Netcrook Logo
👤 AUDITWOLF
🗓️ 06 Jan 2026  

Le Courtier Fantôme : Comment un Cybercriminel a Déclenché une Vague Mondiale de Violations de Données

Un hacker de l’ombre connu sous le nom de Zestix est lié à des dizaines d’intrusions de haut niveau, révélant les failles béantes de la sécurité des entreprises.

Dans les bas-fonds obscurs de la cybercriminalité, un seul opérateur peut semer le chaos à une échelle comparable à celle des syndicats criminels. Voici “Zestix” - un fantôme numérique qui a discrètement forcé les portes de certaines des organisations les plus sensibles au monde. Armé uniquement d’identifiants d’employés volés, Zestix a tissé une mosaïque de violations, transformant des mots de passe oubliés en arme de destruction massive.

En Bref

  • Au moins 50 violations majeures de données sont attribuées à l’acteur de la menace connu sous le nom de Zestix (également actif sous l’alias Sentap).
  • Zestix se spécialise comme courtier d’accès initial, vendant des données volées et des accès systèmes sur des forums de hackers russophones.
  • Les victimes couvrent l’aérospatiale, le gouvernement, la santé, la robotique et plus encore - d’Iberia Airlines à des sous-traitants de la police brésilienne.
  • Les identifiants ont été récoltés à l’aide de malwares voleurs d’informations comme RedLine, Lumma et Vidar.
  • L’absence d’authentification multifacteur (MFA) sur les plateformes de partage de fichiers a permis de nombreuses violations.

Selon Hudson Rock, Zestix est apparu comme un acteur distinct fin 2024, mais ses empreintes numériques remontent à 2021 sous l’alias “Sentap”. Le point commun : des identifiants volés par des malwares infectant les appareils des employés. Ces “infostealers” - RedLine, Lumma, Vidar - siphonnent silencieusement les identifiants de connexion, qui restent ensuite dans des journaux criminels, parfois pendant des années, jusqu’à ce que quelqu’un comme Zestix décide d’en tirer profit.

La méthode est glaçante de simplicité. Zestix traque les identifiants des services de partage de fichiers d’entreprise - ShareFile, OwnCloud, Nextcloud - souvent laissés sans protection par des mesures de sécurité élémentaires comme l’authentification multifacteur. Avec seulement un nom d’utilisateur et un mot de passe, Zestix s’infiltre, télécharge des gigaoctets de données sensibles, puis les revend sur des forums privés. Le prix demandé ? Parfois plus de 150 000 dollars, comme pour la prise de 77 Go chez Iberia Airlines.

La liste des victimes ressemble à un annuaire des grands noms de l’industrie mondiale : fabricants aéronautiques, cabinets juridiques, sous-traitants de la défense, voire des entités gérant les données d’établissements de santé américains. Certaines violations ont porté sur des téraoctets de données, Zestix se vantant de coups massifs contre des sociétés d’ingénierie et des géants des télécoms. Si certaines opérations sont directement liées à des malwares voleurs d’informations, les enquêteurs avertissent que d’autres vecteurs d’attaque pourraient également être en jeu.

Le problème sous-jacent est systémique. L’économie des infostealers, alimentée par le modèle malware-as-a-service (MaaS), a démocratisé le vol numérique. N’importe qui peut acheter une boîte à outils prête à l’emploi, la déployer à grande échelle et récolter des identifiants auprès de milliers d’organisations. Les informations volées alimentent non seulement les violations de données, mais aussi l’usurpation d’identité et la fraude - laissant entreprises et clients perpétuellement exposés.

Comme le rappellent les experts en cybersécurité, la véritable menace n’est pas seulement les Zestix du monde, mais l’immense marché invisible qui rend leur travail possible. Tant que les organisations n’appliqueront pas une authentification robuste et ne surveilleront pas les fuites d’identifiants, la prochaine violation pourrait déjà se cacher dans un fichier journal oublié - à un clic du désastre.

Conclusion

La frénésie de Zestix est un rappel brutal : à l’ère numérique, les identifiants volés d’hier peuvent devenir la catastrophe de demain. Tant que les infostealers et l’authentification faible perdureront, les ombres de la cybercriminalité continueront de trouver de nouvelles portes à ouvrir.

WIKICROOK

  • Courtier d’Accès Initial : Un courtier d’accès initial est un cybercriminel qui s’introduit dans des systèmes et revend l’accès à d’autres attaquants, permettant ainsi d’autres cybercrimes comme les ransomwares ou le vol de données.
  • Infostealer : Un infostealer est un malware conçu pour voler des données sensibles - comme des mots de passe, cartes bancaires ou documents - sur des ordinateurs infectés à l’insu de l’utilisateur.
  • Multi : Multi désigne l’utilisation combinée de différentes technologies ou systèmes - comme les satellites LEO et GEO - pour améliorer la fiabilité, la couverture et la sécurité.
  • Malware : Le malware est un logiciel malveillant conçu pour s’infiltrer, endommager ou voler des données à partir de dispositifs informatiques sans le consentement de l’utilisateur.
  • Credential Stuffing : Le credential stuffing consiste à utiliser des noms d’utilisateur et mots de passe volés sur un site pour tenter d’accéder à des comptes sur d’autres sites.
Cybercrime Data Breach Zestix
AUDITWOLF AUDITWOLF
Cyber Audit Commander
← Back to news