder aux informations d’identification et aux données des clients dans de nombreuses organisations, selon les chercheurs.
Bien qu’il ait annoncé en septembre que le groupe « devenait sombre » et arrêtait ses opérations, Scattered Lapsus$ Hunters a ensuite promis de revenir en 2026 avec une nouvelle plate-forme « d’extorsion en tant que service » par abonnement, selon les messages Telegram attribués au groupe.
