Selon The Record (Recorded Future News), le FBI a publié un avis flash décrivant une campagne de vol de données et d’extorsion visant des centaines d’organisations, attribuée à Scattered Spider (UNC6395) et ShinyHunters (UNC6040), après compromission d’instances Salesforce.

Depuis octobre 2024, les acteurs ont utilisé de l’ingénierie sociale en se faisant passer pour des employés IT auprès des centres d’appels afin d’obtenir des identifiants, puis accéder aux données clients dans Salesforce. Dans d’autres cas, des phishings (emails/SMS) ont permis de prendre le contrôle de téléphones ou ordinateurs d’employés.

Au cours de l’été 2025, les tactiques ont évolué vers l’exploitation d’applications tierces connectées à Salesforce. Le FBI souligne que les membres d’UNC6040 ont induit des victimes à autoriser des applications connectées malveillantes sur leurs portails Salesforce, offrant des capacités étendues pour accéder, interroger et exfiltrer des informations sensibles. Dès août, ils ont ciblé l’application Salesloft Drift (chatbot IA intégré à Salesforce) et ont parfois créé des applications malveillantes dans des comptes d’essai Salesforce pour enregistrer des apps connectées sans compte d’entreprise légitime, contournant la MFA, la surveillance des connexions et les réinitialisations de mots de passe.

Les demandes d’extorsion en cryptomonnaie varient fortement et surviennent à des moments aléatoires, allant de quelques jours à plusieurs mois après l’exfiltration. Des victimes notables incluent Kering (Gucci, Balenciaga, Alexander McQueen) — ShinyHunters affirme avoir volé des données liées à 7,4 millions d’adresses email uniques — et une agence gouvernementale au Vietnam ayant confirmé le vol de millions d’enregistrements financiers. Les acteurs abusent d’outils légitimes (infrastructures Azure, serveurs virtuels, nœuds de sortie Tor, services de proxy) pour masquer leur origine.

Le FBI fournit des indicateurs de compromission (IOCs) et recommande notamment de former les équipes de centres d’appels, de limiter les privilèges de presque tous les comptes, d’imposer des restrictions d’accès par IP et de surveiller l’usage des API. Tandis que le groupe a prétendu « prendre sa retraite » sur Telegram, des experts restent sceptiques et rappellent la tendance à se scinder, se rebrander et réapparaître; comme l’indique Unit 42 (Palo Alto Networks), « le silence d’un groupe ne signifie pas la sécurité ». 🚨

TTPs observés:

  • Ingénierie sociale via centres d’appels (usurpation d’identité d’employés IT)
  • Phishing par email/SMS pour compromission d’appareils d’employés
  • Abus d’applications connectées Salesforce (autorisation d’apps malveillantes)
  • Création d’apps malveillantes via comptes d’essai Salesforce
  • Ciblage de l’application Salesloft Drift intégrée à Salesforce
  • Contournement de MFA, de la surveillance des connexions et des réinitialisations de mots de passe
  • Usage d’Azure, serveurs virtuels, Tor et proxies pour l’OPSEC
  • Extorsion en cryptomonnaie, demandes variables et différées

IOCs:

  • Fourni par le FBI (non détaillés dans l’article)

Type d’article: article de presse spécialisé visant à relayer une alerte du FBI et à résumer les tactiques, l’ampleur et les recommandations liées à cette campagne d’extorsion.

🔗 Source originale : https://therecord.media/fbi-warns-scattered-spider-salesforce

🖴 Archive : https://web.archive.org/web/20250917112847/https://therecord.media/fbi-warns-scattered-spider-salesforce