Selon Flashpoint (billet de blog), Scattered Spider est un collectif de cybercriminels principalement composé de jeunes adultes US/UK qui s’impose par des campagnes sophistiquées d’ingénierie sociale et des opérations de ransomware en double extorsion. Le groupe cible notamment les secteurs des services financiers, de la restauration et du retail, avec des attaques menées par vagues, misant davantage sur les faiblesses humaines que purement techniques.

Leur chaîne d’attaque commence par de la social engineering (MITRE ATT&CK T1566) — vishing 📞, smishing, et attaques d’épuisement MFA — pour obtenir un accès initial, suivi de collecte d’identifiants à l’aide d’info-stealers comme Raccoon et Vidar. Ils abusent d’outils RMM légitimes (TeamViewer, AnyDesk, ScreenConnect) pour la persistance et les mouvements latéraux, et déploient des malwares personnalisés tels que Spectre RAT 🕷️, tout en s’appuyant sur des VPN/proxys cloud pour masquer leur infrastructure.

Pour l’évasion des défenses, le groupe met en œuvre des contournements MFA, du détournement d’outils EDR et des attaques BYOVD. Leurs opérations culminent par l’exfiltration de données vers des stockages cloud puis le déploiement de ransomware dans une logique de double extorsion 🔐.

Sur le plan écosystémique, Scattered Spider a collaboré avec des programmes RaaS tels qu’ALPHV/BlackCat et RansomHub, et développe désormais sa propre plateforme RaaS « ShinySpider ». Les campagnes récentes montrent une forte capacité d’adaptation tactique et une focalisation sur l’exploitation des comportements humains.

TTPs clés (sélection) :

  • Initial access par ingénierie sociale (T1566) : vishing, smishing, MFA fatigue
  • Credential theft via info-stealers (Raccoon, Vidar)
  • Persistance / Lateral movement via RMM légitimes (TeamViewer, AnyDesk, ScreenConnect)
  • RAT personnalisé (Spectre RAT) et infrastructures VPN/proxy cloud
  • MFA bypass, hijacking d’EDR, BYOVD pour l’évasion
  • Exfiltration de données vers le cloud, ransomware et double extorsion
  • Partenariats RaaS (ALPHV/BlackCat, RansomHub) et développement de ShinySpider

Il s’agit d’une analyse de menace visant à profiler le groupe, documenter sa chaîne d’attaque et situer ses partenariats/outils.

🧠 TTPs et IOCs détectés

TTPs

[‘T1566: Social Engineering’, ‘T1078: Valid Accounts’, ‘T1071: Application Layer Protocol’, ‘T1059: Command and Scripting Interpreter’, ‘T1021: Remote Services’, ‘T1573: Encrypted Channel’, ‘T1562: Impair Defenses’, ‘T1041: Exfiltration Over C2 Channel’, ‘T1486: Data Encrypted for Impact’, ‘T1489: Service Stop’, ‘T1490: Inhibit System Recovery’]

IOCs

[‘Raccoon’, ‘Vidar’, ‘TeamViewer’, ‘AnyDesk’, ‘ScreenConnect’, ‘Spectre RAT’, ‘ALPHV/BlackCat’, ‘RansomHub’, ‘ShinySpider’]

🔗 Source originale : https://flashpoint.io/blog/scattered-spider-threat-profile/

🖴 Archive : https://web.archive.org/web/20250817164040/https://flashpoint.io/blog/scattered-spider-threat-profile/