Scattered Spider

🌐 Contexte Publié le 28 avril 2026 par Europol (European Union Agency for Law Enforcement Cooperation), l’Internet Organised Crime Threat Assessment (IOCTA) 2026 constitue l’évaluation annuelle la plus complète des cybermenaces pesant sur l’Union européenne. Le rapport s’intitule « How encryption, proxies and AI are expanding cybercrime » et couvre les développements observés principalement en 2025. 🎯 Principaux vecteurs de menace identifiés Ransomware Plus de 120 familles de ransomware actives observées par Europol en 2025 Modèle RaaS (Ransomware-as-a-Service) dominant, avec fragmentation croissante des opérations Groupes notables : Qilin, Akira, LockBit (tentatives de rebond avec LockBit 5.0), DragonForce, BlackBasta, Cl0p, Play, Fog En septembre 2025, une coalition DragonForce + LockBit + Qilin annoncée sur le dark web Tactiques d’extorsion multi-couches : exfiltration de données, DDoS simultanés, cold-calling, pression psychologique Shift de l’extorsion : de la demande de déchiffrement vers la menace de publication des données Fraude en ligne (OFS) Fraude représentant la zone de croissance la plus rapide de la criminalité organisée Typologies principales : fraude à l’investissement (crypto), BEC, romance scam, tech support fraud, fraude aux paiements Usage massif de SIM boxes / SIM farms (ex : réseau letton de 7 individus, 1 200 dispositifs, 40 000 SIM cards, 49 millions de comptes créés) Montée des IMSI catchers et SMS blasters pour contourner les protocoles KYC Drainers de cryptomonnaies maturés en système CaaS (acquisition d’Inferno Drainer par Angel Drainer en octobre 2024) Attaques relay sur terminaux de paiement en hausse dans l’UE Adoption de l’IA générative pour personnaliser l’ingénierie sociale, scripts d’appel, chatbots de pré-sélection des victimes Infrastructure criminelle Dark web : fragmentation des marketplaces généralistes, émergence de plateformes spécialisées Démantèlement d’Archetyp Market (600 000 utilisateurs, EUR 250M de transactions, juin 2025) ; émergence de BlackOps, TorZon, Nexus Market DarkForums successeur de BreachForums Bullet-proof hosting (BPH) avec sous-location multi-juridictionnelle Proxies résidentiels pour masquer le trafic malveillant Abus DNS pour phishing, C2 de botnets, distribution de malwares Démantèlement de Cryptomixer (EUR 1,3 milliard en Bitcoin mixés depuis 2016, novembre 2025) Montée des privacy coins, chain-hopping, bridges blockchain, DEX, coinjoin pour le blanchiment Menaces hybrides et DDoS Acteurs étatiques utilisant des réseaux cybercriminels comme proxies pour des opérations de déstabilisation NoName057(16) : réseau pro-russe ciblant gouvernements et entreprises, démantelé partiellement lors de l’Opération Eastwood (juillet 2025, 19 pays impliqués) DDoS lors du Sommet OTAN de La Haye (juin 2025) Coalition Scattered LAPSUS$ Hunters (SLSH) : Scattered Spider + ShinyHunters + LAPSUS$ (annoncée août 2025) Exploitation sexuelle des enfants en ligne (CSAM) Kidflix démantelé (1,8M utilisateurs, 80 000 vidéos, 1 400 suspects identifiés, 39 enfants protégés) Hausse de 70% des signalements de sextorsion financière (NCMEC, H1 2025 vs H1 2024) CSAM généré par IA en forte progression (modèles text-to-image, text-to-video, image-to-image) Réseau The Com : communautés en ligne mêlant CSE, cyberattaques, extorsion, violence extrême Plateforme Help4U lancée par Europol en novembre 2025 pour soutenir les victimes mineures 🔧 Opérations de police majeures citées Opération Endgame : démantèlement de Smokeloader, Bumblebee, Lactrodectus, Qakbot, Hijackloader, DanaBot, Trickbot, Warmcookie, Rhadamantys, VenomRAT, Elysium botnet Phobos/8Base : arrestation de 4 ressortissants russes, avertissement de 400 entreprises Cryptomixer.io : saisie de EUR 25M en cryptomonnaies, 12 To de données Archetyp Market : arrestation de l’administrateur à Barcelone NoName057(16) : Opération Eastwood, 9 arrestations, +100 serveurs perturbés Réseau SIM box letton : 7 arrestations (octobre 2025) CSAM IA : 25 arrestations mondiales, 273 suspects identifiés 📋 Type d’article Il s’agit d’un rapport stratégique annuel publié par Europol, destiné aux décideurs stratégiques, politiques et opérationnels des autorités répressives de l’UE. Son but principal est de fournir une évaluation structurée et factuelle du paysage des cybermenaces pour orienter les priorités opérationnelles et politiques en matière de lutte contre la cybercriminalité. ...

