Crimson Collective

Source: Tom’s Hardware (Jowi Morales). Le média rapporte la revendication par le groupe de hackers Crimson Collective d’un piratage de Nintendo, accompagnée d’une capture d’écran partagée sur X par la société de renseignement Hackmanac. Le groupe affirme avoir accédé à des données de Nintendo, illustrées par des dossiers censés contenir des assets de production, des fichiers développeurs et des sauvegardes. Nintendo n’a pas communiqué sur l’incident, laissant planer l’incertitude sur l’authenticité de la preuve. ...

Selon Unit 42 (Palo Alto Networks), le conglomérat « Scattered Lapsus$ Hunters » — incluant Muddled Libra, Bling Libra et des acteurs LAPSUS$ — mène des campagnes coordonnées d’extorsion basées sur le vol de données contre des clients Salesforce, tout en poursuivant ses activités malgré la saisie par le FBI de domaines liés à BreachForums. • Menaces et opérations: Les acteurs ciblent des plateformes cloud, notamment des locataires Salesforce et des environnements AWS, pour exfiltrer des données clients sans déployer de chiffrement ni de ransomware, privilégiant une extorsion par vol de données. Bling Libra a lancé un modèle Extortion-as-a-Service (EaaS) avec une commission de 25–30% sur les paiements, et opère un DLS (data leak site) listant 39 organisations. Le groupe collabore avec de nouveaux collectifs, dont Crimson Collective. ...

Source: Rapid7 Labs — Rapid7 présente l’observation d’un nouveau groupe de menace, « Crimson Collective », actif contre des environnements AWS avec un objectif d’exfiltration de données suivie d’extorsion. Le groupe revendique notamment une attaque contre Red Hat, affirmant avoir dérobé des dépôts GitLab privés. 🚨 Nature de l’attaque: le groupe exploite des clés d’accès long-terme AWS divulguées, s’authentifie (via l’UA TruffleHog), puis tente d’établir une persistance en créant des utilisateurs IAM et des clés d’accès. Lorsque possible, il attache la politique AdministratorAccess pour obtenir un contrôle total. Dans les comptes moins privilégiés, il teste l’étendue des permissions via SimulatePrincipalPolicy. ...

Selon Rapid7, un nouveau groupe de menace baptisé « Crimson Collective » intensifie ses attaques contre des environnements cloud AWS, avec deux cas observés en septembre. — Le groupe débute ses intrusions en compromettant des clés d’accès à long terme AWS et en exploitant les privilèges IAM associés. Une fois l’accès obtenu, il crée de nouveaux utilisateurs et élève les privilèges en attachant des politiques supplémentaires. — Après compromission, Crimson Collective mène de la reconnaissance pour identifier des données de valeur, puis exfiltre ces informations en s’appuyant sur des services AWS. En cas de succès, les victimes reçoivent une note d’extorsion. ...

Selon GitGuardian (blog), un groupe nommé Crimson Collective a revendiqué une intrusion dans l’instance GitLab utilisée par Red Hat Consulting, avec exfiltration massive de données et exposition de secrets opérationnels. Red Hat a confirmé que l’incident concerne uniquement l’instance GitLab de consulting, sans impact sur sa chaîne d’approvisionnement logicielle. Le Centre pour la Cybersécurité de Belgique a publié un avis de haut risque à destination des clients des services de consulting Red Hat. 🚨 ...