Scattered Spider

The Record from Recorded Future News rapporte qu’un jeune de 17 ans s’est rendu à la police de Las Vegas le 17 septembre et a été placé en détention pour des faits liés à des cyberattaques menées entre août et octobre 2023 contre plusieurs casinos de la ville. La police attribue ces attaques au groupe Scattered Spider et indique que le FBI a repris l’enquête. Le suspect, non nommé, fait face à des chefs d’accusation incluant l’obtention et l’utilisation d’informations personnelles d’autrui (trois chefs), extorsion, complot en vue d’extorsion et actes illégaux concernant des ordinateurs. Le parquet du comté de Clark cherche à le faire juger comme adulte. 🚨 ...

Source: The Cyber Express — Dans une annonce relayée par le DoJ américain, les autorités britanniques ont arrêté Thalha Jubair (19 ans) le 16 septembre, dans une affaire liée à de multiples intrusions et extorsions informatiques visant des organisations, dont des entités américaines. 🚓 Le DoJ détaille des chefs d’inculpation pour « conspirations de fraude informatique, fraude électronique et blanchiment d’argent ». Selon la plainte, de mai 2022 à septembre 2025, Jubair et ses associés auraient mené environ 120 intrusions réseau, visant au moins 47 entités américaines, avec des paiements de rançon d’au moins 115 M$. ...

Contexte: Bloomberg Businessweek publie un long récit d’enquête s’appuyant sur des documents de justice, des échanges Discord/Telegram et des entretiens (dont de multiples appels avec Noah Urban depuis une prison en Floride), retraçant l’ascension et la chute d’un jeune social engineer de Scattered Spider. Noah Urban, 18 ans au début des faits décrits, opérait comme ‘caller’ spécialisé en ingénierie sociale et SIM-swapping, trompant employés de telcos et de grandes entreprises pour obtenir identifiants et accès. Issu de la communauté en ligne dite ‘Com’, il a progressivement quitté les vols crypto rapides pour des intrusions plus ambitieuses visant des fournisseurs critiques. L’article décrit un écosystème mêlant rivalités internes (doxing, bricking, sextorsion), escalade vers des violences physiques, et une attention croissante des forces de l’ordre aux États-Unis et au Royaume-Uni. ...

Selon l’extrait d’actualité fourni, entre août et octobre 2023, plusieurs propriétés de casinos de Las Vegas 🎰 ont été victimes d’intrusions réseau sophistiquées attribuées à un groupe organisé connu sous les noms Scattered Spider / Octo Tempest / UNC3944 / 0ktapus. L’enquête a été prise en charge par la FBI Las Vegas Cyber Task Force, qui inclut le LVMPD Cyber Investigative Group. 🚓 Au cours des investigations, les détectives ont identifié un suspect mineur. Le 17 septembre 2025, ce jeune s’est rendu au Clark County Juvenile Detention Center. ...

Selon The Record (Recorded Future News), le FBI a publié un avis flash décrivant une campagne de vol de données et d’extorsion visant des centaines d’organisations, attribuée à Scattered Spider (UNC6395) et ShinyHunters (UNC6040), après compromission d’instances Salesforce. Depuis octobre 2024, les acteurs ont utilisé de l’ingénierie sociale en se faisant passer pour des employés IT auprès des centres d’appels afin d’obtenir des identifiants, puis accéder aux données clients dans Salesforce. Dans d’autres cas, des phishings (emails/SMS) ont permis de prendre le contrôle de téléphones ou ordinateurs d’employés. ...

Source: DomainTools — DomainTools signale l’identification de 21 nouveaux domaines malveillants associés à l’acteur e‑crime PoisonSeed, qui usurpent la plateforme d’emailing SendGrid et utilisent de faux interstitiels CAPTCHA Cloudflare pour légitimer leurs pages et voler des identifiants. L’activité décrite met en avant une campagne de phishing et de collecte d’identifiants visant des plateformes de cryptomonnaies et des environnements d’entreprise. Elle présente des connexions potentielles avec le groupe SCATTERED SPIDER, dont des opérations récentes ont provoqué des perturbations majeures dans les secteurs de la distribution, de l’assurance et des compagnies aériennes. ...

Selon SCYTHE (référence: scythe.io), le groupe anglophone Scattered Spider est passé d’arnaques de SIM swapping menées par des adolescents à des opérations de ransomware sophistiquées visant des organisations majeures au Royaume‑Uni et aux États‑Unis, notamment dans le retail, l’hôtellerie et la finance. Leurs attaques s’appuient sur une ingénierie sociale avancée pour manipuler les équipes de support IT et sur l’abus d’outils administratifs légitimes. L’analyse souligne le besoin de protocoles stricts côté help desk, de formations et d’une surveillance accrue des comptes à privilèges et des outils de gestion à distance. ...

Selon KrebsOnSecurity, un homme de 21 ans originaire de Floride, décrit comme étant au centre du groupe de cybercriminalité « Scattered Spider », a été condamné à 10 ans de prison fédérale et à verser environ 13 millions de dollars de restitution aux victimes. Points clés: Individu: Noah Michael Urban (21 ans, Floride) Groupe impliqué: Scattered Spider (groupe de cybercriminalité prolifique) Peine: 10 ans de prison fédérale Sanction financière: ≈ 13 M$ de restitution aux victimes Contexte: L’affaire concerne un membre central d’un groupe de cybercriminalité connu, avec une décision judiciaire imposant une lourde peine d’emprisonnement et une restitution financière significative. ...

Selon Flashpoint (billet de blog), Scattered Spider est un collectif de cybercriminels principalement composé de jeunes adultes US/UK qui s’impose par des campagnes sophistiquées d’ingénierie sociale et des opérations de ransomware en double extorsion. Le groupe cible notamment les secteurs des services financiers, de la restauration et du retail, avec des attaques menées par vagues, misant davantage sur les faiblesses humaines que purement techniques. Leur chaîne d’attaque commence par de la social engineering (MITRE ATT&CK T1566) — vishing 📞, smishing, et attaques d’épuisement MFA — pour obtenir un accès initial, suivi de collecte d’identifiants à l’aide d’info-stealers comme Raccoon et Vidar. Ils abusent d’outils RMM légitimes (TeamViewer, AnyDesk, ScreenConnect) pour la persistance et les mouvements latéraux, et déploient des malwares personnalisés tels que Spectre RAT 🕷️, tout en s’appuyant sur des VPN/proxys cloud pour masquer leur infrastructure. ...

Source : ReliaQuest — Contexte : Threat Spotlight analysant des campagnes en 2025 où ShinyHunters cible Salesforce, avec des similarités marquées avec Scattered Spider et des recoupements d’infrastructure et de ciblage sectoriel. ReliaQuest décrit le retour de ShinyHunters après une période d’inactivité (2024–2025) via une campagne contre Salesforce touchant des organisations de premier plan, dont Google. Le rapport souligne des TTPs alignés sur Scattered Spider (phishing Okta, vishing, usurpation de domaines, exploitation d’apps connectées Salesforce), nourrissant l’hypothèse d’une collaboration. Des éléments circonstanciels incluent l’alias « Sp1d3rhunters » (Telegram/BreachForums) lié à des fuites passées (p. ex. Ticketmaster) et des chevauchements de ciblage par secteurs (commerce de détail avril–mai 2025, assurance juin–juillet, aviation juin–août). ...