Selon ReliaQuest, une nouvelle campagne du collectif « Scattered Lapsus$ Hunters » cible les utilisateurs de Zendesk via une infrastructure de domaines typosquattés et des techniques de phishing multi‑volets.

ReliaQuest a identifié plus de 40 domaines typosquattés/imitant des environnements Zendesk (ex. znedesk[.]com, vpn-zendesk[.]com) créés au cours des six derniers mois. Plusieurs hébergent des faux portails SSO affichés avant l’authentification Zendesk, visant le vol d’identifiants. Certains domaines combinent le nom de plusieurs organisations pour accroître la crédibilité. Des similarités avec une campagne d’août 2025 contre Salesforce sont relevées (formatage des domaines, caractéristiques d’enregistrement, portails SSO trompeurs).

Les acteurs injectent aussi des tickets frauduleux dans des portails Zendesk légitimes afin d’atteindre les équipes support et de tenter l’infection par RATs et autres malwares. Les prétextes incluent des demandes d’administration urgentes ou de réinitialisation de mot de passe. L’objectif est d’obtenir un pied‑à‑terre, puis d’opérer reconnaissance et mouvements latéraux.

Des indices laissent penser à une campagne plus large : en septembre 2025, une attaque attribuée au même collectif a compromis le système de support Zendesk de Discord, exposant des données sensibles (noms, emails, informations de facturation, adresses IP, pièces d’identité). Le groupe a annoncé sur Telegram « Attendez 2026, nous menons 3-4 campagnes en ce moment » et a revendiqué en novembre 2025 une compromission de Gainsight; il est jugé réaliste que Zendesk soit un autre objectif dans cette séquence.

ReliaQuest situe cette activité dans une tendance d’attaques contre les plates-formes SaaS (ex. Salesforce, Salesloft Drift, Gainsight), avec la possibilité d’imitateurs ou de groupes dissidents reprenant la même méthode même après des perturbations. Les auteurs envisagent la poursuite des abus des plates-formes de support clients, moins surveillées que l’email.

Défenses et mesures proposées par ReliaQuest: surveillance DRP de domaines imitant Zendesk/les marques, règles de détection alignées sur les TTPs observés, et playbooks de réponse (terminer les sessions et réinitialiser les mots de passe, lancer un scan hôte, désactiver l’utilisateur). Un plan d’action met l’accent sur MFA avec clés matérielles, allowlisting IP, timeouts de session pour comptes admin/support, filtrage DNS et surveillance proactive de domaines, ainsi que des restrictions et filtrages de contenu sur Zendesk Chat. ReliaQuest indique avoir partagé ses constats avec Zendesk.

IOCs connus:

  • Domaines: znedesk[.]com, vpn-zendesk[.]com
  • Schémas: organization-zendesk[.]com, multiples marques dans l’URL
  • Enregistrement: NiceNic, contacts US/UK, nameservers masqués par Cloudflare

TTPs observées (🎣🔐🪤):

  • Typosquatting et usurpation de domaines
  • Faux portails SSO pour hameçonnage d’identifiants
  • Injection de tickets dans des portails Zendesk légitimes
  • Prétextes de support (urgences admin, reset mots de passe)
  • Livraison de malware (RATs), mouvement latéral et reconnaissance

Type d’article et objectif: analyse de menace publiée par ReliaQuest visant à documenter l’infrastructure malveillante, les TTPs, et à informer sur les mesures de détection et réponse.

🧠 TTPs et IOCs détectés

TTP

Typosquatting et usurpation de domaines, Faux portails SSO pour hameçonnage d’identifiants, Injection de tickets dans des portails Zendesk légitimes, Prétextes de support (urgences admin, reset mots de passe), Livraison de malware (RATs), mouvement latéral et reconnaissance

IOC

Domaines: znedesk[.]com, vpn-zendesk[.]com, Schémas: organization-zendesk[.]com, multiples marques dans l’URL, Enregistrement: NiceNic, contacts US/UK, nameservers masqués par Cloudflare

🔗 Source originale : https://reliaquest.com/blog/zendesk-scattered-lapsus-hunters-latest-target/