Lapsus$

🎯 Contexte Publié le 18 juin 2026 par Cato CTRL (Vitaly Simonovich), cet article constitue un profil de threat actor consacré à ShinyHunters, groupe cybercriminel actif depuis 2020. Il couvre six années d’activité, les fusions avec d’autres groupes, et l’évolution tactique observée en 2025-2026. 🏗️ Résilience organisationnelle ShinyHunters a survécu à des perturbations majeures : Saisie de RaidForums Deux saisies de BreachForums Extradition et condamnation du fondateur Sébastien Raoult Arrestations de plusieurs administrateurs en France en 2025 Le groupe réapparaît systématiquement en quelques jours ou semaines. Sa résilience est organisationnelle plutôt que technique : ShinyHunters est devenu une identité réutilisable résistant aux arrestations et aux pertes de plateformes. ...

📰 Contexte Article publié le 18 juin 2026 par CyberScoop (Matt Kapko). Il s’agit d’une analyse approfondie de la campagne du groupe TeamPCP, actif depuis fin 2025, qui mène une attaque de grande envergure contre l’écosystème open-source. 🎯 Acteur de la menace TeamPCP est attribué par Google à un opérateur principal unique, dont les connexions IP résidentielles et mobiles ont été tracées en Afrique du Sud. Palo Alto Networks identifie le handle principal : ResoluteXBF, ainsi que deux membres supplémentaires : diencracked et Shinigami. Le groupe a collaboré ponctuellement avec des entités telles que Lapsus$, ShinyHunters, DragonForce, BreachForums et HasanBroker. La motivation principale est la notoriété underground et le chaos, non le gain financier (environ 90 000 USD d’extorsions revendiquées). ⚙️ Méthodes d’attaque Injection de code malveillant dans des packages open-source sur npm, PyPI, GitHub et d’autres registres. Ciblage des pipelines CI/CD (CI runners) pour propager le malware à tous les utilisateurs en aval qui tirent automatiquement les dernières versions. Vol de credentials pour des environnements Kubernetes, AWS, Microsoft Azure, Google Cloud. Développement de payloads en JavaScript et Python, extension vers les APIs Kubernetes et les SDKs. Vol de credentials via protocoles personnalisés. Infections récurrentes dues à une rotation insuffisante des secrets par les victimes. 📦 Packages et victimes notables Première attaque documentée : Trivy (février 2026). Victimes revendiquées : Checkmarx, Bitwarden, LiteLLM, Telnyx, Mercor AI, PyTorch Lightning, AntV, SAP, GitHub, TanStack, UiPath, MistralAI, Microsoft DurableTask, Red Hat, Nx Console. Volume combiné : environ 500 millions de téléchargements hebdomadaires pour l’ensemble des packages compromis. Plus de 10 000 victimes revendiquées par TeamPCP. Environ 4 000 dépôts de code privés mis en vente sur un forum darkweb pour 95 000 USD. 🦠 Malware notable Mini Shai-Hulud : malware auto-répliquant ayant infecté des centaines de packages open-source. Son code source complet a été publié sur GitHub par un affilié de TeamPCP pour encourager d’autres cybercriminels à l’utiliser. 📊 Facteurs aggravants Utilisation croissante de l’IA par les développeurs réduisant la supervision humaine sur les packages installés. Confiance aveugle dans les registres open-source sans vérification de l’intégrité du code. Délai de détection variable : certains packages compromis ont été actifs jusqu’à 13 heures, d’autres retirés en 15 minutes. Le groupe infecte de nouveaux packages quasi quotidiennement et valide les compromissions en moins de 24 heures. 📌 Type d’article Analyse de menace approfondie à destination des professionnels de la cybersécurité et de la threat intelligence, visant à documenter les TTPs, l’attribution et l’impact de la campagne TeamPCP sur l’écosystème open-source. ...

🔍 Contexte Source : The Hacker News, publié le 17 mai 2026. Grafana, éditeur de la plateforme d’observabilité Grafana Cloud, a divulgué publiquement une violation de sécurité impliquant le vol d’un token d’accès à son environnement GitHub. 🎯 Déroulement de l’incident Un token GitHub compromis a permis à un acteur non autorisé d’accéder à l’environnement GitHub de Grafana et de télécharger son code source. Grafana a découvert l’activité « récemment » sans préciser la date exacte ni la durée d’exposition. L’entreprise a immédiatement lancé une analyse forensique, invalidé les identifiants compromis et renforcé ses mesures de sécurité. ...

