UNC6671 / BlackFile : campagne d'extorsion par vishing et compromission SSO

🔍 Contexte

Source : Google Threat Intelligence Group (GTIG), publié le 15 mai 2026 sur le blog officiel Google Cloud. L’article présente une analyse détaillée d’une campagne d’extorsion active attribuée à UNC6671, un acteur opérant sous la marque BlackFile.

🎯 Acteur et ciblage

UNC6671 est actif depuis début 2026 et a ciblé des dizaines d’organisations en Amérique du Nord, Australie et Royaume-Uni. Le GTIG le distingue formellement de ShinyHunters (UNC6240), bien qu’UNC6671 ait usurpé la marque ShinyHunters dans au moins un cas pour renforcer la crédibilité de ses menaces.

⚙️ Techniques d’attaque

Le cycle d’attaque repose sur :

• Voice phishing (vishing) comme vecteur d’accès initial
• Techniques Adversary-in-the-Middle (AiTM) pour contourner le périmètre de sécurité et le MFA
• Compromission SSO (Single Sign-On), ciblant principalement Microsoft 365 et Okta
• Exfiltration programmatique de données sensibles via des scripts Python et PowerShell
• Extorsion post-exfiltration avec un Data Leak Site (DLS) dédié à la marque BlackFile

🔗 Liens avec d’autres acteurs

Bien qu’UNC6671 ait co-opté la marque ShinyHunters, le GTIG évalue les opérations comme indépendantes, sur la base de canaux TOX distincts, de patterns d’enregistrement de domaines uniques et du DLS BlackFile propre au groupe.

📄 Nature de l’article

Il s’agit d’une analyse de menace publiée par le GTIG, dont le but principal est de documenter le cycle opérationnel d’UNC6671 et de fournir aux défenseurs des éléments de détection et de mitigation contre les menaces centrées sur l’identité.

🧠 TTPs et IOCs détectés

Acteurs de menace

• UNC6671 (cybercriminal) — orkl.eu · Malpedia
• ShinyHunters (cybercriminal) — orkl.eu · Malpedia

TTP

• T1566.004 — Phishing: Spearphishing Voice (Initial Access)
• T1557 — Adversary-in-the-Middle (Credential Access)
• T1621 — Multi-Factor Authentication Request Generation (Credential Access)
• T1078 — Valid Accounts (Defense Evasion)
• T1059.006 — Command and Scripting Interpreter: Python (Execution)
• T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
• T1530 — Data from Cloud Storage (Collection)
• T1567 — Exfiltration Over Web Service (Exfiltration)
• T1657 — Financial Theft (Impact)

🟡 Indice de vérification factuelle : 50/100 (moyenne)

• ✅ cloud.google.com — source reconnue (liste interne) (20pts)
• ✅ 1517 chars — texte partiel (10pts)
• ⬜ aucun IOC extrait (0pts)
• ⬜ pas d’IOC à vérifier (0pts)
• ✅ 9 TTPs MITRE identifiées (15pts)
• ⬜ date RSS ou approximée (0pts)
• ✅ acteur(s) identifié(s) : UNC6671, ShinyHunters (5pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/blackfile-vishing-extortion-operation

🖴 Archive : https://web.archive.org/web/20260518064857/https://cloud.google.com/blog/topics/threat-intelligence/blackfile-vishing-extortion-operation