Selon Silent Push (alerte du 26 janvier 2026), une campagne massive d’usurpation d’identité menée par le groupe SLSH cible des comptes SSO d’entreprises à forte valeur (dont Okta), via une infrastructure de phishing en direct couplée à des opérations de vishing.

⚠️ SLSH (« Scattered LAPSUS$ Hunters ») est une alliance de Scattered Spider, LAPSUS$ et ShinyHunters. Leur opération n’est pas automatisée mais pilotée par des humains, synchronisant appels téléphoniques aux employés/Help Desk et pages de phishing qui reproduisent les écrans d’authentification pour intercepter identifiants et tokens MFA en temps réel et obtenir un accès immédiat aux tableaux de bord d’entreprise.

🎯 Cibles (30 derniers jours) : plus de 100 organisations dans de multiples secteurs, incluant notamment:

  • Technologie & logiciels (ex. Atlassian, HubSpot, RingCentral), Fintech & paiements (Adyen, SoFi), Biotech/Pharma (Moderna, Biogen), Services financiers/Banques (RBC, State Street), Immobilier/REITs (CBRE, Simon Property Group), Énergie & Infrastructures (Halliburton, Sempra Energy), Santé/MedTech (GoodRx, ResMed), RH/Outsourcing (Gusto, TriNet), Logistique (Pitney Bowes), Industrie (Ball Corp), Retail/biens de conso (GameStop, Sonos), Assurance, Juridique, Médias/Hôtellerie (Choice Hotels), Télécom (Telstra), et PropTech (Zillow, RealPage).

🔐 Risques principaux:

  • Prise de contrôle totale du SSO (effet « clé passe-partout » sur toutes les apps).
  • Extorsion de données (exfiltration rapide à des fins de chantage public).
  • Mouvement latéral via messageries internes (Slack/Teams) pour viser des admins à plus hauts privilèges.
  • Chiffrement des données en phase finale avec demande de rançon pour la clé de déchiffrement.

🛡️ Mesures recommandées (extrait):

  • Alerter immédiatement les employés et équipes support sur des campagnes de vishing en cours et escalader tout message/appel suspect.
  • Auditer les logs Okta/SSO: rechercher des « New Device Enrolled » suivis d’une connexion depuis une IP inconnue.
  • Bloquer en amont les domaines d’homographie/look-alike via des flux d’IOFA de Silent Push (détection DNS pré-attaque).
  • FAQ: privilégier une MFA résistante au phishing (FIDO2) et vérifier tout appel IT par un canal hors bande officiel.

🧩 IOCs et TTPs:

  • IOC(s): pas d’indicateurs techniques spécifiques (domaines/IP) listés dans l’extrait; mention de domaines look-alike détectés au niveau DNS.
  • TTPs: vishing ciblé contre employés/Help Desk; live phishing panel en man-in-the-middle pour intercepter MFA en temps réel; prise de session SSO/Okta; exfiltration et extorsion; mouvement latéral via Slack/Teams; chiffrement/ransomware; traces dans logs: « New Device Enrolled » + login IP inconnue.

Type d’article: alerte de sécurité visant à prévenir une campagne active et fournir des actions de défense prioritaires.

🔗 Source originale : https://www.silentpush.com/blog/slsh-alert/