🔍 Contexte Source : BleepingComputer, publié le 11 mai 2026. Checkmarx, société spécialisée en sécurité applicative, a alerté le week-end du 10-11 mai 2026 de la publication d’une version malveillante de son plugin Jenkins AST sur le Jenkins Marketplace. Il s’agit du troisième incident d’une série d’attaques supply-chain subies par Checkmarx depuis fin mars 2026. 🎯 Déroulement de l’attaque Le groupe TeamPCP a obtenu des credentials d’accès aux dépôts GitHub de Checkmarx lors d’une attaque antérieure sur le scanner de vulnérabilités Trivy en mars 2026. Ces credentials n’ayant pas été révoqués, les attaquants ont maintenu un accès pendant au moins un mois. ...

🔍 Contexte Cet article est une mise à jour officielle publiée par Checkmarx le 9 mai 2026 sur leur blog, relatant un incident de sécurité supply chain en cours ayant débuté le 23 mars 2026. L’article compile plusieurs mises à jour successives (23 mars, 22 avril, 26 avril, 27 avril, 9 mai 2026). 🗓️ Chronologie de l’incident 23 mars 2026 : Checkmarx identifie un incident supply chain lié à l’attaque TeamPCP ciblant le scanner Trivy (signalée le 19 mars). Des artefacts malveillants sont publiés sur OpenVSX et dans des GitHub Actions. L’attaquant pousse du code malveillant directement dans les dépôts GitHub de Checkmarx. 30 mars 2026 : Exfiltration de données depuis les dépôts GitHub de Checkmarx. 22 avril 2026 : Deuxième vague de publications d’artefacts malveillants (KICS DockerHub, ast-github-action, extensions VS Code), indiquant un accès persistant ou renouvelé de l’attaquant. 25 avril 2026 : LAPSUS$ publie sur le dark web des données estampillées du 30 mars, issues des dépôts GitHub de Checkmarx. 9 mai 2026 : Publication d’une version malveillante du plugin Jenkins AST (version 2026.5.09) sur le Jenkins Marketplace. 🎯 Artefacts compromis Vague 1 (23 mars 2026) : ...

📰 Source : Cybernews, publié le 11 mai 2026 (mis à jour le 13 mai 2026). L’article rapporte une fuite de données revendiquée par le groupe Lapsus$ à l’encontre de Vodafone, l’un des plus grands opérateurs de télécommunications mondiaux. 🎯 Nature de l’incident Lapsus$ affirme avoir exfiltré du code source interne de Vodafone et avoir accordé un délai de 15 jours à l’entreprise pour entamer des négociations. Face au refus de Vodafone, le groupe a publié l’intégralité du dataset sur son site de fuite avec le message : « Time expired. Vodafone refused to pay. Data is now public. » ...

