ShinyHunters s’est imposé comme l’un des groupes de cybercriminels les plus redoutables de la décennie, responsable de violations de données touchant plus d’un milliard d’utilisateurs à travers le monde. Ce collectif, dont le nom s’inspire de l’univers Pokémon, cache derrière son apparence ludique une organisation criminelle sophistiquée qui a révolutionné les attaques par vol de données.
Depuis leur première apparition en avril 2020, les membres de ShinyHunters ont orchestré certaines des plus grandes violations de données de l’histoire récente, ciblant des géants technologiques comme Microsoft, Google, AT&T, et plus récemment, menant une campagne d’envergure contre les instances Salesforce de grandes entreprises mondiales.
Dernière mise à jour : août 2025
Les origines de shinyhunters : de pokémon aux cybercriminels
Le nom « ShinyHunters » trouve ses racines dans l’univers des jeux vidéo Pokémon, où les « shiny hunters » sont des joueurs qui recherchent activement des Pokémon rares aux couleurs alternatives. Le nom du groupe est supposé dériver des Pokémon brillants, un mécanisme dans la franchise de jeux vidéo Pokémon où les Pokémon ont une chance rare d’être rencontrés dans un schéma de couleurs alternatif et « brillant ».
Cette référence n’est pas anodine : tout comme les chasseurs de Pokémon recherchent des créatures rares et précieuses, ShinyHunters traque les données sensibles d’entreprises pour les revendre sur le dark web. Cette analogie révèle leur approche méthodique et leur obsession pour les « trophées » de données de haute valeur.
La structure organisationnelle de shinyhunters
Contrairement à ce que pourrait suggérer leur nom, ShinyHunters n’est pas un individu mais plutôt un groupe de cybercriminels. Les experts en cybersécurité estiment que plusieurs acteurs opèrent sous cette bannière, fonctionnant comme une marque collective plutôt qu’une entité unique.
Pour les cybercriminels, ce nom de marque est de l’or pur. Il fournit une crédibilité instantanée sur le Dark Web, permettant d’obtenir des prix plus élevés pour les données volées et leur donnant un effet de levier pour l’extorsion. Cette stratégie de marque décentralisée complique considérablement l’attribution des attaques par les forces de l’ordre.
L’évolution tactique de shinyhunters : de la revente à l’extorsion
Initialement, ShinyHunters suivait un modèle économique simple : voler des bases de données et les revendre sur des forums de hackers. Cependant, en 2024, le groupe s’est orienté vers l’extorsion de leurs victimes plutôt que leur tactique traditionnelle de vente/publication de données volées.
Cette évolution stratégique témoigne de la sophistication croissante du groupe et de leur adaptation aux opportunités de profit. Au lieu de se contenter de ventes ponctuelles, ils exercent maintenant une pression directe sur les victimes pour obtenir des rançons plus importantes.
Les montants de rançons exigés
Les sommes demandées par ShinyHunters atteignent des niveaux considérables. BleepingComputer a appris qu’une entreprise a déjà payé 4 Bitcoins, soit environ 400 000 dollars, pour empêcher la fuite de ses données. Dans le cas d’AT&T, un rapport de juillet dernier indiquait qu’AT&T Inc. avait payé 370 000 dollars en bitcoin à ShinyHunters pour arrêter la publication de détails volés.
Les principales victimes de shinyhunters
Le bilan des attaques de ShinyHunters est impressionnant par son ampleur et la diversité des secteurs touchés.
Les attaques historiques (2020-2023)
Tokopedia (Mai 2020) : Le 2 mai 2020, Tokopedia a été violé par ShinyHunters, qui prétendait avoir des données pour 91 millions de comptes utilisateurs, révélant le sexe, la localisation, le nom d’utilisateur, le nom complet, l’adresse e-mail, le numéro de téléphone et les mots de passe hachés des utilisateurs.
Microsoft (Mai 2020) : En mai 2020, ShinyHunters a également prétendu avoir volé plus de 500 Go de code source Microsoft depuis le compte GitHub privé de l’entreprise. Cette attaque a marqué un tournant dans leurs capacités techniques.
Wattpad (Juillet 2020) : En juillet 2020, ShinyHunters a accédé à la base de données Wattpad contenant 270 millions d’enregistrements d’utilisateurs, l’une des plus importantes violations de données de l’année.
La campagne snowflake (2024)
2024 a marqué une année charnière pour ShinyHunters avec leur implication dans les attaques massives contre les clients de Snowflake. La violation de données de Ticketmaster en 2024, qui a affecté plus de 560 millions d’utilisateurs, a été significativement impactée par le rôle de Snowflake, le fournisseur de cloud utilisé par Ticketmaster.