📰 Source : SuspectFile — Date : 22 avril 2026 — Interview directe accordée par le groupe DragonForce à la plateforme d’investigation SuspectFile. 🎯 Présentation du groupe DragonForce se décrit comme un écosystème RaaS (Ransomware-as-a-Service) basé sur un modèle de partenariat ouvert. Le groupe se positionne comme un régulateur chargé de faire respecter des règles internes, tandis que les affiliés (« partenaires ») conduisent les attaques de manière autonome. Cette structure décentralisée complexifie l’attribution technique. ...

📰 Contexte Source : KrebsOnSecurity, publié le 21 avril 2026. L’article couvre le plaidoyer de culpabilité de Tyler Robert Buchanan, ressortissant britannique de 24 ans originaire de Dundee (Écosse), membre senior du groupe cybercriminel Scattered Spider. 👤 Profil de l’acteur Buchanan, connu sous le pseudonyme Tylerb, figurait à la 65e place d’un classement Telegram de SIM-swappers. Il est actuellement en détention fédérale américaine depuis avril 2025, après avoir été arrêté par les autorités espagnoles en juin 2024 alors qu’il tentait de prendre un vol vers l’Italie, puis extradé vers les États-Unis. ...

🏛️ Contexte Le 20 mars 2026, Graeme Biggar, directeur général de la National Crime Agency (NCA) britannique, a prononcé un discours lors du lancement de l’évaluation stratégique nationale de l’agence. Il y a alerté sur la convergence croissante des formes de criminalité en ligne. 🎯 Points clés du discours Biggar a décrit comment les mêmes espaces en ligne toxiques et algorithmes transforment des adolescents en cybercriminels, délinquants sexuels et terroristes. Il a souligné que la technologie ne se contente plus d’être un outil pour les criminels, mais remodèle la criminalité elle-même en l’accélérant et en la mondialisant. ...

Team Cymru publie une analyse approfondie des attaques de Scattered Spider, couvrant 2024-2025, afin d’aider les défenseurs à détecter et perturber plus tôt leurs opérations. • Contexte et impact: Scattered Spider, groupe cybercriminel anglophone lié à la communauté « TheCom », a été pointé par le FBI (Sleuthcon 2024) pour de multiples intrusions à fort impact. Des incidents notables incluent MGM Resorts (ALPHV/BlackCat) avec un coût de 100 M$, Marks & Spencer (DragonForce) avec une perte estimée de £300 M, ainsi que des attaques contre Co-op et Harrods en 2025 attribuées par les experts de Google. Le groupe est suivi sous divers alias (UNC3944, 0ktapus, Octo Tempest, Scatter Swine, Muddled Libra). ...

Source : Anna Isaac Date : Lundi 29 décembre 2025, 14 h 38 (CET) Média : The Guardian L’article souligne la fenêtre cruciale durant laquelle, dès l’appel à l’aide, une organisation piratée peut n’avoir que quelques minutes pour se protéger afin d’éviter qu’une base de données entière ne soit pillée ou qu’une ligne de production ne s’arrête. Contexte L’article explore les coulisses méconnues des négociations de rançongiciels, à travers le travail de sociétés spécialisées en réponse à incident, comme S-RM, intervenant auprès d’organisations victimes de groupes tels que Scattered Spider. Il met en lumière les dilemmes opérationnels, stratégiques et éthiques auxquels sont confrontées les entreprises attaquées. ...