🌐 Contexte Publié le 28 avril 2026 par Europol (European Union Agency for Law Enforcement Cooperation), l’Internet Organised Crime Threat Assessment (IOCTA) 2026 constitue l’évaluation annuelle la plus complète des cybermenaces pesant sur l’Union européenne. Le rapport s’intitule « How encryption, proxies and AI are expanding cybercrime » et couvre les développements observés principalement en 2025. 🎯 Principaux vecteurs de menace identifiés Ransomware Plus de 120 familles de ransomware actives observées par Europol en 2025 Modèle RaaS (Ransomware-as-a-Service) dominant, avec fragmentation croissante des opérations Groupes notables : Qilin, Akira, LockBit (tentatives de rebond avec LockBit 5.0), DragonForce, BlackBasta, Cl0p, Play, Fog En septembre 2025, une coalition DragonForce + LockBit + Qilin annoncée sur le dark web Tactiques d’extorsion multi-couches : exfiltration de données, DDoS simultanés, cold-calling, pression psychologique Shift de l’extorsion : de la demande de déchiffrement vers la menace de publication des données Fraude en ligne (OFS) Fraude représentant la zone de croissance la plus rapide de la criminalité organisée Typologies principales : fraude à l’investissement (crypto), BEC, romance scam, tech support fraud, fraude aux paiements Usage massif de SIM boxes / SIM farms (ex : réseau letton de 7 individus, 1 200 dispositifs, 40 000 SIM cards, 49 millions de comptes créés) Montée des IMSI catchers et SMS blasters pour contourner les protocoles KYC Drainers de cryptomonnaies maturés en système CaaS (acquisition d’Inferno Drainer par Angel Drainer en octobre 2024) Attaques relay sur terminaux de paiement en hausse dans l’UE Adoption de l’IA générative pour personnaliser l’ingénierie sociale, scripts d’appel, chatbots de pré-sélection des victimes Infrastructure criminelle Dark web : fragmentation des marketplaces généralistes, émergence de plateformes spécialisées Démantèlement d’Archetyp Market (600 000 utilisateurs, EUR 250M de transactions, juin 2025) ; émergence de BlackOps, TorZon, Nexus Market DarkForums successeur de BreachForums Bullet-proof hosting (BPH) avec sous-location multi-juridictionnelle Proxies résidentiels pour masquer le trafic malveillant Abus DNS pour phishing, C2 de botnets, distribution de malwares Démantèlement de Cryptomixer (EUR 1,3 milliard en Bitcoin mixés depuis 2016, novembre 2025) Montée des privacy coins, chain-hopping, bridges blockchain, DEX, coinjoin pour le blanchiment Menaces hybrides et DDoS Acteurs étatiques utilisant des réseaux cybercriminels comme proxies pour des opérations de déstabilisation NoName057(16) : réseau pro-russe ciblant gouvernements et entreprises, démantelé partiellement lors de l’Opération Eastwood (juillet 2025, 19 pays impliqués) DDoS lors du Sommet OTAN de La Haye (juin 2025) Coalition Scattered LAPSUS$ Hunters (SLSH) : Scattered Spider + ShinyHunters + LAPSUS$ (annoncée août 2025) Exploitation sexuelle des enfants en ligne (CSAM) Kidflix démantelé (1,8M utilisateurs, 80 000 vidéos, 1 400 suspects identifiés, 39 enfants protégés) Hausse de 70% des signalements de sextorsion financière (NCMEC, H1 2025 vs H1 2024) CSAM généré par IA en forte progression (modèles text-to-image, text-to-video, image-to-image) Réseau The Com : communautés en ligne mêlant CSE, cyberattaques, extorsion, violence extrême Plateforme Help4U lancée par Europol en novembre 2025 pour soutenir les victimes mineures 🔧 Opérations de police majeures citées Opération Endgame : démantèlement de Smokeloader, Bumblebee, Lactrodectus, Qakbot, Hijackloader, DanaBot, Trickbot, Warmcookie, Rhadamantys, VenomRAT, Elysium botnet Phobos/8Base : arrestation de 4 ressortissants russes, avertissement de 400 entreprises Cryptomixer.io : saisie de EUR 25M en cryptomonnaies, 12 To de données Archetyp Market : arrestation de l’administrateur à Barcelone NoName057(16) : Opération Eastwood, 9 arrestations, +100 serveurs perturbés Réseau SIM box letton : 7 arrestations (octobre 2025) CSAM IA : 25 arrestations mondiales, 273 suspects identifiés 📋 Type d’article Il s’agit d’un rapport stratégique annuel publié par Europol, destiné aux décideurs stratégiques, politiques et opérationnels des autorités répressives de l’UE. Son but principal est de fournir une évaluation structurée et factuelle du paysage des cybermenaces pour orienter les priorités opérationnelles et politiques en matière de lutte contre la cybercriminalité. ...

🗓️ Contexte Article publié le 1 avril 2026 par The Record Media. Il rapporte la confirmation par la startup Mercor d’un incident de sécurité lié à une attaque supply chain ciblant le projet open-source LiteLLM. 🏢 Victime : Mercor Mercor est une plateforme de recrutement spécialisée dans l’IA, valorisée à 10 milliards de dollars en octobre 2025. Elle travaille notamment avec OpenAI pour recruter des experts et entraîner des modèles d’IA. La porte-parole Heidi Hagberg a confirmé l’incident et indiqué que l’équipe sécurité a procédé à la containment et remédiation. Une investigation est en cours avec des experts forensiques externes. ...

🗓️ Contexte Publié le 20 mars 2026 par Hackread.com, cet article rapporte la revendication du groupe LAPSUS$ d’une violation de données ciblant AstraZeneca, multinationale pharmaceutique et biotechnologique de premier plan. Les affirmations ont été publiées sur un forum de hackers et sur le site officiel du groupe. 📦 Données revendiquées Le groupe affirme avoir obtenu environ 3 Go de données internes, proposées à la vente au plus offrant, comprenant : Code source (Java, Angular, Python) Secrets et credentials (clés privées, données vault) Configurations d’infrastructure cloud (AWS, Azure, Terraform) Données employés et sous-traitants Des archives au format .tar.gz ont été mentionnées comme vecteur de partage 🔬 Analyse des échantillons Hackread a examiné trois catégories d’échantillons : ...

🔍 Contexte Publié le 30 mars 2026 par OpenSourceMalware.com, cet article constitue une rétrospective complète de la campagne supply chain orchestrée par TeamPCP en mars 2026. L’attaque a débuté par un incident de moindre ampleur en février 2026 et s’est transformée en la compromission en cascade de cinq écosystèmes majeurs en l’espace de cinq jours. 🎭 Acteur de la menace TeamPCP (alias DeadCatx3, PCPcat, ShellForce) est un groupe à motivation financière, spécialisé dans les environnements cloud-native. Il est lié à l’opération de ransomware CipherForce et entretient des liens de coordination confirmés avec LAPSUS$, selon le CTO de Mandiant Charles Carmakal lors de la RSA Conference. Le groupe est suivi par Aikido Security, Socket, Wiz, Flare et d’autres. ...