Selon Seqrite, en août 2025, le groupe Scattered LAPSUS$ Shiny Hunters (SLSH) a émergé en combinant des tactiques de LAPSUS$, ShinyHunters et Scattered Spider, et en opérant un modèle d’Extortion-as-a-Service. Les cibles incluent les secteurs BFSI, technologie et gouvernement. Le groupe est lié à des intrusions touchant Discord, l’écosystème Salesforce et Red Hat, via vishing et vol d’identifiants.

SLSH a exploité deux vulnérabilités critiques (CVSS 9.9) : CVE-2025-61882 permettant une exécution de code à distance non authentifiée sur Oracle E‑Business Suite, et CVE-2025-10725 permettant une élévation de privilèges dans Red Hat OpenShift AI.

Les attaquants ont utilisé TruffleHog pour la recherche d’identifiants AWS, ont déployé AsyncRAT pour la surveillance et l’enregistrement de frappes (notamment contre des chercheurs), et ont mené des campagnes de vishing livrant de faux Salesforce Data Loader et des connected apps malveillantes ☎️. Ils ont aussi recruté des insiders pour maintenir un accès persistant, signalant une extorsion collaborative.

Dans les environnements cloud, SLSH a abusé de services AWS natifs pour l’exfiltration (notamment S3, RDS, EC2, SES), a créé des utilisateurs privilégiés, attaché des snapshots EBS, et déployé des security groups permissifs. L’infrastructure et les modes opératoires présentent des recoupements avec les clusters UNC3944, UNC5537 et UNC6040.

IOCs et TTPs observés 🚨

  • Vulnérabilités exploitées: CVE-2025-61882 (Oracle E‑Business Suite, RCE non authentifiée), CVE-2025-10725 (Red Hat OpenShift AI, élévation de privilèges)
  • Outils/Artefacts: AsyncRAT, TruffleHog; applications Salesforce factices (Data Loader), connected apps malveillantes
  • Infrastructure/Services: AWS S3, RDS, EC2, SES; snapshots EBS; security groups permissifs; création d’utilisateurs à privilèges
  • Réseaux/Ports ciblés: 21, 80, 443, 3000, 8080, 8443, 9000, 9090
  • Techniques (TTPs): vishing et ingénierie sociale; vol d’identifiants; exploitation de failles critiques; abus de services cloud pour exfiltration; recrutement d’initiés; chevauchements avec UNC3944/UNC5537/UNC6040

Il s’agit d’une analyse de menace visant à profiler le groupe SLSH, documenter les vulnérabilités exploitées et décrire ses tactiques, techniques et infrastructures.

🔗 Source originale : https://www.seqrite.com/blog/anatomy-of-the-red-hat-intrusion-crimson-collective-and-slsh-extortions/

🖴 Archive : https://web.archive.org/web/20251024150008/https://www.seqrite.com/blog/anatomy-of-the-red-hat-intrusion-crimson-collective-and-slsh-extortions/