Selon Resecurity (blog, 24 décembre 2025; mise à jour 3 janvier 2026), l’entreprise a mené une opération de cyberdéception 🍯 en instrumentant des comptes « honeytrap » et un environnement applicatif émulé nourri de données synthétiques, afin d’observer un acteur menant du repérage puis des tentatives massives de scraping, avant d’indiquer que le groupe ShinyHunters est tombé à son tour dans ce piège.

Resecurity a déployé des comptes leurres (notamment Office 365/VPN) et un environnement isolé (p. ex. Mattermost) peuplé de données synthétiques imitant des enregistrements consommateurs (>28 000) et transactions Stripe (>190 000), générées avec SDV, MOSTLY AI et Faker, en respectant les schémas API officiels. Des données de fuites déjà connues (potentiellement PII) ont été réutilisées pour accroître le réalisme. L’objectif: inciter l’attaquant à interagir dans un cadre contrôlé, sans recourir à des mots de passe ni à des clés API réelles.

L’acteur a d’abord mené de la reconnaissance puis s’est connecté avec succès à une application émulée, avant de préparer une automatisation de scraping. Entre le 12 et le 24 décembre, plus de 188 000 requêtes ont été lancées via de nombreux proxies résidentiels. Plusieurs erreurs d’OPSEC ont exposé ses adresses IP réelles et les serveurs d’automatisation; Resecurity a partagé les informations (« abuse data ») avec des FAI et les forces de l’ordre, et un subpoena a été émis par une entité étrangère partenaire. Le blocage progressif de plages de proxies a forcé la réutilisation d’IP déjà identifiées.

Mise à jour du 3 janvier 2026: le groupe ShinyHunters a revendiqué (sur Telegram) un « accès total » aux systèmes de Resecurity, alors qu’il s’agissait d’un honeypot dédié: sous-domaine « [honeytrap].b.idp.resecurity.com » et Mattermost provisionné pour le compte leurre « Mark Kelly ». Les API keys et tokens y étaient hachés (bcrypt) et liés à des comptes factices; les données, non actionnables et datées, étaient mélangées à du contenu généré par IA (OpenAI/GPT). Resecurity indique avoir utilisé de la social engineering pour obtenir des données du groupe et avoir journalisé l’activité (horodatages et connexions) en vue d’un partage avec les autorités.

IOCs (extraits) 🚨

  • IP: 156.193.212.244 (Égypte)
  • IP: 102.41.112.148 (Égypte)
  • IP: 45.129.56.148 (Mullvad VPN)
  • IP: 185.253.118.70 (VPN)
  • Sous-domaine honeypot: [honeytrap].b.idp.resecurity.com (environnement leurre)

TTPs observés 🕵️

  • Reconnaissance de services/applications exposés
  • Ciblage d’employé sans privilèges, puis connexion à un compte honeytrap
  • Développement probable d’un scraper et dumping automatisé massif
  • Usage intensif de proxies résidentiels; erreurs d’OPSEC révélant des IP réelles
  • Collecte/partage d’« abuse data » et coopération avec FAI/forces de l’ordre

Type d’article: rapport d’incident visant à démontrer l’efficacité de la cyberdéception par données synthétiques pour la collecte de renseignement et l’appui aux enquêtes.

🔗 Source originale : https://www.resecurity.com/blog/article/synthetic-data-a-new-frontier-for-cyber-deception-and-honeypots