Au cœur d’espaces pirates du darkweb où menaces et émojis dansent, surgit un narratif hybride : vrai, fantasmé, utilisé comme arme, mélange subtil d’archives, de bluff et d’influence autour de fuites de données.
Plongée au sein du sous‑monde cyber où les histoires de racket deviennent récits performatifs. Ici, des incidents tangibles – MGM, Caesars, Cartier, Bouygues – sont réactivés comme slogans de marque sur des espaces pirates que ZATAZ analyse. La scène est un théâtre : chaque « groupe » s’adosse à la notoriété d’un précédent, chaque « sample » devient preuve (parfois usée). Le fil logique court de l’assaut contre ALPHV/BlackCat en 2023 à des fuites revendiquées sur Salesforce ou Snowflake en 2025. Comprendre l’économie de l’attention est le vrai bénéfice de ce récit d’ombre.
La chronologie fondatrice : des casinos de Vegas au démantèlement d’un RaaS
Tout commence en septembre 2023, quand un séisme frappe l’empire du jeu. MGM doit fermer des systèmes, les réservations se figent dans une rémission instantanée. À côté, Caesars admet un vol massif via ingénierie sociale exploitant un prestataire, et, selon la presse économique américaine, consent un versement de près de 15 millions de dollars (13,8 M €). Dans ce tumulte apparaît Scattered Spider, alias UNC3944, identifié comme l’agent infiltré manipulant les arcanes de l’ingénierie sociale. Lui-même opère comme affilié du « Ransomware‑as‑a‑Service » ALPHV/BlackCat. Ces événements, solidement documentés par des sources publiques, deviennent par la suite les points d’ancrage d’un récit souterrain.
Puis, le 19 décembre 2023, le ministère de la Justice US et le FBI divulguent l’interruption du réseau ALPHV/BlackCat et mettent à disposition un outil de déchiffrement pour plus de 500 victimes. Le signal est clair : l’écosystème vacille, mais ne disparaît pas. L’étau se resserre, les affiliés se dispersent, la marque vacille. Ce clair-obscur entre effondrement apparent et résilience nourrit la narration underground : ALPHV est célébré, Scattered Spider évoqué comme proche, ShinyHunters invoqué en écho. Le récit de puissance glisse vers un récit de recomposition.
Une économie de la visibilité : luxe, télécoms et institutions mis en scène
Au printemps 2025, la scène change de décor : Cartier annonce, le 3 juin, une compromission par credential stuffing, des identifiants entassés, réutilisés depuis d’autres brèches, suffisent à ouvrir des comptes clients. Les données exposées sont nominatives, adresse mail, pays, quelques détails de compte. Aucun signal direct de ransomware, aucune attribution claire. Néanmoins, Telegram devient vitrine : les captures d’écran servent de reçus factices, la possession de données est mise en avant comme preuve. Puis arrive l’été 2025 et l’affaire française : détectée le 4 août et confirmée le 7 août, Bouygues Telecom révèle que 6,4 millions de clients sont concernés par une fuite incluant données personnelles et contractuelles, notamment des IBAN, sans mots de passe ni cartes bancaires. Les extorqueurs relaient immédiatement l’information dans un espace que ZATAZ surveille, avec promesse de fuite conditionnelle à un seuil d’abonnés, compte à rebours dramatique, relances agressives. L’attention devient monnaie, la menace, vecteur de monétisation.
Le troisième acte se joue dans la sphère publique. En août 2025, la Legal Aid Agency du Royaume-Uni devient cible d’un chant choral d’extorsion orchestré par un espace numérique prétendant représenter ShinyHunters. Menaces, ultimatum public, menace de diffusion de millions d’enregistrements ; puis, silence à l’échéance. Une institution déjà secouée depuis le printemps admet une violation plus grave que prévu, les données historiques ont été consultées. Tout devient matière à réactivation, à amplification. L’attention vaut plus que la diffusion ; l’espace pirate devient lobby narratif.
