LAPSUS$

🌐 Contexte Publié le 28 avril 2026 par Europol (European Union Agency for Law Enforcement Cooperation), l’Internet Organised Crime Threat Assessment (IOCTA) 2026 constitue l’évaluation annuelle la plus complète des cybermenaces pesant sur l’Union européenne. Le rapport s’intitule « How encryption, proxies and AI are expanding cybercrime » et couvre les développements observés principalement en 2025. 🎯 Principaux vecteurs de menace identifiés Ransomware Plus de 120 familles de ransomware actives observées par Europol en 2025 Modèle RaaS (Ransomware-as-a-Service) dominant, avec fragmentation croissante des opérations Groupes notables : Qilin, Akira, LockBit (tentatives de rebond avec LockBit 5.0), DragonForce, BlackBasta, Cl0p, Play, Fog En septembre 2025, une coalition DragonForce + LockBit + Qilin annoncée sur le dark web Tactiques d’extorsion multi-couches : exfiltration de données, DDoS simultanés, cold-calling, pression psychologique Shift de l’extorsion : de la demande de déchiffrement vers la menace de publication des données Fraude en ligne (OFS) Fraude représentant la zone de croissance la plus rapide de la criminalité organisée Typologies principales : fraude à l’investissement (crypto), BEC, romance scam, tech support fraud, fraude aux paiements Usage massif de SIM boxes / SIM farms (ex : réseau letton de 7 individus, 1 200 dispositifs, 40 000 SIM cards, 49 millions de comptes créés) Montée des IMSI catchers et SMS blasters pour contourner les protocoles KYC Drainers de cryptomonnaies maturés en système CaaS (acquisition d’Inferno Drainer par Angel Drainer en octobre 2024) Attaques relay sur terminaux de paiement en hausse dans l’UE Adoption de l’IA générative pour personnaliser l’ingénierie sociale, scripts d’appel, chatbots de pré-sélection des victimes Infrastructure criminelle Dark web : fragmentation des marketplaces généralistes, émergence de plateformes spécialisées Démantèlement d’Archetyp Market (600 000 utilisateurs, EUR 250M de transactions, juin 2025) ; émergence de BlackOps, TorZon, Nexus Market DarkForums successeur de BreachForums Bullet-proof hosting (BPH) avec sous-location multi-juridictionnelle Proxies résidentiels pour masquer le trafic malveillant Abus DNS pour phishing, C2 de botnets, distribution de malwares Démantèlement de Cryptomixer (EUR 1,3 milliard en Bitcoin mixés depuis 2016, novembre 2025) Montée des privacy coins, chain-hopping, bridges blockchain, DEX, coinjoin pour le blanchiment Menaces hybrides et DDoS Acteurs étatiques utilisant des réseaux cybercriminels comme proxies pour des opérations de déstabilisation NoName057(16) : réseau pro-russe ciblant gouvernements et entreprises, démantelé partiellement lors de l’Opération Eastwood (juillet 2025, 19 pays impliqués) DDoS lors du Sommet OTAN de La Haye (juin 2025) Coalition Scattered LAPSUS$ Hunters (SLSH) : Scattered Spider + ShinyHunters + LAPSUS$ (annoncée août 2025) Exploitation sexuelle des enfants en ligne (CSAM) Kidflix démantelé (1,8M utilisateurs, 80 000 vidéos, 1 400 suspects identifiés, 39 enfants protégés) Hausse de 70% des signalements de sextorsion financière (NCMEC, H1 2025 vs H1 2024) CSAM généré par IA en forte progression (modèles text-to-image, text-to-video, image-to-image) Réseau The Com : communautés en ligne mêlant CSE, cyberattaques, extorsion, violence extrême Plateforme Help4U lancée par Europol en novembre 2025 pour soutenir les victimes mineures 🔧 Opérations de police majeures citées Opération Endgame : démantèlement de Smokeloader, Bumblebee, Lactrodectus, Qakbot, Hijackloader, DanaBot, Trickbot, Warmcookie, Rhadamantys, VenomRAT, Elysium botnet Phobos/8Base : arrestation de 4 ressortissants russes, avertissement de 400 entreprises Cryptomixer.io : saisie de EUR 25M en cryptomonnaies, 12 To de données Archetyp Market : arrestation de l’administrateur à Barcelone NoName057(16) : Opération Eastwood, 9 arrestations, +100 serveurs perturbés Réseau SIM box letton : 7 arrestations (octobre 2025) CSAM IA : 25 arrestations mondiales, 273 suspects identifiés 📋 Type d’article Il s’agit d’un rapport stratégique annuel publié par Europol, destiné aux décideurs stratégiques, politiques et opérationnels des autorités répressives de l’UE. Son but principal est de fournir une évaluation structurée et factuelle du paysage des cybermenaces pour orienter les priorités opérationnelles et politiques en matière de lutte contre la cybercriminalité. ...