Selon un article publié le 13 décembre 2025, une nouvelle génération de cybercriminels — de jeunes hackers anglophones — a gagné en visibilité au Royaume‑Uni, avec des attaques attribuées à « Scattered Spider » visant des détaillants de premier plan et provoquant des pertes se chiffrant en centaines de millions de livres. Faits clés: 🕷️ Groupe visé: « Scattered Spider » 🏬 Cibles: détaillants britanniques de premier plan 💷 Impact financier: centaines de millions de livres de pertes ⚔️ Concurrence des menaces: groupes russophones de ransomware 1) Constat principal En 2025, l’actualité britannique est marquée par des attaques attribuées à des acteurs jeunes, anglophones (souvent associés à Scattered Spider), ayant provoqué des pertes financières très élevées chez de grands distributeurs. L’angle de l’article : ces acteurs créent un stress nouveau sur les capacités des forces de l’ordre, déjà mobilisées contre les écosystèmes ransomware russophones. 2) Qui sont ces acteurs ? Scattered Spider / “the Com” Réseau lâche d’individus, souvent anglophones, en Amérique du Nord et en Europe (dont UK/US). Forte spécialisation en ingénierie sociale (langue/culture) pour obtenir l’accès et déclencher des attaques “crippling”. Profil : jeunes hommes, motivations souvent prestige/kudos autant que profit ; passerelles avec d’autres délits en ligne (ex. sextorsion). Groupes russophones ransomware Historiquement plus professionnalisés et plus techniquement sophistiqués. Évolution sur 15 ans : fraude CB → malwares bancaires → ransomware (depuis ~2020). Menace toujours organisée, efficace et vue comme un enjeu de sécurité nationale. 3) Risque d’hybridation des menaces L’article évoque des connexions rapportées entre acteurs type Scattered Spider et des groupes russophones (ex. mention de DragonForce). Risque : combinaison du social engineering “anglophone” + capacités malware/exploitation plus avancées → augmentation de l’impact. 4) Pourquoi c’est un casse-tête pour les forces de l’ordre ? Deux fronts, deux logiques Contre les groupes russophones (à l’étranger) : ...

Source: The Record (therecord.media), article d’Alexander Martin du 21 novembre 2025. L’article couvre les mises en accusation et les auditions de deux suspects britanniques dans une affaire de cyberattaque contre Transport for London (TfL). Deux Britanniques, Thalha Jubair (19 ans) et Owen Flowers (18 ans), ont plaidé non coupable à la Southwark Crown Court pour des infractions au Computer Misuse Act liées à la cyberattaque de 2024 contre TfL, une opération associée au collectif Scattered Spider. Arrêtés en septembre par la National Crime Agency (NCA), ils ont été placés en détention provisoire. Flowers avait déjà été arrêté en septembre 2024 puis libéré sous caution. 🚔 ...

Selon KrebsOnSecurity, des procureurs américains ont engagé des poursuites contre Thalha Jubair (19 ans, UK) pour son rôle présumé au sein de Scattered Spider, tandis que lui et Owen Flowers (18 ans) faisaient face à des accusations au Royaume-Uni liées à des intrusions et extorsions visant des entreprises majeures. — Contexte et faits saillants — Deux suspects, Thalha Jubair et Owen Flowers, sont accusés d’avoir participé à des campagnes d’extorsion attribuées à Scattered Spider/0ktapus/UNC3944, totalisant au moins 115 M$ de rançons. Les cibles incluent des retailers britanniques (Marks & Spencer, Harrods, Co-op Group), Transport for London, ainsi que des fournisseurs de santé américains et des entreprises comme MGM Resorts et Caesars Entertainment (attaque de 2023 liée à l’affilié ALPHV/BlackCat). Les autorités américaines disent avoir saisi 36 M$ en cryptomonnaies sur un serveur contrôlé par Jubair et l’avoir relié à des achats de cartes cadeaux livrant à son domicile; les procureurs britanniques évoquent la possession de plus de 50 M$ en crypto liée aux attaques. — Antécédents et réseau — ...

Selon l’extrait d’actualité fourni, la National Crime Agency (NCA) a annoncé des inculpations dans le cadre de son enquête sur une cyberattaque visant Transport for London (TfL). TfL a été victime d’une intrusion réseau le 31 août 2024. Les enquêteurs estiment que l’attaque a été menée par des membres du collectif criminel en ligne Scattered Spider. Deux suspects, Thalha Jubair (19 ans, East London) et Owen Flowers (18 ans, Walsall, West Midlands), ont été arrêtés à leur domicile le mardi 16 septembre par la NCA et la City of London Police, puis inculpés. Acteurs et périmètre: ...