Le grand amalgame : CRM, SaaS et l’attrait des données relation client
Une autre veine narrative s’étend dans le monde SaaS, où les trésors relationnels dorment. En mai 2025, Coca‑Cola Europacific Partners est ciblée par un groupe nommé Gehenna, qui revendique l’exfiltration de dizaines de millions d’enregistrements Salesforce (comptes, cas, contacts, produits). Techniquement, c’est du concret, alimenté par des notes d’intelligence sectorielle. Pourtant, dans l’arène pirate, l’étiquette « Salesforce data » se transforme en appât : outil de vente, vitrine de crédibilité, incitation à payer.
En 2024, l’affaire Snowflake survient, avec le cas de la banque Santander. Un accès non autorisé chez un prestataire touche l’Espagne, le Chili, l’Uruguay, affectant collaborateurs actuels et anciens. Quelques semaines plus tard, des offres de vente massives attribuées à ShinyHunters envahissent les espaces OSINT. Là encore, l’écart est flagrant entre la prudence institutionnelle et le sermon carnavalesque des canaux clandestins.
Mosaïque d’annonces spectaculaires : promesse de « 4 To de données Google/Salesforce » bradées, invocation de « GAIA » comme totem, références à Victoria’s Secret ou juge fédéraux australiens. Beaucoup de bruit, peu de vérifiable , certains rebattages de vieilles données, d’autres faux‑preuves improvisées comme un webshell aperçu dans un répertoire SAP. L’essence n’est pas judiciaire : elle est publicité.
« WHOS READY FOR ALL AUSTRALIA FEDERAL JUDGES DATA LEAK » Annonce d’une potentielle fuite de données très sensibles concernant des juges fédéraux australiens. C’est à la fois un teasing destiné à créer un effet médiatique et un moyen de pression sur les autorités ou les victimes.
On notera que des panneaux de « contrôle » d’Air France/KLM ou encore Victoria’s Secret ou Cartier seront diffusés, histoire de renforcer le « Je suis l’auteur« . Le pirate se vante d’avoir participé (ou assisté) à des attaques contre des entreprises majeures. Ces références renforcent leur réputation dans la communauté cybercriminelle. « tic toc… they are watching… they know everything ». Ce type de langage vise à instaurer la peur et à maintenir la pression psychologique sur une cible qui n’a pas encore payé ou collaboré.
Du récit à la supply chain : théâtre cyber et avenir de l’extorsion
Ce qui se déploie en 2025 n’est ni Bible ni cartographie détaillée. C’est un théâtre logistique : chaque acteur, courtier d’accès (Borkers), « exfiltrateur », revendeur, animateur de canal/forum, joue un rôle. On assiste à une fragmentation organisée, plus proche du bazar affiné que du cartel hiérarchisé. Les salons Telegram/forums deviennent de véritables back‑offices narratifs, où le storytelling vaut presque plus que les accès techniques. L’éventail des cibles, institutions judiciaires, géants du jeu, chaînes de restauration, marques de luxe, montre un profil opportuniste : toute donnée à forte valeur monétaire ou médiatique est exploitée.
De quel pays sont-ils ? Il est certains que des francophones, si ce n’est des Français sont présents. Il est même d’ailleurs trés étonnant de voir surgir des propos et des pseudos de « personnes » impliquées dans les derniéres opérations judiciaires, comme la finde BreachForums. Les propos sont un mélange d’anglais, d’argot, de rires (« lol », « lululul », « XAXAXA », « jajajaja »), injures, références culturelles (League of Legends, « waifu »). Typique des canaux de discussion de hackers jeunes ou adoptant un style provocateur, où le divertissement et l’ego sont imbriqués dans les activités criminelles.