Cette campagne a également touché Santander, Ticketmaster, et Neiman Marcus, démontrant la capacité du groupe à mener des opérations coordonnées à grande échelle.
La campagne salesforce actuelle (2025)
La campagne la plus récente de ShinyHunters cible spécifiquement les instances Salesforce des grandes entreprises. Une vague de violations de données impactant des entreprises comme Qantas, Allianz Life, LVMH, et Adidas a été liée au groupe d’extorsion ShinyHunters, qui utilise des attaques de phishing vocal pour voler des données depuis les instances CRM Salesforce.
Les victimes confirmées incluent :
- Google : Données de contact PME compromises
- Cisco : Informations de profil utilisateur volées
- Adidas : Tickets de service client exposés
- LVMH (Louis Vuitton, Dior, Tiffany) : Enregistrements de contact clients régionaux
- Pandora : Profils clients compromis
- Qantas : Données passagers des tables CRM
Les méthodes d’attaque de shinyhunters
Le vishing : leur spécialité actuelle
UNC6040 est un cluster de menaces financièrement motivé qui accède aux réseaux des victimes par ingénierie sociale de phishing vocal. Leur technique actuelle repose sur des appels téléphoniques sophistiqués où ils se font passer pour du support informatique interne.
Processus d’attaque type :
- Reconnaissance approfondie : Recherche d’informations sur l’entreprise cible
- Appel de vishing : Contact téléphonique se faisant passer pour le support IT
- Manipulation : Convaincre l’employé d’autoriser une application malveillante
- Installation du Data Loader modifié : Outil légitime Salesforce détourné
- Exfiltration massive : Export de toutes les données accessibles
- Mouvement latéral : Extension vers d’autres plateformes (Okta, Microsoft 365)
L’exploitation des repositories github
ShinyHunter commence par identifier les entreprises qui utilisent Microsoft Office 365. Ensuite, ils recherchent les entreprises qui stockent des jetons d’autorisation GitHub ouverts. Cette approche leur permet d’identifier des vulnérabilités dans la chaîne d’approvisionnement logicielle.
Les techniques d’anonymisation
ShinyHunters utilise une infrastructure sophistiquée pour masquer leurs activités. L’infrastructure utilisée par UNC6040 inclut des adresses IP VPN Mullvad et le réseau TOR pour anonymiser ses activités d’accès et d’exfiltration.
Les liens avec d’autres groupes cybercriminels
Scattered spider et the com
Le groupe est également supposé avoir des liens avec « The Com », un réseau de cybercriminels anglophones expérimentés. Ces connexions suggèrent une collaboration entre différents collectifs criminels pour maximiser l’efficacité des attaques.
Selon les renseignements de Recorded Future, les TTPs qui se chevauchent entre les attaques connues de Scattered Spider et ShinyHunters indiquent probablement un certain croisement entre les deux groupes.
Le modèle « extorsion-as-a-service »
Certains experts théorisent que ShinyHunters agit comme un service d’extorsion, où ils extorquent des entreprises au nom d’autres acteurs de menace en échange d’un partage des revenus, similaire à la façon dont opèrent les gangs de ransomware-as-a-service.
BreachForums : la vitrine criminelle
ShinyHunters était étroitement lié à l’administration de BreachForums, l’un des plus importants forums de cybercriminalité au monde. Le persona ShinyHunters s’est associé à Baphomet pour relancer la deuxième instance de BreachForums (v2) en juin 2023 et a lancé plus tard seul l’instance de juin 2025 (v4).
Ce forum servait de marketplace pour la vente de données volées, d’outils de hacking et de services cybercriminels, générant des revenus substantiels pour ses administrateurs.
Les arrestations récentes : un coup dur pour le groupe
Les arrestations françaises de juin 2025
Le 25 juin 2025, les autorités françaises ont annoncé que quatre membres du groupe cybercriminel ShinyHunters ont été arrêtés dans plusieurs régions françaises pour activités cybercriminelles.
Les quatre hackers, connus sous les noms de ShinyHunters, Hollow, Noct et Depressed, ont été arrêtés dans les banlieues parisiennes, en Normandie et à La Réunion, un territoire français d’outre-mer.
L’arrestation d’IntelBroker
Kai West a été arrêté en France, avec quatre autres hackers, tous soupçonnés de faire partie du célèbre forum de hackers, BreachForums. West, opérant sous l’alias IntelBroker, était considéré comme l’un des administrateurs clés du forum.
L’impact sur les opérations
Ces arrestations représentent un coup significatif pour l’écosystème ShinyHunters, mais les experts restent prudents quant à leur impact à long terme. Ce modèle décentralisé est un cauchemar pour la cybersécurité. Il fait de l’attribution des attaques un « jeu de dupes ».
