ShinyHunters

Selon TechCrunch, le groupe cybercriminel prolifique ShinyHunters a revendiqué le piratage de Harvard et de l’Université de Pennsylvanie, et a mis en ligne les données volées. Le groupe d’extorsion ShinyHunters affirme être à l’origine des violations de données ayant touché Harvard et l’Université de Pennsylvanie (UPenn) en 2025, et a publié sur son site de fuite ce qu’il présente comme plus d’un million d’enregistrements par université. UPenn avait confirmé en novembre une compromission de systèmes liés aux activités “development & alumni” (collecte de fonds / relations alumni). Les attaquants auraient aussi envoyé des emails aux alumni depuis des adresses officielles de l’université. UPenn avait attribué l’incident à de la social engineering. Harvard avait également confirmé une compromission en novembre, attribuée à du vishing (voice phishing). Harvard indiquait que les données volées incluaient : emails, numéros de téléphone, adresses (domicile et pro), participation à des événements, détails de dons, et informations biographiques liées aux activités de fundraising/alumni. Des vérifications (échantillon) ont corroboré la cohérence d’une partie des données (ex. recoupements avec personnes concernées / registres publics). Les attaquants expliquent publier les données car les universités auraient refusé de payer la rançon. Lors du cas UPenn, le message aux alumni contenait un vernis “politique” (affirmative action), mais ShinyHunters n’est pas réputé pour des motivations politiques, ce qui suggère une mise en scène opportuniste. ...

Selon BleepingComputer (Lawrence Abrams, 15 janvier 2026), Grubhub a confirmé qu’« des individus non autorisés ont récemment téléchargé des données de certains systèmes », tout en affirmant que les informations sensibles telles que les données financières ou l’historique de commandes n’ont pas été affectées. L’entreprise dit avoir stoppé l’activité, renforcé sa posture de sécurité, engagé un prestataire cybersécurité tiers et notifié les forces de l’ordre. Des sources citées par le média indiquent que le groupe cybercriminel ShinyHunters extorque Grubhub 💸. Les acteurs exigeraient un paiement en Bitcoin pour empêcher la divulgation de données Salesforce (février 2025) et de nouvelles données Zendesk dérobées lors de l’intrusion récente. Grubhub exploite Zendesk pour son support en ligne (chat, comptes, facturation). ...

Selon Resecurity (blog, 24 décembre 2025; mise à jour 3 janvier 2026), l’entreprise a mené une opération de cyberdéception 🍯 en instrumentant des comptes « honeytrap » et un environnement applicatif émulé nourri de données synthétiques, afin d’observer un acteur menant du repérage puis des tentatives massives de scraping, avant d’indiquer que le groupe ShinyHunters est tombé à son tour dans ce piège. Resecurity a déployé des comptes leurres (notamment Office 365/VPN) et un environnement isolé (p. ex. Mattermost) peuplé de données synthétiques imitant des enregistrements consommateurs (>28 000) et transactions Stripe (>190 000), générées avec SDV, MOSTLY AI et Faker, en respectant les schémas API officiels. Des données de fuites déjà connues (potentiellement PII) ont été réutilisées pour accroître le réalisme. L’objectif: inciter l’attaquant à interagir dans un cadre contrôlé, sans recourir à des mots de passe ni à des clés API réelles. ...

Selon BleepingComputer, Pornhub fait l’objet d’une extorsion par le groupe ShinyHunters, qui affirme détenir des données d’analytics historiques liées aux membres Premium, prétendument issues de la brèche de l’analyste tiers Mixpanel. Type d’incident: extorsion adossée à une exfiltration de données chez un fournisseur d’analytics (Mixpanel), initialement compromise le 8 novembre 2025 via smishing (SMS phishing). Pornhub indique que seuls des utilisateurs Premium sélectionnés sont concernés et que mots de passe et données financières n’ont pas été exposés. Pornhub précise n’avoir plus travaillé avec Mixpanel depuis 2021. ...

Source: BleepingComputer (Sergiu Gatlan). Le média rapporte que CrowdStrike a confirmé avoir identifié et licencié le mois dernier un employé ayant partagé des captures d’écran de systèmes internes, après la publication d’images sur Telegram par des membres de groupes se présentant comme ShinyHunters, Scattered Spider et Lapsus$. CrowdStrike indique que ses systèmes n’ont pas été compromis et que les données clients n’ont pas été affectées, l’accès réseau de l’employé ayant été coupé. L’entreprise a transmis l’affaire aux autorités compétentes. ...

