Source: Daily Dark Web (dailydarkweb.net), 3 octobre 2025. Contexte: une nouvelle alliance de cybercriminels — regroupant ShinyHunters, Scattered Spider et LAPSUS$ — a mis en ligne un site d’extorsion visant Salesforce, avec une menace de divulguer près d’un milliard d’enregistrements si une rançon n’est pas payée avant le 10 octobre 2025.

L’article décrit une campagne coordonnée mi-2025 contre des clients de Salesforce qui n’exploite pas de faille du cœur de la plateforme, mais repose sur de la social engineering avancée, notamment du vishing (usurpation d’équipes IT/Help Desk par téléphone) pour faire approuver des applications tierces malveillantes dans les environnements Salesforce des victimes.

Une fois ces applications autorisées, les attaquants ont obtenu des jetons d’accès OAuth persistants, contournant la MFA et facilitant l’exfiltration de données à grande échelle. L’alliance dit avoir agrégé les données issues de multiples intrusions pour mener une extorsion directe contre Salesforce. ⏰ Date butoir annoncée: 10 octobre 2025.

Le site des acteurs liste des dizaines de grandes entreprises supposément compromises, dont par exemple Toyota, FedEx, Disney/Hulu, UPS, Home Depot, Marriott, Google Adsense, Cisco, TransUnion, Air France & KLM, IKEA, etc. Les données revendiquées incluent:

  • PII sensibles
  • Documents stratégiques pouvant impacter la position de marché
  • Données de plus de 100 autres “demand instances” hébergées sur l’infrastructure Salesforce

TTPs observées (d’après le texte):

  • ☎️ Vishing avec usurpation d’identité d’IT/Help Desk
  • 🧩 Approbation d’applications tierces malveillantes dans Salesforce
  • 🔑 Abus de jetons OAuth persistants et contournement de la MFA
  • 📤 Exfiltration de données à grande échelle
  • 💣 Extorsion via site dédié avec échéance annoncée

La liste des victimes présumées publiée par le groupe comprend :

  • Toyota Motor Corporations (🇯🇵): A multinational automotive manufacturer.
  • FedEx (🇺🇸): A global courier delivery services company.
  • Disney/Hulu (🇺🇸): A multinational mass media and entertainment conglomerate.
  • Republic Services (🇺🇸): An American waste disposal company.
  • UPS (🇺🇸): A multinational shipping, receiving, and supply chain management company.
  • Aeroméxico (🇲🇽): The flag carrier airline of Mexico.
  • Home Depot (🇺🇸): The largest home improvement retailer in the United States.
  • Marriott (🇺🇸): A multinational company that operates, franchises, and licenses lodging.
  • Vietnam Airlines (🇻🇳): The flag carrier of Vietnam.
  • Walgreens (🇺🇸): An American company that operates the second-largest pharmacy store chain in the United States.
  • Stellantis (🇳🇱): A multinational automotive manufacturing corporation.
  • McDonald’s (🇺🇸): A multinational fast food chain.
  • KFC (🇺🇸): A fast food restaurant chain that specializes in fried chicken.
  • ASICS (🇯🇵): A Japanese multinational corporation which produces sportswear.
  • GAP, INC. (🇺🇸): A worldwide clothing and accessories retailer.
  • HMH (hmhco.com) (🇺🇸): A publisher of textbooks, instructional technology materials, and assessments.
  • Fujifilm (🇯🇵): A multinational photography and imaging company.
  • Instructure.com – Canvas (🇺🇸): An educational technology company.
  • Albertsons (Jewel Osco, etc) (🇺🇸): An American grocery company.
  • Engie Resources (Plymouth) (🇺🇸): A retail electricity provider.
  • Kering (🇫🇷): A global luxury group that manages brands like Gucci, Balenciaga, and Brioni.
  • HBO Max (🇺🇸): A subscription video on-demand service.
  • Instacart (🇺🇸): A grocery delivery and pick-up service.
  • Petco (🇺🇸): An American pet retailer.
  • Puma (🇩🇪): A German multinational corporation that designs and manufactures athletic footwear and apparel.
  • Cartier (🇫🇷): A French luxury goods conglomerate.
  • Adidas (🇩🇪): A multinational corporation that designs and manufactures shoes, clothing, and accessories.
  • TripleA (aaa.com) (🇺🇸): A federation of motor clubs throughout North America.
  • Qantas Airways (🇦🇺): The flag carrier of Australia.
  • CarMax (🇺🇸): A used vehicle retailer.
  • Saks Fifth (🇺🇸): An American luxury department store chain.
  • 1-800Accountant (🇺🇸): A nationwide accounting firm.
  • Air France & KLM (🇫🇷/🇳🇱): A major European airline partnership.
  • Google Adsense (🇺🇸): A program run by Google through which website publishers serve advertisements.
  • Cisco (🇺🇸): A multinational digital communications technology conglomerate.
  • Pandora.net (🇩🇰): A Danish jewelry manufacturer and retailer.
  • TransUnion (🇺🇸): An American consumer credit reporting agency.
  • Chanel (🇫🇷): A French luxury fashion house.
  • IKEA (🇸🇪): A Swedish-founded multinational group that designs and sells ready-to-assemble furniture.

Type d’article: analyse de menace. But principal: relater la revendication d’extorsion et détailler la méthode d’attaque et l’ampleur alléguée de la compromission.

🧠 TTPs et IOCs détectés

TTPs

Vishing avec usurpation d’identité d’IT/Help Desk, Approbation d’applications tierces malveillantes dans Salesforce, Abus de jetons OAuth persistants et contournement de la MFA, Exfiltration de données à grande échelle, Extorsion via site dédié avec échéance annoncée

🔗 Source originale : https://dailydarkweb.net/scattered-lapsus-hunters-ransomware-group-claims-new-victims-on-new-website/

🖴 Archive : https://web.archive.org/web/20251005202447/https://dailydarkweb.net/scattered-lapsus-hunters-ransomware-group-claims-new-victims-on-new-website/