L’impact financier des attaques shinyhunters
Avec des chiffres estimant que la violation de données moyenne cette année est d’environ 4,4 millions de dollars, nous pouvons estimer que ShinyHunters a coûté aux entreprises des dizaines de millions de dollars de dommages cette année.
L’impact va bien au-delà des coûts immédiats :
- Perte de confiance des clients
- Coûts de notification et de conformité réglementaire
- Frais juridiques et d’expertise technique
- Impact sur la valorisation boursière
- Coûts de renforcement sécuritaire post-incident
Comment se protéger contre shinyhunters
Sécurisation des environnements salesforce
Face à leur campagne actuelle contre Salesforce, les organisations doivent :
- Restreindre drastiquement les permissions « API Enabled »
- Implémenter une gestion rigoureuse des applications connectées
- Configurer des restrictions d’adresses IP de confiance
- Bloquer l’accès depuis les VPN commerciaux
Formation anti-vishing
Former le personnel du service d’assistance à effectuer rigoureusement une vérification d’identité positive pour tous les employés avant de modifier des comptes ou de fournir des informations sensibles en matière de sécurité.
Les employés doivent être sensibilisés aux techniques de manipulation psychologique utilisées par les attaquants qui se font passer pour le support informatique interne.
Contrôles techniques avancés
- Authentification multifacteur renforcée (éliminer SMS et emails)
- Surveillance continue des accès API
- Détection d’anomalies dans les patterns d’exportation de données
- Segmentation réseau et principe du moindre privilège
L’avenir de shinyhunters
Malgré les arrestations récentes, Il ne s’agit pas tant de dire que ShinyHunters est un acteur de menace en évolution et en croissance, au sens conventionnel. Il semble plutôt être un nom de marque de style Donald Trump, MAGA, emprunté par plusieurs acteurs de menace avec leurs propres méthodes.
Cette nature de « marque » décentralisée suggère que même si certains membres clés sont neutralisés, d’autres peuvent continuer à opérer sous cette bannière. Le défi pour les forces de l’ordre reste de démanteler l’ensemble de l’écosystème plutôt que de se contenter d’arrestations ponctuelles.
Les évolutions tactiques récentes
Selon la mise à jour du 5 août, UNC6040 utilise maintenant des IP VPN Mullvad et TOR, et des scripts Python personnalisés à la place de l’application Data Loader modifiée. Cette adaptation continue démontre la capacité du groupe à évoluer face aux contre-mesures de sécurité.
ShinyHunters : un symbole de l’évolution du cybercrime
ShinyHunters représente parfaitement l’évolution du paysage cybercriminel moderne : de groupes organisés hiérarchiquement vers des collectifs décentralisés fonctionnant comme des marques. Leur capacité à s’adapter, innover et collaborer avec d’autres groupes en fait l’un des adversaires les plus redoutables que les entreprises doivent affronter aujourd’hui.
La lutte contre ShinyHunters illustre les défis complexes de la cybersécurité moderne, où la technologie seule ne suffit plus. La protection efficace nécessite une approche holistique combinant contrôles techniques avancés, formation humaine continue, et vigilance organisationnelle constante face à des adversaires qui ne cessent d’évoluer.
ShinyHunters : questions fréquentes
ShinyHunters est un groupe de cybercriminels formé en 2020, dont le nom s’inspire des « chasseurs de Pokémon brillants » dans les jeux vidéo. Ils sont spécialisés dans le vol de données massif et l’extorsion d’entreprises.
Parmi leurs victimes les plus notables figurent Microsoft, Google, AT&T, Tokopedia, Wattpad, Ticketmaster, Santander, et récemment de nombreuses entreprises utilisant Salesforce comme Adidas, LVMH et Qantas.
Ils utilisent principalement des techniques de vishing (phishing vocal) pour se faire passer pour du support informatique et convaincre les employés d’autoriser des applications malveillantes, notamment sur Salesforce.
En juin 2025, cinq membres présumés ont été arrêtés en France, mais le groupe fonctionne comme une « marque » décentralisée, permettant à d’autres acteurs de continuer à opérer sous ce nom.
Les experts estiment que ShinyHunters a causé des dizaines de millions de dollars de dommages. Certaines entreprises ont payé jusqu’à 400 000 dollars de rançon pour éviter la publication de leurs données.
Les principales mesures incluent la formation anti-vishing des employés, la restriction des permissions API, l’authentification multifacteur renforcée, et la surveillance continue des accès aux systèmes sensibles.
Laisser un commentaire