{"id":167394,"date":"2025-11-26T03:03:38","date_gmt":"2025-11-26T11:03:38","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=167394"},"modified":"2025-11-26T08:22:14","modified_gmt":"2025-11-26T16:22:14","slug":"new-shinysp1d3r-ransomware","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/fr\/new-shinysp1d3r-ransomware\/","title":{"rendered":"The Golden Scale : C'est la saison des cadeaux empoisonn\u00e9s"},"content":{"rendered":"

En octobre 2025, nous avons publi\u00e9 deux articles de blog Insights<\/a> sur l'activit\u00e9 malveillante affili\u00e9e \u00e0 l'alliance cybercriminelle connue sous le nom de Scattered LAPSUS$ Hunters (SLSH). Apr\u00e8s quelques semaines d'inactivit\u00e9 apparente, les acteurs de la menace sont revenus en force, d'apr\u00e8s des rapports en source ouverte (OSINT) et des conversations obtenues via un nouveau canal Telegram (*scattered LAPSUS$ hunters part 7*). Ce dernier article de blog Insights d\u00e9taille plusieurs observations notables faites par Unit 42 depuis la mi-novembre et pr\u00e9pare les organisations \u00e0 l'approche des f\u00eates de fin d'ann\u00e9e.<\/p>\n

<\/a>Nouvelles all\u00e9gations de<\/strong> vol de donn\u00e9es et ultimatum impos\u00e9<\/strong><\/h2>\n

Le 20 novembre 2025, Salesforce a publi\u00e9 un avis de s\u00e9curit\u00e9<\/a> reconnaissant avoir d\u00e9tect\u00e9 \u00ab une activit\u00e9 inhabituelle impliquant des applications publi\u00e9es par Gainsight \u00bb. Cela a conduit l'entreprise \u00e0 r\u00e9voquer \u00ab tous les acc\u00e8s actifs et les jetons d'actualisation (refresh tokens<\/em>) associ\u00e9s aux applications publi\u00e9es par Gainsight \u00bb tout en retirant temporairement ces applications de leur AppExchange le temps de mener une enqu\u00eate.<\/p>\n

Au moment de la r\u00e9daction de cet article, Salesforce estime que cette activit\u00e9 n'est pas le r\u00e9sultat d'une vuln\u00e9rabilit\u00e9 de sa plateforme et que \u00ab cette activit\u00e9 a pu permettre un acc\u00e8s non autoris\u00e9 aux donn\u00e9es Salesforce de certains clients via la connexion de l'application \u00bb. L'entreprise a notifi\u00e9 tous les clients impact\u00e9s et a \u00e9mis un avis suppl\u00e9mentaire le 22 novembre 2025 avec un certain nombre d'indicateurs de compromission (IoC) li\u00e9s \u00e0 cette activit\u00e9.<\/p>\n

Selon les informations de BleepingComputer<\/a>, Bling Libra (alias ShinyHunters) a affirm\u00e9 avoir obtenu l'acc\u00e8s \u00e0 285 instances Salesforce suppl\u00e9mentaires en compromettant Gainsight. Le groupe de menace a d\u00e9clar\u00e9 avoir accompli cela en utilisant des secrets obtenus via leur attaque de la cha\u00eene d'approvisionnement ciblant Salesloft Drift en ao\u00fbt 2025, ce que Unit 42 avait pr\u00e9c\u00e9demment signal\u00e9<\/a> le 10 septembre 2025.<\/p>\n

Gainsight a reconnu<\/a> le 3 septembre 2025 avoir \u00e9t\u00e9 compromis via des jetons OAuth vol\u00e9s li\u00e9s \u00e0 l'attaque de Salesloft Drift. Dans cette alerte de s\u00e9curit\u00e9, l'entreprise a confirm\u00e9 que les types d'informations suivants ont probablement \u00e9t\u00e9 consult\u00e9s par les acteurs de la menace :<\/p>\n