Contexte: Bloomberg Businessweek publie un long récit d’enquête s’appuyant sur des documents de justice, des échanges Discord/Telegram et des entretiens (dont de multiples appels avec Noah Urban depuis une prison en Floride), retraçant l’ascension et la chute d’un jeune social engineer de Scattered Spider.
Noah Urban, 18 ans au début des faits décrits, opérait comme ‘caller’ spécialisé en ingénierie sociale et SIM-swapping, trompant employés de telcos et de grandes entreprises pour obtenir identifiants et accès. Issu de la communauté en ligne dite ‘Com’, il a progressivement quitté les vols crypto rapides pour des intrusions plus ambitieuses visant des fournisseurs critiques. L’article décrit un écosystème mêlant rivalités internes (doxing, bricking, sextorsion), escalade vers des violences physiques, et une attention croissante des forces de l’ordre aux États-Unis et au Royaume-Uni.
Parmi les opérations marquantes, l’enquête détaille la campagne 0ktapus (août 2022) ciblant Twilio via du phishing Okta, permettant la compromission de données de 209 clients et l’accès à des codes de vérification. D’autres intrusions et vols de données incluent Gemini (5,7 millions de clients), des accès à Crypto.com (portée limitée selon l’entreprise) et l’exploitation d’un système UPS pour récolter des informations personnelles. En janvier 2023, le groupe pénètre Riot Games, dérobe du code source (League of Legends, outils anti-triche) et réclame 10 M$; Riot refuse. En contexte, Scattered Spider est associé à des attaques de grande envergure, notamment contre MGM Resorts (2023, impact estimé à 100 M$) et Marks & Spencer (estimation de pertes d’environ 400 M$), ainsi qu’à l’extorsion de Caesars (15 M$), tandis que Microsoft et CISA qualifient le groupe de menace agressive et persistante.
Côté répression, une perquisition du FBI en mars 2023 saisit environ 4 M$ en crypto, 200 k$ en cash et des équipements. Urban est finalement arrêté en janvier 2024; des charges liées au piratage de 13 entreprises (dont AT&T, T-Mobile, Verizon, Twilio, Riot Games) sont déposées en Californie contre lui et d’autres (arrestations connexes au Royaume-Uni et en Espagne). Malgré des dénégations sur certaines intrusions, l’article rapporte ses aveux partiels (jusqu’à 15 M$ volés sur 2020–2023, selon documents) et des éléments pointant vers la collaboration de Scattered Spider avec AlphV pour des opérations de rançongiciel et des méthodes d’extorsion avec menaces physiques. En août 2024, Noah Urban est condamné à 10 ans de prison et 13,4 M$ de restitution.
TTPs clés observés 🕷️:
- Ingénierie sociale vocale (vishing) en se faisant passer pour l’IT interne pour obtenir logins et installer des outils d’accès à distance.
- SIM-swapping ciblant T-Mobile, AT&T, Verizon; usage de portails internes compromis et d’identifiants de boutiques.
- Phishing Okta à grande échelle (campagne 0ktapus) pour voler identifiants/MFA; interception de codes SMS via Twilio.
- Mouvement latéral via Slack interne et ciblage d’employés à privilèges élevés.
- Exfiltration de bases clients, vol de code source, extorsion et liens avec ransomware-as-a-service (AlphV).
- Collecte d’informations via systèmes tiers (UPS) et exploitation de bases volées (Ledger) pour cibler détenteurs de crypto.
IOCs (extraits de l’article):
- Domaine de phishing: twilio-okta.com (leurre Okta pour Twilio)
Conclusion: c’est un article de presse généraliste d’investigation relatant le parcours criminel, les techniques et l’impact d’un membre de Scattered Spider, avec un focus sur les méthodes d’ingénierie sociale, les intrusions associées (0ktapus, Riot Games, MGM, etc.) et les suites judiciaires.
🔗 Source originale : https://www.bloomberg.com/news/features/2025-09-19/multimillion-dollar-hacking-spree-scattered-spider-teen-s-jailhouse-confessions