Source : ReliaQuest — Contexte : Threat Spotlight analysant des campagnes en 2025 où ShinyHunters cible Salesforce, avec des similarités marquées avec Scattered Spider et des recoupements d’infrastructure et de ciblage sectoriel.

ReliaQuest décrit le retour de ShinyHunters après une période d’inactivité (2024–2025) via une campagne contre Salesforce touchant des organisations de premier plan, dont Google. Le rapport souligne des TTPs alignés sur Scattered Spider (phishing Okta, vishing, usurpation de domaines, exploitation d’apps connectées Salesforce), nourrissant l’hypothèse d’une collaboration. Des éléments circonstanciels incluent l’alias « Sp1d3rhunters » (Telegram/BreachForums) lié à des fuites passées (p. ex. Ticketmaster) et des chevauchements de ciblage par secteurs (commerce de détail avril–mai 2025, assurance juin–juillet, aviation juin–août).

Côté infrastructure, ReliaQuest met au jour des domaines thématiques “ticket-” (p. ex. ticket-lvmh[.]com, ticket-dior[.]com, ticket-louisvuitton[.]com) enregistrés fin juin 2025 via GMO Internet, avec e-mails jetables et nameservers masqués par Cloudflare, résolvant vers des pages de phishing Okta pour un « Ticket Dashboard ». D’autres domaines (ticket-nike[.]com, ticket-audemarspiguet[.]com) partagent les mêmes caractéristiques. Le rapport évalue avec confiance moyenne que ces domaines ont contribué aux attaques récentes contre des instances Salesforce. En parallèle, des domaines “Salesforce” tels que dashboard-salesforce[.]com (actif début août 2025) et des modèles « companyname-my-salesforce[.]com »/« keyword-salesforce[.]com » indiquent des campagnes en cours. Plus de 700 domaines 2025 correspondant aux schémas Scattered Spider (p. ex. company-okta[.]com) sont observés, avec un basculement du ciblage vers la finance depuis juillet (+12%) et une prédominance des États-Unis comme pays le plus visé.

TTPs principaux observés 💡

  • 🎣 Phishing Okta/SSO et usurpation de domaines (company-okta[.]com, SSO-company[.]com)
  • 📞 Vishing ciblé, usurpant le support IT pour faire autoriser des apps connectées malveillantes dans Salesforce
  • 🧩 Rebranding d’outils (ex. « My Ticket Portal »/Data Loader) pour tromper les victimes
  • 🛡️ Harvesting d’identifiants et détournement de MFA
  • 🛰️ Exfiltration de données Salesforce via VPN (Mullvad) et activités API anormales

IOCs et artefacts d’infrastructure 📌

  • Domaines « ticket- » : ticket-lvmh[.]com, ticket-dior[.]com, ticket-louisvuitton[.]com, ticket-nike[.]com, ticket-audemarspiguet[.]com
  • Domaines « Salesforce » : dashboard-salesforce[.]com; modèles « companyname-my-salesforce[.]com », « keyword-salesforce[.]com »
  • Schémas SSO : company-okta[.]com, SSO-company[.]com
  • Caractéristiques communes : registrar GMO Internet, e-mails temporaires (ex. mailshan[.]com), nameservers Cloudflare

Le rapport constitue une analyse de menace documentant l’évolution des TTPs, l’infrastructure de phishing, et les tendances de ciblage (accent sur finance et prestataires technologiques), avec un objectif de fournir des renseignements actionnables et des pistes de détection.

🧠 TTPs et IOCs détectés

TTP

[‘Phishing Okta/SSO’, ‘Usurpation de domaines’, ‘Vishing ciblé’, ‘Usurpation du support IT’, ‘Rebranding d’outils’, ‘Harvesting d’identifiants’, ‘Détournement de MFA’, ‘Exfiltration de données Salesforce via VPN et activités API anormales’]

IOC

[’ticket-lvmh[.]com’, ’ticket-dior[.]com’, ’ticket-louisvuitton[.]com’, ’ticket-nike[.]com’, ’ticket-audemarspiguet[.]com’, ‘dashboard-salesforce[.]com’, ‘companyname-my-salesforce[.]com’, ‘keyword-salesforce[.]com’, ‘company-okta[.]com’, ‘SSO-company[.]com’, ‘Registrar: GMO Internet’, ‘E-mails temporaires: mailshan[.]com’, ‘Nameservers: Cloudflare’]

🔗 Source originale : https://reliaquest.com/blog/threat-spotlight-shinyhunters-data-breach-targets-salesforce-amid-scattered-spider-collaboration/