Source et contexte: krebsonsecurity.com (Brian Krebs) rapporte qu’un groupe lié à ShinyHunters/UNC6040 a lancé un site d’extorsion visant Salesforce et des dizaines d’entreprises, après une campagne de vishing en mai 2025 ayant conduit au vol de données Salesforce.

  • Le blog « Scattered LAPSUS$ Hunters » publie les noms de victimes (Toyota, FedEx, Disney/Hulu, UPS, etc.) et menace de divulguer les données volées si une rançon n’est pas payée d’ici le 10 octobre. Google TIG (GTIG) suit le groupe comme UNC6040 et a confirmé qu’un de ses propres environnements Salesforce a été affecté par la campagne. Salesforce indique qu’elle ne paiera pas et qu’aucune vulnérabilité du cœur de la plateforme n’est en cause. 🔓

  • Le groupe revendique aussi un incident chez Red Hat (compromission d’un serveur GitLab contenant >28 000 dépôts et >5 000 Customer Engagement Reports), bien que le « Crimson Collective » l’ait également revendiqué. Red Hat confirme la compromission d’un GitLab hébergeant des données de consulting (spécifications, extraits de code, communications internes, informations de contact limitées). Par ailleurs, Discord a notifié des utilisateurs touchés via un prestataire tiers (données exposées : identifiants Discord, e‑mails, IP, 4 derniers chiffres de cartes, images d’ID pour vérification d’âge). 📣

  • Le blog d’extorsion a brièvement signalé l’exploitation d’un 0‑day Oracle E‑Business Suite: CVE-2025-61882 permettant une RCE non authentifiée; Oracle a publié une mise à jour d’urgence. Mandiant indique une exploitation initiale en août 2025 par le gang Clop. Le site du groupe est tombé hors ligne après un changement DNS (DDoS‑Guard → Cloudflare). 🐛

  • Une campagne de harcèlement a visé des chercheurs, dont Brian Krebs, via un message menant à un fichier screensaver (.scr) piégé distribuant le backdoor ASYNCRAT. Mandiant décrit ASYNCRAT (basé .NET) utilisant un protocole binaire custom sur TCP, capable d’exécuter des commandes, de charger des plugins (captures d’écran, transfert de fichiers, keylogging, capture vidéo, minage crypto, vol d’identifiants de navigateurs). Le fichier malveillant est détecté par plusieurs antivirus. 🎯

  • GTIG suit séparément la compromission d’auth tokens chez Salesloft (UNC6395), utilisés pour collecter des jetons liés à des services cloud comme Snowflake et AWS; le groupe évoque l’extorsion future de centaines d’organisations supplémentaires. Le billet rappelle aussi des actions judiciaires récentes contre des membres présumés de Scattered Spider/LAPSUS$ au Royaume‑Uni et aux États‑Unis. Cet article est un compte rendu d’enquête et d’actualité sur une campagne d’extorsion multi‑incidents et des techniques associées.

IOCs et TTPs

  • IOCs:
    • Domaines: breachforums[.]hn, limewire[.]com
    • Malware: ASYNCRAT
    • Vulnérabilité: CVE-2025-61882 (Oracle E‑Business Suite)
  • TTPs:
    • Vishing/social engineering pour connecter une application malveillante au portail Salesforce (exfiltration de données)
    • Extorsion via site de « victim shaming » et négociations publiques
    • Vol/harvest d’authentification tokens (Salesloft → services cloud comme Snowflake/AWS)
    • Exploitation d’un RCE non authentifié Oracle E‑Business Suite (publication de scripts d’exploitation)
    • Phishing menant à un .scr déclenchant ASYNCRAT; C2 via protocole binaire custom TCP; plugins pour keylogging, screenshots, vidéo, vol d’identifiants, minage
    • Compromission d’un serveur GitLab (exposition de dépôts et rapports clients)

🧠 TTPs et IOCs détectés

TTPs

[‘Vishing/social engineering pour connecter une application malveillante au portail Salesforce (exfiltration de données)’, ‘Extorsion via site de « victim shaming » et négociations publiques’, ‘Vol/harvest d’authentification tokens (Salesloft → services cloud comme Snowflake/AWS)’, ‘Exploitation d’un RCE non authentifié Oracle E‑Business Suite (publication de scripts d’exploitation)’, ‘Phishing menant à un .scr déclenchant ASYNCRAT; C2 via protocole binaire custom TCP; plugins pour keylogging, screenshots, vidéo, vol d’identifiants, minage’, ‘Compromission d’un serveur GitLab (exposition de dépôts et rapports clients)’]

IOCs

[‘Domaines: breachforums[.]hn, limewire[.]com’, ‘Malware: ASYNCRAT’, ‘Vulnérabilité: CVE-2025-61882 (Oracle E‑Business Suite)’]

🔗 Source originale : https://krebsonsecurity.com/2025/10/shinyhunters-wage-broad-corporate-extortion-spree/

🖴 Archive : https://web.archive.org/web/20251008155105/https://krebsonsecurity.com/2025/10/shinyhunters-wage-broad-corporate-extortion-spree/