Selon BleepingComputer (Lawrence Abrams), des membres se présentant comme « Scattered Lapsus$ Hunters » (SLH) ont revendiqué l’intrusion dans les systèmes de Resecurity et la vol de données internes, tandis que la société affirme que seuls des environnements leurres (honeypots) avec données factices ont été touchés et instrumentés à des fins de suivi.

— Contexte et revendications — • Les acteurs ont publié des captures d’écran sur Telegram, affirmant avoir obtenu des « chats internes », des données d’employés, des rapports de renseignement et une liste de clients. • Parmi les preuves, une capture semblant montrer une instance Mattermost avec des échanges entre employés de Resecurity et du personnel de Pastebin au sujet de contenus malveillants. • Les acteurs disent agir en représailles à des tentatives présumées d’ingénierie sociale de Resecurity à leur encontre (simulation d’acheteurs d’une base de données financière vietnamienne). • Le porte-parole de ShinyHunters a indiqué à BleepingComputer ne pas être impliqué dans cette activité, malgré l’usage du label « Scattered Lapsus$ Hunters ».

— Réponse de Resecurity (🍯 honeypot) — • Resecurity affirme que les systèmes prétendument compromis ne font pas partie de la production et constituent un honeypot isolé, peuplé de données synthétiques. • Dans un rapport publié le 24 décembre, la société dit avoir détecté dès le 21 novembre 2025 des activités de reconnaissance sur ses systèmes exposés. • Déploiement d’un compte-honeypot avec de faux jeux de données : 28 000 enregistrements consommateurs et 190 000 transactions de paiement au format de l’API Stripe.

— Activité observée et télémétrie — • À partir de décembre, tentative d’automatisation de l’exfiltration : plus de 188 000 requêtes entre le 12 et le 24 décembre, via de nombreux proxies résidentiels. • Resecurity indique avoir collecté de la télémétrie sur les TTPs et l’infrastructure de l’acteur. • Des échecs de connexion proxy auraient brièvement exposé des adresses IP réelles, renseignement transmis aux forces de l’ordre. • La société dit avoir identifié des serveurs utilisés pour automatiser l’attaque et partagé ces éléments avec une juridiction étrangère qui aurait émis une assignation (subpoena) à l’encontre de l’acteur.

— Suite — • Les acteurs n’ont pas fourni d’autres preuves au moment de la publication et promettent « plus d’informations bientôt ».

— IOCs et TTPs (extraits de l’article) — • IOCs:

  • IPs observées durant la reconnaissance, incluant des origines en Égypte et via le VPN Mullvad (adresses précises non publiées).
  • Usage massif de proxies résidentiels pour l’exfiltration automatisée. • TTPs:
  • Reconnaissance d’actifs exposés.
  • Accès à un compte-leurre puis automatisation de l’exfiltration (188 000+ requêtes sur ~12 jours).
  • OpSec défaillant (fuites d’IP réelles lors d’échecs de proxy).
  • Communication et diffusion de captures (Mattermost) comme preuve.
  • Contexte d’ingénierie sociale revendiqué autour d’une vente de base de données.

Type d’article: article de presse spécialisé rapportant des revendications d’attaque et la réponse de l’entreprise, avec éléments d’un rapport interne de Resecurity.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/shinyhunters-claims-resecurity-hack-firm-says-its-a-honeypot/