Dans les coulisses du nouveau mode opératoire de Lapsus$ : le retour des chasseurs dispersés avec un accès d’entreprise à vendre

Dans les profondeurs obscures de la cybercriminalité, un spectre bien connu est de retour - plus audacieux, plus affûté et mieux organisé que jamais. Scattered Lapsus$, tristement célèbre pour ses chantages médiatisés, a ressurgi de l’underground numérique avec un modèle d’affaires évolué qui pourrait s’avérer désastreux pour les géants industriels et les infrastructures critiques du monde entier.

Le nouveau visage de Scattered Lapsus$ n’a rien d’amateur. De récentes informations de Cyfirma et Dragos révèlent un collectif non seulement de retour, mais en voie de professionnalisation. Le groupe, autrefois connu pour ses fuites chaotiques et son extorsion tapageuse, opère désormais selon un modèle d’accès revendu à la commission. Il recrute ouvertement des vendeurs d’« accès initial » et des complices internes sur des forums clandestins et des canaux Telegram, offrant des rémunérations attractives pour des identifiants ouvrant les portes des réseaux les plus précieux au monde.

Qu’est-ce qui a changé ? D’abord, Scattered Lapsus$ cible désormais des entreprises à très forte valeur : des sociétés dont le chiffre d’affaires annuel dépasse 500 millions de dollars, notamment dans les télécommunications, les chaînes logicielles et les environnements cloud. Le « menu » du groupe prévoit des commissions de 25 % pour l’accès à des systèmes Active Directory et de 10 % pour des identifiants Okta ou AWS root. Il ne s’agit plus de vols de données opportunistes, mais d’une chasse méthodique aux clés numériques des royaumes d’entreprise.

Fini le chaos aléatoire. Désormais, le collectif répartit les rôles entre spécialistes de l’ingénierie sociale, courtiers en identifiants et amplificateurs de fuites de données. Leurs tactiques mêlent la manipulation à la Lapsus$ à une exploitation sophistiquée des infrastructures, rappelant les méthodes de groupes notoires comme ShinyHunters et Scattered Spider. Le développement supposé d’une plateforme commune de Ransomware-as-a-Service (RaaS), ShinySp1d3r, laisse présager des campagnes encore plus coordonnées et à fort impact.

Leur campagne de recrutement est tout aussi audacieuse. Ils recherchent des complices internes capables de fournir un accès VPN, VDI, Citrix ou AnyDesk depuis l’intérieur de grandes entreprises - transformant ainsi des employés de confiance en atouts cybercriminels. Des messages publics vantent les accords de commission et menacent de fuites massives de données, le tout dans le cadre d’une stratégie délibérée de construction de réputation. Des captures d’écran de salons privés révèlent une volonté collective de monter en puissance, affichant à la fois capacité et assurance.

Mais Scattered Lapsus$ ne vise pas n’importe qui. Leurs règles strictes écartent les organismes de santé et les entreprises en Russie, Chine, Corée du Nord ou Biélorussie - un filtre géopolitique aussi stratégique qu’inquiétant. Alors que des experts en cybersécurité industrielle avertissent de la capacité du groupe à perturber les opérations sans même toucher aux systèmes de contrôle industriels, les enjeux pour les infrastructures critiques n’ont jamais été aussi élevés.

À l’approche de 2026, la résurgence de Scattered Lapsus$ marque une nouvelle phase dangereuse du cybercrime. Avec un modèle structuré, basé sur la commission, et une obsession pour l’accès privilégié, le collectif menace l’épine dorsale numérique de l’industrie mondiale. Pour les défenseurs, le message est clair : l’ère des hackers solitaires est révolue - celle des cartels du cybercrime vient de commencer.

WIKICROOK

• Initial Access Broker : Un Initial Access Broker est un cybercriminel qui s’introduit dans des systèmes et revend l’accès à d’autres attaquants, facilitant ainsi des cybercrimes comme le rançongiciel ou le vol de données.
• Active Directory (AD) : Active Directory (AD) est un service Microsoft qui centralise l’accès utilisateur, l’authentification et la gestion des politiques de sécurité sur les réseaux informatiques.
• Ingénierie sociale : L’ingénierie sociale est l’utilisation de la tromperie par des hackers pour inciter des personnes à divulguer des informations confidentielles ou à fournir un accès non autorisé à des systèmes.
• Rançongiciel : Un rançongiciel est un logiciel malveillant qui chiffre ou bloque des données, exigeant une rançon pour restaurer l’accès aux fichiers ou systèmes des victimes.
• Mouvement latéral : Le mouvement latéral désigne la progression d’attaquants, après une première intrusion, vers d’autres systèmes ou données sensibles d’un réseau, afin d’étendre leur contrôle et leur portée.