🗓️ Contexte Article publié le 1 avril 2026 par The Record Media. Il rapporte la confirmation par la startup Mercor d’un incident de sécurité lié à une attaque supply chain ciblant le projet open-source LiteLLM. 🏢 Victime : Mercor Mercor est une plateforme de recrutement spécialisée dans l’IA, valorisée à 10 milliards de dollars en octobre 2025. Elle travaille notamment avec OpenAI pour recruter des experts et entraîner des modèles d’IA. La porte-parole Heidi Hagberg a confirmé l’incident et indiqué que l’équipe sécurité a procédé à la containment et remédiation. Une investigation est en cours avec des experts forensiques externes. ...

🗓️ Contexte Publié le 20 mars 2026 par Hackread.com, cet article rapporte la revendication du groupe LAPSUS$ d’une violation de données ciblant AstraZeneca, multinationale pharmaceutique et biotechnologique de premier plan. Les affirmations ont été publiées sur un forum de hackers et sur le site officiel du groupe. 📦 Données revendiquées Le groupe affirme avoir obtenu environ 3 Go de données internes, proposées à la vente au plus offrant, comprenant : Code source (Java, Angular, Python) Secrets et credentials (clés privées, données vault) Configurations d’infrastructure cloud (AWS, Azure, Terraform) Données employés et sous-traitants Des archives au format .tar.gz ont été mentionnées comme vecteur de partage 🔬 Analyse des échantillons Hackread a examiné trois catégories d’échantillons : ...

🔍 Contexte Publié le 30 mars 2026 par OpenSourceMalware.com, cet article constitue une rétrospective complète de la campagne supply chain orchestrée par TeamPCP en mars 2026. L’attaque a débuté par un incident de moindre ampleur en février 2026 et s’est transformée en la compromission en cascade de cinq écosystèmes majeurs en l’espace de cinq jours. 🎭 Acteur de la menace TeamPCP (alias DeadCatx3, PCPcat, ShellForce) est un groupe à motivation financière, spécialisé dans les environnements cloud-native. Il est lié à l’opération de ransomware CipherForce et entretient des liens de coordination confirmés avec LAPSUS$, selon le CTO de Mandiant Charles Carmakal lors de la RSA Conference. Le groupe est suivi par Aikido Security, Socket, Wiz, Flare et d’autres. ...

🎯 Contexte Publié le 26 mars 2026 par SecurityWeek, cet article rapporte une revendication du groupe d’extorsion Lapsus$ concernant une intrusion chez AstraZeneca, géant pharmaceutique mondial. L’information est relayée par la firme de cybersécurité SocRadar. 🔓 Nature de l’incident Lapsus$ affirme avoir exfiltré plusieurs catégories de données sensibles appartenant à AstraZeneca : Code source applicatif Java : controllers, repositories, services, schedulers, fichiers de configuration, ressources Spring Boot Packages Angular et Python Informations d’infrastructure cloud : AWS, Azure, Terraform Credentials et secrets divers Informations GitHub Enterprise : rôles, détails de comptes utilisateurs Adresses email corporatives Données employés Chemins de projet liés à des assets de développement interne 🏗️ Infrastructure et technologies exposées Les données revendiquées couvrent des environnements multi-cloud (AWS, Azure) et des outils d’infrastructure-as-code (Terraform), ainsi que des dépôts de code internes, ce qui représente un risque significatif pour la chaîne de développement logiciel d’AstraZeneca. ...

