ShinyHunters

📰 Contexte Source : BleepingComputer, publié le 8 mai 2026 par Sergiu Gatlan. L’article rapporte une violation de données confirmée affectant le détaillant de mode espagnol Zara, propriété du groupe Inditex, et revendiquée par le gang d’extorsion ShinyHunters. 🎯 Incident Des attaquants ont accédé à des bases de données hébergées par un ancien prestataire technologique d’Inditex. Selon Inditex, les données compromises concernent des relations commerciales avec des clients sur différents marchés. La société précise que les noms, numéros de téléphone, adresses, identifiants et informations de paiement n’ont pas été exposés. ...

🏫 Contexte Source : DataBreaches.net, publié le 3 mai 2026. Instructure, éditeur de la plateforme éducative Canvas (LMS), Mastery et Parchment, révèle avoir subi une deuxième violation de données en moins d’un an, les deux incidents étant attribués au groupe cybercriminel ShinyHunters. 📅 Chronologie des incidents Premier incident (septembre 2025) : Attaque par ingénierie sociale ciblant l’instance Salesforce d’Instructure Données exposées : informations commerciales publiques (noms d’entreprises, coordonnées) Aucun produit ni donnée produit d’Instructure compromis selon la société Second incident (avril-mai 2026) : ...

🗓️ Contexte Source : SecurityWeek, article d’Eduard Kovacs publié le 28 avril 2026. Vimeo, plateforme d’hébergement vidéo, a officiellement confirmé une violation de données impliquant un prestataire tiers. 🎯 Nature de l’incident Les attaquants ont accédé à des bases de données contenant données techniques, titres de vidéos, métadonnées et adresses email de certains clients. Le vecteur d’entrée identifié est la plateforme d’analytique Anodot, utilisée en intégration avec les systèmes Vimeo. ...

🌐 Contexte Publié le 28 avril 2026 par Europol (European Union Agency for Law Enforcement Cooperation), l’Internet Organised Crime Threat Assessment (IOCTA) 2026 constitue l’évaluation annuelle la plus complète des cybermenaces pesant sur l’Union européenne. Le rapport s’intitule « How encryption, proxies and AI are expanding cybercrime » et couvre les développements observés principalement en 2025. 🎯 Principaux vecteurs de menace identifiés Ransomware Plus de 120 familles de ransomware actives observées par Europol en 2025 Modèle RaaS (Ransomware-as-a-Service) dominant, avec fragmentation croissante des opérations Groupes notables : Qilin, Akira, LockBit (tentatives de rebond avec LockBit 5.0), DragonForce, BlackBasta, Cl0p, Play, Fog En septembre 2025, une coalition DragonForce + LockBit + Qilin annoncée sur le dark web Tactiques d’extorsion multi-couches : exfiltration de données, DDoS simultanés, cold-calling, pression psychologique Shift de l’extorsion : de la demande de déchiffrement vers la menace de publication des données Fraude en ligne (OFS) Fraude représentant la zone de croissance la plus rapide de la criminalité organisée Typologies principales : fraude à l’investissement (crypto), BEC, romance scam, tech support fraud, fraude aux paiements Usage massif de SIM boxes / SIM farms (ex : réseau letton de 7 individus, 1 200 dispositifs, 40 000 SIM cards, 49 millions de comptes créés) Montée des IMSI catchers et SMS blasters pour contourner les protocoles KYC Drainers de cryptomonnaies maturés en système CaaS (acquisition d’Inferno Drainer par Angel Drainer en octobre 2024) Attaques relay sur terminaux de paiement en hausse dans l’UE Adoption de l’IA générative pour personnaliser l’ingénierie sociale, scripts d’appel, chatbots de pré-sélection des victimes Infrastructure criminelle Dark web : fragmentation des marketplaces généralistes, émergence de plateformes spécialisées Démantèlement d’Archetyp Market (600 000 utilisateurs, EUR 250M de transactions, juin 2025) ; émergence de BlackOps, TorZon, Nexus Market DarkForums successeur de BreachForums Bullet-proof hosting (BPH) avec sous-location multi-juridictionnelle Proxies résidentiels pour masquer le trafic malveillant Abus DNS pour phishing, C2 de botnets, distribution de malwares Démantèlement de Cryptomixer (EUR 1,3 milliard en Bitcoin mixés depuis 2016, novembre 2025) Montée des privacy coins, chain-hopping, bridges blockchain, DEX, coinjoin pour le blanchiment Menaces hybrides et DDoS Acteurs étatiques utilisant des réseaux cybercriminels comme proxies pour des opérations de déstabilisation NoName057(16) : réseau pro-russe ciblant gouvernements et entreprises, démantelé partiellement lors de l’Opération Eastwood (juillet 2025, 19 pays impliqués) DDoS lors du Sommet OTAN de La Haye (juin 2025) Coalition Scattered LAPSUS$ Hunters (SLSH) : Scattered Spider + ShinyHunters + LAPSUS$ (annoncée août 2025) Exploitation sexuelle des enfants en ligne (CSAM) Kidflix démantelé (1,8M utilisateurs, 80 000 vidéos, 1 400 suspects identifiés, 39 enfants protégés) Hausse de 70% des signalements de sextorsion financière (NCMEC, H1 2025 vs H1 2024) CSAM généré par IA en forte progression (modèles text-to-image, text-to-video, image-to-image) Réseau The Com : communautés en ligne mêlant CSE, cyberattaques, extorsion, violence extrême Plateforme Help4U lancée par Europol en novembre 2025 pour soutenir les victimes mineures 🔧 Opérations de police majeures citées Opération Endgame : démantèlement de Smokeloader, Bumblebee, Lactrodectus, Qakbot, Hijackloader, DanaBot, Trickbot, Warmcookie, Rhadamantys, VenomRAT, Elysium botnet Phobos/8Base : arrestation de 4 ressortissants russes, avertissement de 400 entreprises Cryptomixer.io : saisie de EUR 25M en cryptomonnaies, 12 To de données Archetyp Market : arrestation de l’administrateur à Barcelone NoName057(16) : Opération Eastwood, 9 arrestations, +100 serveurs perturbés Réseau SIM box letton : 7 arrestations (octobre 2025) CSAM IA : 25 arrestations mondiales, 273 suspects identifiés 📋 Type d’article Il s’agit d’un rapport stratégique annuel publié par Europol, destiné aux décideurs stratégiques, politiques et opérationnels des autorités répressives de l’UE. Son but principal est de fournir une évaluation structurée et factuelle du paysage des cybermenaces pour orienter les priorités opérationnelles et politiques en matière de lutte contre la cybercriminalité. ...