Les données diffusées [Cartier, Gucci, Etc.] et le discours sont une combinaison de marketing criminel et de guerre psychologique. Le pirate cherche à renforcer sa réputation dans la sphère underground. Maintenir la pression sur des victimes réelles ou potentielles. Attirer des complices ou acheteurs pour ses données. Créer un climat de peur et d’instabilité autour de ses cibles. Il semble aussi et surtout bien seul, ce qui renforce le fait de penser qu’il est peut-être le vrai dernier membre de BreachForum et ShinyHunters.
Le contenu, y compris les données clients, constitue une preuve de compromission sérieuse et implique des risques juridiques majeurs pour l’auteur. C’est aussi un exemple clair d’OPSEC dégradée : ces fanfaronnades publiques peuvent fournir des pistes d’attribution ou d’infiltration par les forces de l’ordre. Certains détails ne trompent pas, même en changeant de pseudonymes.
Pour les personnes concernées, les effets sont concrets : chez Bouygues, l’exposition des IBAN amplifie les risques de virement frauduleux et d’ingénierie sociale ciblée. Cartier rappelle le danger des mots de passe recyclés, fut-ce issus d’une brèche antérieure. Pour la Legal Aid Agency, la vulnérabilité de la mémoire institutionnelle devient un péril en soi. Un simple fichier CSV devient matériau exploitable sur la durée. Les menaces contre Yum Brands (KFC, Pizza Hut, Taco Bell) est étonnant. L’entreprise avait annoncé une attaque ransomware (janv. 2023) ayant entraîné la fermeture temporaire de restaurants anglais. L’acteur n’a pas été officiellement nommé.
CaaS – Chaos-as-a-Service
Le pirate diffuseur de centaines de bases de données a inventé un terme CaaS – Chaos-as-a-Service. C’est du branding pour crédibiliser le côté courtier d’accès/données. On note l’amalgame opportuniste ShinyHunters / Scattered Spider / LAPSUS$ / ALPHV — labels forts pour attirer acheteurs et médias, dans l’ensemble de ses messages. Annoncer vendre 2 BTC les données qu’il aurait pu voler à Google Play et Salesforce (4 TB) ne crédibilise pas le personnage. Il diffusera aussi un accés, un shell, chez Zamato. Publication d’un lien de webshell présumé (/irj/ typique SAP Portal) et d’un bloc réseau NTT India : preuve de vie à visée de recrutement/vente, mais aussi OPSEC catastrophique susceptible d’accélérer une remédiation et/ou une attribution.
Le terme Chaos-as-a-Service (CaaS) sert ici de slogan. Le modèle concret reste celui de RaaS (ALPHV) + brokers d’accès/données + extorsion multi-canaux : une supply-chain criminelle où chacun monétise sa brique (intrusion, exfiltration, hébergement, revente, amplification). La crédibilité de l’auteur tient quand il s’appuie sur des dossiers déjà prouvés (MGM/Caesars) ou sur des incidents publics (Bouygues, MoJ), et chute quand il promet des prises démesurées à prix dérisoires (« 4 TB Google/Salesforce pour 2 BTC »).
Le locuteur mélange faits avérés (MGM/Caesars, Cartier format des données, Bouygues incident réel) et récupération opportuniste (Snowflake 2024, Salesforce/Gehenna 2025), saupoudré d’un patchwork de marques (ALPHV, ShinyHunters, LAPSUS$) pour maximiser la peur et les ventes. Crédible sur certaines connexions historiques ALPHV/Scattered Spider, peu crédible sur des dumps massifs bradés. Le lecteur averti doit déceler où se trouve la chronique fondatrice et où démarre la version recomposée, savoir démêler la brèche authentifiée des « To » fantasmés, exiger dates, périmètres, vecteurs, confirmations. C’est le seul rempart contre la confusion intentionnelle et les « influenceurs » qui, sur les réseaux, parlent plus qu’ils ne savent !
Rejoignez-nous sur les réseaux sociaux
Aucun spam – Désinscription en un clic – Vie privée respectée