🏛️ Contexte Le 20 mars 2026, Graeme Biggar, directeur général de la National Crime Agency (NCA) britannique, a prononcé un discours lors du lancement de l’évaluation stratégique nationale de l’agence. Il y a alerté sur la convergence croissante des formes de criminalité en ligne. 🎯 Points clés du discours Biggar a décrit comment les mêmes espaces en ligne toxiques et algorithmes transforment des adolescents en cybercriminels, délinquants sexuels et terroristes. Il a souligné que la technologie ne se contente plus d’être un outil pour les criminels, mais remodèle la criminalité elle-même en l’accélérant et en la mondialisant. ...

Selon Christophe Boutry, ancien enquêteur judiciaire et expert en investigations numériques, le collectif LAPSUS$ a revendiqué le 25 février 2026 le piratage d’Eiffage via la plateforme française NextSend (Hegyd), entraînant la publication de 77 fichiers et l’exposition de 175 942 enregistrements. • Contexte et acteurs: Eiffage, groupe de BTP coté en bourse, est ajouté au wall of shame de LAPSUS$. Les attaquants mettent en avant le statut boursier et un chiffre d’affaires 2025 de 25 milliards d’euros pour justifier leur ciblage, tout en accusant l’entreprise de négliger la sécurité des données. ...

Selon Clubic, ENI a confirmé à ses clients français une « diffusion non autorisée » d’informations professionnelles après la publication, le 27 décembre 2025, par un acteur se réclamant de Lapsus$ d’un fichier de données sur un forum du dark web. Les pirates, sous le pseudonyme « Lapsus-Group », affirment détenir 89 463 lignes de données attribuées à des clients professionnels d’ENI en France. Un échantillon publié valide l’authenticité des informations. Les enregistrements contiennent notamment la raison sociale, la référence client, les coordonnées professionnelles (e-mail et téléphone) et les dates de dernière connexion de diverses entités (restaurants, paroisses, copropriétés, entreprises). Les attaquants déclarent n’avoir extrait que des données françaises. Entre 40 000 et 50 000 clients pourraient être concernés, sans confirmation chiffrée d’ENI. ...

Selon INFINITY AREA, le groupe LAPSUS$ a revendiqué le 28 décembre 2025 une compromission du Ministère de l’Agriculture et de l’Alimentation, publiant gratuitement une archive de 61 Go issue des systèmes du ministère. Ce qui a été divulgué 🗂️ 61 Go de données, soit 97 210 fichiers dans 1 250 dossiers (archive .rar) Listes FTP, journaux de connexions (logs) de 32 départements, fichiers de bases de données (.SQL) Présence de 19 applications internes et d’un outil nommé « Synchroniseur » Nature et portée de l’attaque ⚠️ ...

Selon IT-Connect, deux établissements français de l’enseignement supérieur — Grenoble École de Management (GEM) et l’Université de Lille — ont vu leurs noms apparaître sur le forum BreachForums fin décembre 2025, signalant des fuites de données distinctes. 🔓 Grenoble École de Management (GEM) — alerte du 29 décembre 2025: un acteur se présentant sous le pseudo CZX affirme avoir infiltré GEM en novembre 2025 et détenir une archive de 1,35 Go couvrant 400 000+ personnes. D’après une analyse de Cybernews, les données proviendraient d’une liste de diffusion issue d’un CRM/outil marketing (abonnés newsletters et prospects externes). GEM confirme l’intrusion et indique que seules des données personnelles limitées d’identification et de contact sont concernées, avec aucun mot de passe ni donnée bancaire compromis. ...