🗓️ Contexte Article de recherche publié par Cyera le 21 avril 2026, analysant une chaîne de compromissions supply chain impliquant les plateformes Context.ai et Vercel, attribuée au groupe cybercriminel ShinyHunters. 🔗 Chaîne d’événements Context.ai (outil d’analytics IA) subit une intrusion dans son environnement AWS Malgré une réponse sur incident activée, un token OAuth Google Workspace est compromis Ce token permet aux attaquants d’accéder latéralement à l’environnement interne de Vercel L’incident Vercel est divulgué le week-end du 19 avril 2026 💥 Impact Accès non autorisé aux systèmes internes de Vercel Exposition de données employés : noms, emails, journaux d’activité Fuite potentielle de variables d’environnement pouvant contenir des secrets opérationnels Un sous-ensemble limité de clients Vercel affecté, avec demande de rotation des credentials Impact élargi : des centaines d’organisations utilisant la même intégration OAuth potentiellement touchées 🔁 Second incident supply chain : Trivy / TeamPCP En parallèle, une compromission liée à TeamPCP exploite Aqua Security Trivy (intégré dans les pipelines CI/CD) Les outils LiteLLM (3 millions de téléchargements quotidiens) et Checkmarx sont également compromis Même pattern : compromission d’un composant central de confiance pour atteindre des victimes en aval 👤 Acteur de la menace : ShinyHunters Groupe actif depuis ~2019, spécialisé dans le vol massif de données et l’extorsion Opère via BreachForums et Telegram (annonces, preuves, menaces pay-or-leak) Annonce de la compromission Vercel publiée le 20 avril 2026 sur Telegram Vente de captures d’écran pour 25 000 Stars sur Telegram 🧩 Pattern d’attaque identifié Ciblage de couches de confiance élevée (outils IA, scanners de sécurité, fournisseurs d’identité) Exploitation des intégrations OAuth/API sur-permissionnées Mouvement latéral via des accès légitimes hérités Maintien ou rétablissement d’accès sur des périodes prolongées avant détection 📄 Nature de l’article Publication de recherche à visée CTI et commerciale (Cyera), combinant analyse d’incident, identification de pattern d’attaque et mise en avant des capacités de la plateforme Cyera pour répondre à ce type de menace. ...

🔍 Contexte Source : Hudson Rock (infostealers.com), publié le 20 avril 2026. Cet article présente les conclusions d’une investigation de threat intelligence menée par Hudson Rock à la suite de la confirmation publique d’une violation de données chez Vercel, plateforme cloud de déploiement d’applications. 🦠 Vecteur initial : infection Lumma Stealer En février 2026, un employé de Context.ai (fournisseur tiers de Vercel) a été compromis par Lumma Stealer. L’infection aurait été contractée via le téléchargement de scripts malveillants liés à des exploits de jeu (Roblox auto-farm scripts/executors), vecteur classique de déploiement de Lumma Stealer. ...

