20 janvier 2026
Le début
Scattered Lapsus$ Hunters serait un groupe hybride d’acteurs menaçants, formé de trois groupes distincts, qui ont collectivement émergé sur la scène en 2025 et ont rapidement fait leur marque dans le monde de la cybersécurité. Annonçant son existence à la suite d’une prétendue campagne d’ingénierie sociale de ShinyHunters qui aurait entraîné le vol de 1,5 milliard d’enregistrements Salesforce, le groupe est composé d’acteurs menaçants de ShinyHunters, Scattered Spider et de membres d’extorsion de Lapsus$.
Les trois factions ont toutes été très actives en 2024, aboutissant à une série d’arrestations de membres du groupe Scattered Spider en 2024. Le groupe a réapparu en avril 2025 avec une attaque contre les détaillants britanniques Marks and Spencer. En raison des attaques importantes menées par les différents groupes ces dernières années, la convergence de leurs membres a introduit un chaos encore plus grand dans un paysage déjà instable.
Date limite d’octobre pour Salesforce
Le 3 octobre 2025, Scattered Lapsus$ Hunters a lancé un site de fuite de données extorquant 39 entreprises touchées par les violations de Salesforce. Les entreprises extorquées dans le lien incluent Disney/Hulu, FedEx, Google, McDonald’s et bien d’autres encore. Une entrée distincte sur le site demandait à Salesforce de payer une rançon pour empêcher la divulgation des clients concernés (environ 1 milliard d’enregistrements contenant des informations personnelles). Le groupe a fixé au 10 octobre la date limite pour que Salesforce paie la rançon ou que les entreprises potentiellement concernées contactent le groupe pour sécuriser leurs données. Salesforce a refusé de négocier avec les auteurs de la menace, estimant que leurs menaces n’étaient pas fondées, et a proposé son soutien à tous ses clients concernés.
Alors que le groupe avait menacé de divulguer toutes les informations si ses demandes n’étaient pas satisfaites, il n’a finalement divulgué que les données de six sociétés. Les victimes comprenaient Albertsons, Engie Resources, Fujifilm, Gap, Qantas et Vietnam Airlines. Qantas et Vietnam Airlines ont chacune exposé plus de cinq millions de dossiers clients. Le groupe a ensuite annoncé sur sa chaîne Telegram qu’il ne divulguerait aucune information supplémentaire avant 2026, déclarant qu’il n’était pas en mesure de divulguer d’autres données, sans qu’aucune raison spécifique n’ait été fournie. La quantité limitée d’informations sur les victimes divulguées lors de l’attaque d’extorsion d’octobre a conduit certaines personnes à s’interroger sur l’étendue des données dont dispose le groupe. Ce comportement semble indiquer que le groupe pense pouvoir toujours obtenir un paiement substantiel de Salesforce ou des personnes concernées.
Suite à la fuite partielle, Scattered Lapsus$ Hunters a publié une annonce Telegram menaçant les victimes restantes et Salesforce. La déclaration exhorte Salesforce à « déposer votre fierté/ego », sinon leur prochaine campagne sera plus « destructrice » et ils ont le temps et les ressources pour assurer ce sort. Ils mettent en garde contre les politiques qui reflètent la « Cyber Security Act of 2024 » australienne qui a introduit la déclaration obligatoire des paiements de ransomware et de cyberextorsion, et qui décourage fortement de se conformer aux acteurs menaçants exigeant une rançon. Le groupe s’est identifié comme homme d’affaires et a rejeté l’étiquette de terroriste ou d’assaillant.
Le message était signé « Nous ne nous arrêterons jamais, rendez-vous tous en 2026 », indiquant que le groupe reviendra avec de nouvelles activités au cours de la nouvelle année.
Prévision
En novembre 2025, le groupe a annoncé le développement d’une plateforme Ransomware-as-a-Service (RaaS) nommée ShinySp1d3r. Sur une chaîne Telegram utilisée par le groupe, ils ont affirmé que le ransomware était en cours de développement et serait dirigé par ShinyHunters mais exploité sous la marque « Scattered Lapsus$ Hunters ». Auparavant, ces acteurs malveillants utilisaient des chiffreurs de ransomwares tels que Qilin, RansomHub et DragonForce. Les victimes de ShinySp1d3r recevront une note indiquant qu’elles ont « trois jours pour entamer les négociations avant que l’attaque ne soit rendue publique sur le site de fuite de données ».
Des échantillons du ransomware ont été téléchargés sur VirusTotal et présentent un mélange de fonctionnalités communes et de nouvelles fonctionnalités développées par le groupe. Les fichiers cryptés contiendront « des informations sur ce qui est arrivé aux fichiers d’une victime, comment négocier la rançon et une adresse TOX pour les communications ».
ShinyHunters affirme que les organisations du secteur de la santé, notamment les sociétés pharmaceutiques, les hôpitaux, les cliniques et les assureurs, ne peuvent pas être ciblées par son chiffreur. Cependant, les chercheurs rapportent que de nombreux groupes ont donné des assurances similaires dans le passé, mais que ces restrictions auto-imposées ont été systématiquement ignorées ou violées.
Conclusion
Les chasseurs de Lapsus$ dispersés devraient rester actifs cette année, tirant parti de tactiques à la fois nouvelles et familières pour provoquer des perturbations dans le cyber-paysage. La combinaison des trois groupes démontre le changement en faveur de l’image de marque des cybercriminels, semblant mettre en valeur la crédibilité et la visibilité. Compte tenu du large éventail de cibles, un partage efficace d’informations entre les organisations sera essentiel pour contrer cet acteur menaçant. Pour atténuer les risques posés par les Scattered Lapsus$ Hunters et les groupes similaires, les organisations doivent donner la priorité à la surveillance de ces activités du Dark Web.
