Au cours des dernières semaines, une vague d'intrusions s'est formée qui combine l'artisanat ancien de la tromperie téléphonique avec des outils d'hameçonnage très sophistiqués, et dont le but n'est pas de prendre un seul compte mais d'ouvrir la porte à l'ensemble de l'écosystème nuageux d'une entreprise. Les chercheurs de l'équipe de renseignement de Mandiant et de Google ont suivi plusieurs campagnes qui, selon leur analyse, profitent d'appels dirigés - le vishing bien connu - et de faux portails avec la marque de l'entreprise pour voler des identifiants de démarrage uniques (SSO) et des codes ou approbations d'authentification multi-facteurs (MFA). Le rapport public décrivant cette activité est disponible sur le blog Google Cloud. Voilà..
Le modus operandi combine deux éléments: d'une part, l'agresseur contacte la victime en se présentant comme personnel informatique ou comme support; d'autre part, il la dirige vers une page d'accès qui imite exactement le portail corporatif. Sociétés d'identité telles que Okta ont montré comment les trousses d'hameçonnage ont évolué pour intégrer des dialogues interactifs qui guident l'agresseur et la victime en temps réel pendant l'appel, ce qui facilite la réception des lettres de créance et la manipulation des réponses du MFA pendant que l'employé est toujours en ligne.
Une fois que le délinquant a accès à un compte SSO - par exemple dans Okta, Microsoft Enter ou Google - l'image change radicalement: à partir de ce panneau central, vous pouvez atteindre des dizaines d'applications dans le cloud que l'utilisateur a autorisé. Documents dans Salesforce, boîtes aux lettres et fichiers dans Microsoft 365 et SharePoint, contrats dans DocuSign, fichiers dans Dropbox ou Google Drive, canaux Slack et espaces dans Atlassian sont des objectifs communs. Pour les groupes qui se concentrent sur le vol et l'extorsion, cette planche sert de rampe de lancement pour copier de grands volumes de données avec un seul compte compromis.
Les équipes qui enquêtent sur ces campagnes ont classé plusieurs groupes d'acteurs. Mandiant parle de grappes identifiées comme UNC6661, UNC6671 et de la bande d'extorsion connue sous le nom de ShinyHunters (parfois appelée UNC6240). Dans certains cas, l'accès initial et l'exfiltration semblent être le travail d'un groupe opportuniste, et les demandes de sauvetage subséquentes sont revendiquées par ShinyHunters ou par des membres qui reproduisent la technique. BleepingComputer a été l'un des médias qui a avancé les détails sur les appels prétendant être un support corporatif; sa chronique offre un contexte sur la façon dont les appels et les fausses pages se développent, et peut être consulté Voilà..
Les chercheurs ont publié des preuves techniques pour identifier les activités malveillantes après l'intrusion. Il s'agit notamment d'enregistrements de téléchargements de masse depuis SharePoint ou OneDrive où l'agent utilisateur est PowerShell, de connexion à Salesforce à partir d'adresses IP liées aux attaquants et de téléchargements de masse dans DocuSign. Dans au moins un cas, les intrus ont activé un plugin Google Workspace appelé le Rappel TogleBox pour rechercher et supprimer des courriels qui signaleraient l'enregistrement d'une nouvelle méthode MFA, une manœuvre pour empêcher la victime de recevoir les notifications qui pourraient l'alerter; la fonction de ce plugin est décrite sur le site du fournisseur. Voilà..
Les domaines frauduleux sont souvent enregistrés avec des noms qui simulent des portails légitimes de l'entreprise : des variantes avec des mots tels que « sso », « interne », « support » ou même des combinaisons qui incluent des noms de fournisseurs d'identité pour gagner en crédibilité. Mandiant a observé des enregistrements par le biais d'entités d'enregistrement et l'utilisation de réseaux de proxy ou VPN résidentiels commerciaux pour cacher l'origine des connexions, ce qui complique le blocage immédiat de l'IP.
Du point de vue de la détection, les experts recommandent de prioriser l'identification des modèles comportementaux plutôt que de ne compter que sur les listes de verrouillage. Comportement en tant qu'engagement SSO suivi de téléchargements rapides ou massifs de plusieurs applications SaaS, la présence de PowerShell accédant à SharePoint et OneDrive, les autorisations inattendues d'OAuth dans des applications tierces et la suppression des courriels de notification de changement MFA sont des signes qui devraient activer une recherche plus approfondie.
Mandiant a publié des recommandations pratiques visant à resserrer les flux d'identité, à assurer des processus de restauration de l'authentification et à améliorer l'enregistrement télémétrique afin de pouvoir détecter les activités post-vol avant que les données ne soient volées. Ils ont également mis à disposition des règles pour les plateformes d'opérations de sécurité qui peuvent aider à trouver des indicateurs liés à ShinyHunters; un résumé de ces règles pour Google SecOps est disponible dans ce lien.
Pour les entreprises, la leçon centrale est que MFA n'est plus une panacée seule : lorsque les attaquants contrôlent le dialogue social et présentent des interfaces convaincantes en temps réel, ils peuvent persuader un employé de livrer ce qui est nécessaire pour enregistrer un appareil adversaire ou approuver l'accès. C'est pourquoi, outre le maintien du MFA, il convient de renforcer les procédures d'assistance téléphonique, d'exiger des contrôles supplémentaires sur les modifications apportées aux méthodes d'authentification et de surveiller de près les enregistrements d'autorisation OAuth ou les nouvelles inscriptions du MFA.
Dans le domaine de l'exploitation, il convient d'examiner les politiques d'accès à l'application SaaS afin de limiter les autorisations requises, d'activer les alertes aux modèles de téléchargement anormaux et de tenir de longs dossiers d'audit pour permettre la reconstruction de l'activité. La coordination entre les équipes de sécurité, les fournisseurs d'identité et les gestionnaires d'applications cloud est essentielle pour réduire la fenêtre d'exposition lorsqu'un compte est compromis.
La campagne lancée par ShinyHunters et les acteurs associés montre comment la sécurité des entreprises doit être adaptée aux attaques hybrides qui mêlent ingénierie sociale et automatisation technique. Comprendre le chemin qui suit l'attaquant - l'appel de vissure, le portail falsifié, la capture d'identités, la manipulation de MFA et l'utilisation de SSO comme levier - aide à concevoir des contrôles qui, ensemble, fermeront bon nombre des voies d'accès qui sont exploitées aujourd'hui.
Si vous voulez approfondir les conclusions et recommandations spécifiques pour les défenseurs, le rapport et les guides de Mandiant et Google Cloud sont un bon point de départ; la recherche principale est sur le blog de Google Cloud publié par Mandiant / Google, et Okta partage l'analyse sur l'évolution des kits interactifs d'hameçonnage sur votre blog de renseignement. Pour un résumé journalistique des premiers cas publics, vous pouvez lire la couverture de Calculateur.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...