🎯 Contexte
Publié le 18 juin 2026 par Cato CTRL (Vitaly Simonovich), cet article constitue un profil de threat actor consacré à ShinyHunters, groupe cybercriminel actif depuis 2020. Il couvre six années d’activité, les fusions avec d’autres groupes, et l’évolution tactique observée en 2025-2026.
🏗️ Résilience organisationnelle
ShinyHunters a survécu à des perturbations majeures :
- Saisie de RaidForums
- Deux saisies de BreachForums
- Extradition et condamnation du fondateur Sébastien Raoult
- Arrestations de plusieurs administrateurs en France en 2025
Le groupe réapparaît systématiquement en quelques jours ou semaines. Sa résilience est organisationnelle plutôt que technique : ShinyHunters est devenu une identité réutilisable résistant aux arrestations et aux pertes de plateformes.
En 2025, cette identité s’est élargie via la fédération Scattered LAPSUS$ Hunters (SLH), combinant la notoriété de ShinyHunters, l’ingénierie sociale de Scattered Spider et les tactiques agressives de LAPSUS$.
🔓 Évolution tactique : contournement du MFA
Les tactiques 2025-2026 reposent sur l’exploitation des flux d’identité de confiance et de la logique métier, sans recours au phishing classique :
Cluster UNC6040 :
- L’attaquant appelle le help-desk, se fait passer pour l’IT interne
- Guide un employé dans un processus de “dépannage de connectivité”
- Obtient l’approbation d’une application Salesforce connectée malveillante
- Récupère un token OAuth avec les permissions de l’utilisateur
- Aucun password spraying, aucune chaîne d’exploit, aucun MFA compromis
Cluster UNC6395 :
- Supprime l’étape d’ingénierie sociale
- Utilise des tokens OAuth volés liés à des intégrations de confiance (ex : Salesloft Drift)
- Accès sans malware, sans invite de connexion, sans artefact endpoint suspect
🗂️ Clusters identifiés
L’article mentionne l’évolution des clusters : UNC5537, UNC6040, UNC6395, UNC6661.
📌 Type d’article
Il s’agit d’une analyse de menace produite par une équipe de recherche CTI (Cato CTRL), visant à documenter l’évolution tactique et organisationnelle de ShinyHunters pour informer les défenseurs et les équipes de sécurité.
🧠 TTPs et IOCs détectés
Acteurs de menace
- ShinyHunters (cybercriminal) — orkl.eu · Malpedia
- Scattered Spider (cybercriminal) — orkl.eu · Malpedia · MITRE ATT&CK
- LAPSUS$ (cybercriminal) — orkl.eu · Malpedia · MITRE ATT&CK
- UNC6040 (cybercriminal) — orkl.eu · Malpedia
- UNC6395 (cybercriminal) — orkl.eu · Malpedia
- UNC5537 (cybercriminal) — orkl.eu · Malpedia
- UNC6661 (cybercriminal) —
TTP
- T1566 — Phishing (Initial Access)
- T1598 — Phishing for Information (Reconnaissance)
- T1199 — Trusted Relationship (Initial Access)
- T1078 — Valid Accounts (Defense Evasion)
- T1550.001 — Use Alternate Authentication Material: Application Access Token (Defense Evasion)
- T1534 — Internal Spearphishing (Lateral Movement)
- T1657 — Financial Theft (Impact)
- T1530 — Data from Cloud Storage (Collection)
- T1114 — Email Collection (Collection)
- T1059 — Command and Scripting Interpreter (Execution)
🟢 Indice de vérification factuelle : 65/100 (haute)
- ✅ catonetworks.com — source reconnue (Rösti community) (20pts)
- ✅ 8580 chars — texte complet (fulltext extrait) (15pts)
- ⬜ aucun IOC extrait (0pts)
- ⬜ pas d’IOC à vérifier (0pts)
- ✅ 10 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ✅ acteur(s) identifié(s) : ShinyHunters, Scattered Spider, LAPSUS$ (5pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://www.catonetworks.com/blog/cato-ctrl-shinyhunters-the-brand-that-outlasts-the-takedowns/