Au cours des dernières semaines, les équipes de renseignement de sécurité de Google et Mandiant ont détecté une vague d'attaques ciblées qui combinent l'ingénierie sociale par la voix - l'appel Vécheur- avec des pages qui imitent les entreprises légitimes pour voler des lettres d'identité et des codes d'authentification. L'objectif déclaré des attaquants est d'accéder à des applications cloud comme SaaS, d'extraire des informations sensibles et ensuite d'extorquer les organisations concernées.
Selon l'analyse publique, l'activité est groupée en plusieurs grappes que les chercheurs surveillent séparément, ce qui suggère qu'ils peuvent être des équipes différentes qui partagent des tactiques ou que le même réseau criminel diversifie leurs méthodes. Certaines campagnes ont été observées au début de janvier 2026 et toutes commencent par la même idée : tromper les employés en se faisant passer pour du personnel de soutien ou de l'informatique pour les amener à fournir des références et des codes MFA sur des pages frauduleuses qui reproduisent la marque de la victime.
L'attaque typique commence par un appel légitime en apparence, dans lequel l'interlocuteur prétend être technique et demande à l'employé d'accéder à un lien pour « mettre à jour » son authentification. Dans de nombreux cas, les attaquants ne volent pas seulement l'utilisateur et le mot de passe : ils enregistrent leur propre appareil pour le facteur supplémentaire et empêchent ainsi les mesures MFA de bloquer leur accès. Avec cette entrée initiale, les intrus se déplacent latéralement à travers les environnements d'entreprise, téléchargent des données de service telles que SharePoint ou OneDrive et parfois utilisent des comptes de messagerie engagés pour envoyer de nouveaux courriels d'hameçonnage aux contacts pertinents, puis suppriment les tests.
Il est également prouvé que certains acteurs ont exploité l'accès à des plateformes d'identité comme Okta et téléchargé des informations via des scripts PowerShell. Il s'agit également d'une escalade des techniques d'extorsion : après l'enlèvement de l'information, les demandes arrivent et, dans certains cas signalés, le harcèlement dirigé contre le personnel de l'organisation touchée pour faire pression sur le paiement.
Les chercheurs ont observé des différences opérationnelles entre les groupes : certains utilisent un enregistreur de domaine tandis que d'autres utilisent un enregistreur de domaine différent pour créer les pages de suplantation, et les campagnes d'hameçonnage ne conduisent pas toujours au même format d'extorsion. Ce détail suggère que derrière l'étiquette "ShinyHunters" il pourrait y avoir plusieurs équipes avec différents degrés de coordination, ce qui complique l'attribution et la réponse.
La raison pour laquelle ces campagnes sont particulièrement dangereuses est qu'elles pointent vers les comptes d'identité et les portes d'entrée des applications cloud, où les informations les plus précieuses et les communications internes sont souvent stockées. L'accès persistant aux services SaaS permet à un attaquant de collecter des données en silence et de créer un cas de pression pour demander un sauvetage.
Compte tenu de ce scénario, les équipes de sécurité recommandent de durcir les processus de soutien aux utilisateurs et d'accorder une attention particulière au suivi des événements liés à la gestion de l'identité. Google Cloud a publié un guide avec des mesures concrètes qui incluent la nécessité de renforcer les contrôles d'identité dans les interactions avec le téléphone ou le service d'assistance, de limiter les points de sortie fiables et d'appliquer des contrôles d'accès basés sur les appareils, entre autres actions. Vous pouvez le consulter sur le blog officiel Google Cloud : expansion de l'activité liée à ShinyHunters et dans l'article sur l'atténuation: recommandations pour défendre les plateformes SaaS.
Ce ne sont pas des défaillances techniques chez les fournisseurs, mais l'efficacité de l'ingénierie sociale. C'est pourquoi les autorités et les experts insistent sur les méthodes d'authentification qui résistent au phishing : Les clés de sécurité et les mots de passe FIDO2 réduisent considérablement la possibilité pour un attaquant d'accéder même s'il peut tromper un utilisateur. Pour approfondir ces normes, vous pouvez visiter le site FIDO Alliance et le guide technique NIST sur l'authentification: NIST SP 800-63B.
En plus d'adopter des authentificateurs résistants à l'hameçonnage, les organisations doivent renforcer l'enregistrement et la télémétrie : activer des audits qui détectent les inscriptions inhabituelles des appareils MFA, les changements dans le cycle de vie des authentificateurs et les autorisations OAuth pour traiter les boîtes aux lettres. La visibilité des actions d'identité et des exportations de SaaS est essentielle pour détecter une infiltration précoce. Les organismes de sécurité publique fournissent également des lignes directrices pratiques pour la lutte contre le phishing, qui restent pertinentes pour les entreprises et les utilisateurs : par exemple, le guide sur les CISA sur le phishing.
Sur une base quotidienne, il existe des mesures simples mais efficaces : méfiance à l'égard des demandes d'accréditation ou de codes non sollicités, vérification de l'identité de l'interlocuteur par des canaux autres que l'appel initial, et évite l'utilisation de SMS et d'appels comme seul facteur de récupération. Il est également recommandé de limiter les privilèges, de vérifier les secrets exposés et de bloquer les efforts administratifs à partir de lieux peu fiables.
Ces événements mettent en évidence une réalité inconfortable : les criminels évoluent leurs méthodes vers le nuage et l'extorsion, et combinent des techniques techniques et psychologiques pour surmonter les barrières de sécurité traditionnelles. La réponse doit également être hybride, mélangeant technologie, processus internes plus stricts et formation continue du personnel pour reconnaître et signaler les tentatives de tromperie.
En bref, la menace observée en janvier 2026 est un mélange de domaines sophistiqués et frauduleux qui imitent les marques et les abus de MFA pour persister dans les environnements SaaS, tous destinés à extraire des informations qui sont ensuite utilisées pour extorquer. Il n'y a pas de solution unique, mais les meilleures pratiques des fournisseurs et des autorités, ainsi que l'adoption de mécanismes d'authentification résistant au phishing, réduisent considérablement les risques et les opportunités de ces attaquants.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...