📰 Source : The Cyber Express — Date de publication : 13 avril 2026 🎯 Contexte Rockstar Games, éditeur de GTA 5 et de la franchise Grand Theft Auto, a confirmé avoir subi une violation de données impliquant un accès non autorisé à des informations internes. L’entreprise attribue l’incident à une vulnérabilité d’un prestataire tiers. 🔓 Vecteur d’intrusion Le groupe cybercriminel ShinyHunters revendique l’attaque et affirme avoir compromis l’infrastructure cloud de Rockstar. Selon les informations disponibles : ...

🗓️ Contexte Article publié le 7 avril 2026 (mis à jour le 8 et 9 avril 2026) par BleepingComputer. L’article rapporte une campagne de vol de données ciblant des clients de la plateforme cloud Snowflake, initiée via la compromission d’un fournisseur tiers d’intégration SaaS. 🔓 Incident initial : compromission d’Anodot Le vecteur initial est une violation de sécurité chez Anodot, société d’analyse de données basée sur l’IA spécialisée dans la détection d’anomalies en temps réel, acquise par Glassbox en novembre 2025. Des tokens d’authentification ont été dérobés depuis les systèmes d’Anodot, permettant aux attaquants d’accéder aux environnements cloud des clients. ...

🏛️ Contexte Le 2 avril 2026, CERT-EU publie un post-mortem détaillé sur un incident de cybersécurité majeur ayant affecté la plateforme web publique de la Commission européenne (europa.eu), hébergée sur Amazon Web Services (AWS). L’incident a été notifié à CERT-EU le 25 mars 2026, conformément à l’article 21 du Règlement (UE, Euratom) 2023/2841. 🔓 Vecteur d’accès initial L’accès initial a été obtenu le 19 mars 2026 via la compromission de la chaîne d’approvisionnement de Trivy, un outil de scan de vulnérabilités, attribuée avec haute confiance au groupe TeamPCP (attribution publique par Aqua Security). La Commission européenne utilisait une version compromise de Trivy reçue via ses canaux normaux de mise à jour logicielle. ...

🏛️ Contexte Alerte de sécurité AL26-010 publiée le 1er mai 2026 par le Centre canadien pour la cybersécurité (CCCS). Elle s’adresse aux professionnels TI et gestionnaires. Elle documente des cyberactivités malveillantes continues à motivation financière observées depuis mi-2025, avec une évolution marquée vers l’ingénierie sociale ciblant les plateformes SaaS et de gestion des identités d’entreprise. 🎯 Vecteurs d’accès initial Les campagnes n’exploitent pas de vulnérabilités logicielles mais reposent sur : Hameçonnage vocal (vishing) : usurpation d’identité de personnel IT ou de fournisseurs de confiance pour inciter les employés à s’authentifier sur des portails contrôlés par l’attaquant ou à modifier leur AMF Collecte de justificatifs et interception d’AMF : pages de phishing usurpant des marques, utilisation de cadriciels AiTM (Adversary-in-the-Middle) pour capturer des sessions SSO valides en temps réel Usurpation de sous-domaines : recours à des sous-domaines imitant les portails SSO (ex. <organization>sso[.]com) pour contourner les contrôles de réputation de domaines Abus des processus de service d’assistance : manipulation du personnel de support pour réinitialiser l’AMF ou inscrire des dispositifs contrôlés par l’attaquant Compromission de la chaîne d’approvisionnement SaaS : vol de jetons OAuth de rafraîchissement depuis des fournisseurs tiers compromis pour accéder aux systèmes clients sans déclencher l’AMF 🔍 Indicateurs clés observés Création de jetons OAuth lors d’appels suspects Connexions d’applications génériques (ex. « Outil de soutien », « Chargeur de données ») Sessions concurrentes depuis des IP ou régions différentes en quelques minutes Utilisation de jetons depuis des adresses IP étrangères, VPN ou nœuds Tor dans les secondes suivant leur création Absence de défi AMF dans les journaux d’authentification Hausse soudaine de requêtes API REST ciblant des objets à forte valeur (comptes, contacts, dossiers) Requêtes SELECT * sur des tables entières rarement consultées 💥 Activité post-compromission Déplacement latéral entre applications SaaS (messagerie, GRC, RH, référentiels documentaires) via SSO Exfiltration massive de données via API et fonctions d’export légitimes Exploitation d’intégrations SaaS tierces et de jetons stockés pour accéder aux systèmes en aval Campagnes d’extorsion avec menace de publication ou vente des données sur des sites de fuites ou forums clandestins Absence de déploiement de maliciels, rendant la détection par les outils endpoint conventionnels inefficace 📌 Type et portée Il s’agit d’une alerte de sécurité officielle émise par une autorité nationale de cybersécurité canadienne. Elle vise à sensibiliser les organisations aux tactiques d’acteurs cybercriminels à motivation financière et à fournir des indicateurs de détection exploitables pour les équipes SOC et CTI. ...