Un nouveau tournant dans la tactique des cybercriminels remplace les équipes de sécurité en garde : selon un récent rapport, le collectif connu sous le nom de Scattered LAPSUS $Hunters (SLH) recruterait délibérément des femmes pour mener des campagnes d'entraînement pour les départements de soutien technique, offrant 500 $ et 1 000 $ par appel et fournir des scripts déjà préparés à tromper les opérateurs. La firme de renseignement Dataminr a décrit cette initiative comme un engagement à diversifier et à perfectionner son « personnel social » afin d'accroître les chances de succès en supplantantant les employés pour aider les centres selon son rapport.
Derrière l'acronyme SLH se trouve un amalgame d'acteurs qui ont déjà démontré leur capacité à exploiter les faiblesses humaines et technologiques. Des groupes tels que LAPSUS $, Scattered Spider et ShinyHunters ont été liés les uns aux autres dans des opérations qui combinent des appels convaincants, une ingénierie sociale hautement travaillée et des techniques pour dessiner plusieurs authentifications. La stratégie est simple dans son approche : obtenir du personnel du service d'assistance pour rétablir les identifiants ou installer un outil d'accès à distance (MRM), ouvrir la porte aux mouvements latéraux, lever des privilèges et voler massivement des données, même avec le déploiement postérieur de l'ansomware.
Les analystes qui suivent ces acteurs soulignent qu'ils ne se limitent pas à la supplantation du téléphone brut. Pour camoufler leur activité et éviter les alarmes, ils utilisent des services légitimes et des réseaux de proximité résidentiels - mécanismes qui leur permettent de mélanger leur trafic avec le trafic « normal » - et utilisent des tunnels et des services d'échange de fichiers publics pour exfiltrer des informations. Des outils tels que Ngrok, Teleport et les services de stockage temporaire sont apparus dans les enquêtes, ainsi que des plateformes de proxies commerciales qui rendent difficile le suivi de l'infrastructure de l'agresseur. Un profil technique plus détaillé de ces pratiques peut être trouvé dans des analyses spécialisées telles que Équipe Cymru.
La capacité de ces groupes d'exploiter le facteur humain a conduit à des signatures de cybersécurité telles que Palo Alto Networks Unit 42, qui publie un suivi dans lequel ils décrivent Scattered Spider (suivi par l'Unité 42 sous le nom de « Libra moufflée ») comme un acteur très habile à manipuler la psychologie humaine. L'unité 42 a documenté des cas dans lesquels, après avoir obtenu des références privilégiées par téléphone, les attaquants créent des machines virtuelles pour la reconnaissance d'Active Directory et pour la suppression des boîtes de courrier ou des données des plates-formes cloud telles que Snowflake; des opérations qui combinent la supplantation avec les techniques de mouvement latéral et l'exfiltration silencieuse. Votre dossier technique et vos recommandations sont disponibles dans le playbook publié par l'unité 42 Voilà. et dans d'autres documents où vous expliquez comment suivre ces menaces à travers des enregistrements en nuage Voilà..
Une facette technique récurrente de ces attaques est la recherche de moyens d'éviter l'authentification multifactorielle. Des pratiques comme le « pompage rapide » - saturent les notifications MFA jusqu'à ce qu'un utilisateur clique pour accepter par erreur - et l'échange SIM sont des outils dans l'arsenal de ces groupes. Pour mieux comprendre cette technique et son impact sur la défense, il y a des explications détaillées sur les ressources spécialisées telles que la Silverfort.
Face à cette évolution, les équipes de sécurité et les services d'appui technique doivent aller au-delà des solutions purement technologiques. La formation et les procédures sont des éléments clés : le personnel du service d'aide doit être prêt à détecter les scripts préparés, les appels très polis et les techniques pour créer une confiance rapide. Dans le même temps, les organisations doivent resserrer leurs politiques d'accès : abandonner les facteurs basés sur les messages SMS par des méthodes résistantes au phishing, mettre en place des contrôles stricts pour la création de comptes administratifs, et vérifier systématiquement les privilèges accrus après une interaction téléphonique.
Les contrôles techniques complètent la formation. La surveillance des journaux de Cloud peut vous permettre de détecter des mouvements anormaux après un appel au support; limiter la possibilité d'installer des outils RMM sans autorisation préalable réduit les vecteurs d'engagement; et l'utilisation d'authentification résistante au phishing, comme les clés FIDO2 ou les solutions basées sur les certificats, réduit considérablement l'efficacité des tentatives de superposition. Les organismes gouvernementaux et les centres d'intervention recommandent de combiner des mesures de sensibilisation et des configurations d'identité robustes : Les lignes directrices du NIST sur l'identité numérique fournissent des cadres pour la conception des politiques de MFA et de vérification de l'identité Consultable ici et CERT / CISA maintient des conseils pratiques sur la façon d'identifier et d'atténuer les techniques de génie social disponible ici.
Il ne s'agit pas seulement de lever les obstacles techniques: la pression du marché du travail et l'offre de récompenses économiques par appel créent un environnement où l'ingénierie sociale est professionnalisée et diversifiée. Dataminr interprète ce recrutement axé sur les voix féminines comme une stratégie calculée pour surmonter les stéréotypes et les biais dans la détection humaine, ce qui rend plus difficile pour les opérateurs de distinguer une application légitime d'une opération malveillante. Cette adaptation est un appel à l'attention: les attaquants non seulement innovent dans le code, mais aussi dans la tactique humaine et logistique.
La conclusion est claire et, malheureusement, prévisible : la sécurité moderne exige une combinaison de formation soutenue, de processus rigoureux et de technologies qui réduisent la dépendance à la vérification vocale ou par SMS. Suivre la recherche et les lignes directrices des entreprises de renseignement et des centres de recherche - comme Unité 42 ou des avis Détecteur- aide à comprendre le modèle et, surtout, à concevoir des réponses pratiques qui réduisent la surface d'attaque de ces groupes.
Si votre organisme dépend de l'équipement de soutien téléphonique, il est approprié de revoir à l'heure actuelle qui peut approuver les changements critiques, comment l'identité de l'appelant est validée et quels signes dans les dossiers peuvent donner une supplantation. La menace est réelle et en évolution; la meilleure réponse est de prévoir avec la formation, les procédures et les contrôles techniques qui rendent cet engagement à recruter des voix humaines plus rentable pour les agresseurs.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...