📰 Source : BleepingComputer | Date : 8 avril 2026 | Auteur de rĂ©fĂ©rence : Austin Larsen, analyste principal chez Google Threat Intelligence Group (GTIG)

🎯 Contexte gĂ©nĂ©ral Le groupe de menace UNC6783 mĂšne des campagnes ciblant des prestataires de services externalisĂ©s (BPO) afin d’atteindre indirectement des entreprises de grande valeur dans plusieurs secteurs. Selon GTIG, des dizaines d’entitĂ©s ont Ă©tĂ© compromises dans le but d’exfiltrer des donnĂ©es sensibles Ă  des fins d’extorsion.

🔗 Lien possible avec Raccoon GTIG indique qu’UNC6783 pourrait ĂȘtre liĂ© Ă  un persona connu sous le nom de Raccoon (ou « Mr. Raccoon »), qui aurait revendiquĂ© une intrusion chez Adobe aprĂšs avoir compromis un BPO indien travaillant pour l’entreprise. Le mĂȘme acteur aurait dĂ©ployĂ© un RAT sur le poste d’un employĂ©, puis ciblĂ© le manager de cet employĂ© via phishing. Il affirme avoir volĂ© 13 millions de tickets de support contenant des donnĂ©es personnelles, des dossiers employĂ©s, des soumissions HackerOne et des documents internes. Adobe n’a pas confirmĂ© cette violation.

⚙ Techniques d’attaque identifiĂ©es

  • Phishing et ingĂ©nierie sociale ciblant les employĂ©s des BPO et les Ă©quipes support/helpdesk
  • Redirection vers des pages Okta spoofĂ©es hĂ©bergĂ©es sur des domaines suivant le pattern : <org>.zendesk-support<##>.com
  • Kit de phishing capable de voler le contenu du presse-papiers pour contourner le MFA
  • Enregistrement de l’appareil de l’attaquant dans l’organisation cible
  • Distribution de fausses mises Ă  jour de sĂ©curitĂ© pour dĂ©livrer des malwares d’accĂšs Ă  distance
  • Extorsion via des adresses ProtonMail

🏱 Victimes connexes

  • Adobe (non confirmĂ©) via un BPO basĂ© en Inde
  • CrunchyRoll : l’acteur derriĂšre cette violation a confirmĂ© ĂȘtre Ă©galement responsable de l’attaque Adobe

📋 Type d’article : Analyse de menace basĂ©e sur un rapport GTIG/Mandiant, visant Ă  documenter les TTPs d’UNC6783 et Ă  alerter les organisations sur les risques liĂ©s Ă  la chaĂźne d’approvisionnement BPO.

🧠 TTPs et IOCs dĂ©tectĂ©s

Acteurs de menace

  • UNC6783 (cybercriminal)
  • Raccoon (cybercriminal)

TTP

  • T1566 — Phishing (Initial Access)
  • T1598.004 — Phishing for Information: Spearphishing via Service (Reconnaissance)
  • T1056.003 — Input Capture: Web Portal Capture (Credential Access)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1621 — Multi-Factor Authentication Request Generation (Credential Access)
  • T1098.005 — Account Manipulation: Device Registration (Persistence)
  • T1204.001 — User Execution: Malicious Link (Execution)
  • T1036 — Masquerading (Defense Evasion)
  • T1113 — Screen Capture (Collection)
  • T1115 — Clipboard Data (Collection)
  • T1567 — Exfiltration Over Web Service (Exfiltration)
  • T1657 — Financial Theft (Impact)

Malware / Outils

  • RAT (Remote Access Trojan) (rat)

🟡 Indice de vĂ©rification factuelle : 50/100 (moyenne)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 2955 chars — texte partiel (10pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC Ă  vĂ©rifier (0pts)
  • ✅ 12 TTPs MITRE identifiĂ©es (15pts)
  • ⬜ date RSS ou approximĂ©e (0pts)
  • ✅ acteur(s) identifiĂ©(s) : UNC6783, Raccoon (5pts)
  • ⬜ pas de CVE Ă  vĂ©rifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/google-new-unc6783-hackers-steal-corporate-zendesk-support-tickets/

🖮 Archive : https://web.archive.org/web/20260409063635/https://www.bleepingcomputer.com/news/security/google-new-unc6783-hackers-steal-corporate-zendesk-support-tickets/