Les cybercriminels opérant sous la bannière ShinyHunters ont lancé une campagne d’extorsion sophistiquée visant les systèmes cloud d’entreprise via des attaques d’hameçonnage vocal contournant l’authentification à facteurs multiples, selon une enquête conjointe menée par Mandiant et le Google’s Threat Intelligence Group. Les attaquants usurpent l’identité du personnel informatique pour amener les employés à saisir leurs identifiants sur de fausses pages de connexion, puis dérobent des données sensibles sur des plateformes comme Salesforce et SharePoint à des fins d’extorsion.
Ces attaques suivent un mode opératoire calculé ayant déjà compromis plusieurs organisations, dont les victimes figurent sur un nouveau site de fuite de données SHINYHUNTERS apparu fin janvier 2026, selon l’enquête de Mandiant et Google. Le site répertorie les entreprises compromises et présente des informations de contact auparavant associées au groupe.
Lors de ces attaques, les criminels appellent les employés en se faisant passer pour le service informatique de leur entreprise, invoquant la nécessité de mettre à jour les paramètres d’authentification à facteurs multiples. Les victimes sont ensuite dirigées vers de fausses pages de connexion qui imitent fidèlement les portails d’authentification unique légitimes, utilisant souvent des domaines tels que « companyname-sso.com » ou « companyname-internal.com », enregistrés via des services comme NICENIC et Tucows.
Une fois que les employés ont saisi leurs identifiants et les codes MFA, les attaquants prennent immédiatement le contrôle de leurs comptes et enregistrent leurs propres appareils comme méthodes d’authentification valides, leur garantissant un accès persistant aux systèmes d’entreprise. Pour éviter toute détection, les criminels suppriment les e-mails de notification de sécurité qui avertiraient les victimes du nouvel enregistrement d’appareil, selon le rapport.
Escalade des tactiques d’extorsion
Après avoir obtenu l’accès, les attaquants ciblent les données disponibles sur des plateformes telles que Salesforce, SharePoint, Docusign et Slack. Ils utilisent des commandes PowerShell pour télécharger des fichiers depuis SharePoint et OneDrive, recherchant spécifiquement des documents contenant des mots-clés comme « confidential », « internal », et « salesforce », selon les enquêteurs.
La phase d’extorsion débute par des e-mails signés ShinyHunters exigeant un paiement en Bitcoin sous 72 heures. Les attaquants fournissent des échantillons de données volées hébergées sur des services tels que Limewire comme preuve de la violation. Lorsque les victimes ne s’exécutent pas, le groupe intensifie la pression avec des SMS de harcèlement adressés aux employés et des attaques par déni de service distribué (DDoS) contre les sites Web de l’entreprise.
Des chercheurs en sécurité ont lié ces opérations au groupe connu sous le nom de Scattered Spider (également suivi sous le nom UNC3944), qui a été identifié comme affilié à ShinyHunters ou comme ne faisant qu’un avec ce groupe. La campagne démontre que même les organisations disposant de contrôles de sécurité modernes demeurent vulnérables face à des attaques d’ingénierie sociale sophistiquées.
Pour se défendre contre ces menaces, les experts en sécurité recommandent de migrer vers des méthodes d’authentification MFA résistantes au phishing telles que les clés de sécurité FIDO2 ou les passkeys. Les organisations devraient également exiger une vérification à haut niveau d’assurance pour les réinitialisations de mot de passe, incluant des appels vidéo en direct où les utilisateurs présentent une pièce d’identité délivrée par le gouvernement. Les équipes de détection devraient surveiller les schémas suspects, y compris les inscriptions d’appareils MFA immédiatement après des connexions depuis de nouveaux emplacements et l’utilisation de PowerShell pour des téléchargements en masse à partir de plateformes de stockage dans le cloud.
Sources
- Google Cloud
- Varonis