Selon The Register, Salesforce a signalé une nouvelle compromission impliquant des applications publiées par Gainsight et connectées à des instances clients Salesforce, avec une attribution probable au groupe ShinyHunters (UNC6240) évoquée par Google Threat Intelligence Group. Salesforce indique que l’activité suspecte « a pu permettre un accès non autorisé » à certaines données clients via la connexion des applications Gainsight. En réponse, l’éditeur a révoqué tous les tokens d’accès et de rafraîchissement associés à ces applications et les a temporairement retirées de l’AppExchange pendant l’enquête. Salesforce précise ne voir « aucune indication » d’une vulnérabilité de sa plateforme, l’activité étant liée à la connexion externe de l’app. ...

Source: Blog de Checkout.com — Dans une déclaration signée par le CTO Mariano Albera (12 novembre 2025), l’entreprise décrit une tentative d’extorsion liée à l’accès non autorisé à un ancien système de stockage cloud tiers utilisé jusqu’en 2020. L’entreprise indique avoir été contactée par le groupe criminel « ShinyHunters » revendiquant l’obtention de données liées à Checkout.com et exigeant une rançon. Après enquête, Checkout.com confirme que des données ont été obtenues via un accès non autorisé à un système de stockage cloud tiers « legacy » qui n’avait pas été correctement décommissionné. ...

Selon BleepingComputer, Oracle a discrètement corrigé une vulnérabilité affectant Oracle E‑Business Suite identifiée comme CVE‑2025‑61884, déjà activement exploitée pour compromettre des serveurs, tandis qu’un exploit PoC a été rendu public par le groupe d’extorsion ShinyHunters. La faille concerne Oracle E‑Business Suite et porte l’identifiant CVE‑2025‑61884. Oracle a effectué un correctif silencieux sans communication appuyée. Oracle a publié un correctif hors-cycle pour CVE-2025-61884, une vulnérabilité d’information disclosure / SSRF dans Oracle E-Business Suite (EBS) exploitée à distance sans authentification, dont un proof-of-concept (PoC) a été diffusé publiquement par le groupe ShinyHunters (Scattered Lapsus$ Hunters). Plusieurs chercheurs et clients confirment que le correctif adresse désormais la composante SSRF utilisée par le PoC. Oracle décrit la faille comme « exploitable à distance sans authentification » et potentiellement capable d’accéder à des ressources sensibles. ...

BleepingComputer rapporte que le FBI a saisi les domaines du forum de hacking BreachForums opéré par le groupe ShinyHunters, utilisé comme portail d’extorsion par fuite de données liées aux attaques touchant Salesforce. L’action, menée en coopération avec les autorités françaises, a abouti à l’affichage d’une bannière de saisie et au basculement des DNS du domaine vers ns1.fbi.seized.gov et ns2.fbi.seized.gov. 🚨 Le domaine breachforums.hn, relancé l’été dernier puis reconverti en site de fuite pour la campagne Salesforce par « Scattered Lapsus$ Hunters » (prétendant regrouper des membres de ShinyHunters, Scattered Spider et Lapsus$), a été rendu inaccessible sur le clearnet, tandis que le miroir Tor a été brièvement interrompu puis rétabli. La saisie a été finalisée avec un bandeau officiel, confirmant la prise de contrôle de l’infrastructure web avant le début des fuites liées à Salesforce. ...

Source et contexte: krebsonsecurity.com (Brian Krebs) rapporte qu’un groupe lié à ShinyHunters/UNC6040 a lancé un site d’extorsion visant Salesforce et des dizaines d’entreprises, après une campagne de vishing en mai 2025 ayant conduit au vol de données Salesforce. Le blog « Scattered LAPSUS$ Hunters » publie les noms de victimes (Toyota, FedEx, Disney/Hulu, UPS, etc.) et menace de divulguer les données volées si une rançon n’est pas payée d’ici le 10 octobre. Google TIG (GTIG) suit le groupe comme UNC6040 et a confirmé qu’un de ses propres environnements Salesforce a été affecté par la campagne. Salesforce indique qu’elle ne paiera pas et qu’aucune vulnérabilité du cœur de la plateforme n’est en cause. 🔓 ...