En 48 heures, un nouveau RAAS lié au groupe pirate 0APT a revendiqué 71 intrusions d’entreprises. Leur message de rançon durcit le tempo. ZATAZ a pu les contacter.
Le nouveau groupe de pirate 0APT apparaît comme le nom associé à une séquence de 71 infiltrations d’organisations en 48 heures. Trois entreprises ont déjà vu des données diffusées. Dans 68 cas, un marqueur “T-MINUS” affiche un compte à rebours, signe d’une mécanique de pression encore en cours. ZATAZ a échangé avec un acteur se présentant comme instigateur, qui décrit une offre de services, C2 de phishing, locker, support et négociation, avec recrutement d’affiliés et partage « maximum » des gains.
Une vitrine darkweb et un compte à rebours
Les chiffres posent une tension simple, presque mécanique. Sur la fenêtre observée, 61 entrées sont datées du 30 janvier 2026, 1 du 29 janvier, 9 du 28 janvier. 71 entreprises piégées, et la masse bascule sur la dernière journée. Trois entreprises auraient déjà vu leurs données exposées, tandis que 68 cas portent la mention « T-MINUS » accompagnée d’un compte à rebours. Cette dissociation entre intrusion, chiffrement et divulgation met en scène une pression graduée, avec une promesse implicite, « vous avez encore du temps« , et une menace explicite, « pas pour longtemps« .
L’accès au RAAS est présenté comme disponible via une adresse dans le darkweb. Un contrôle du navigateur, décrit comme une « signature« , indique une logique de filtrage, limiter l’observation, réserver le portail à des membres ou partenaires, et réduire les visites non désirées. Dans ce cadre, 0APT ressemble moins à une identité qu’à une étiquette d’opération, un nom rattaché à une activité revendiquée à très haut débit.
La typologie sectorielle, à partir des intitulés, dessine une surface d’attaque vaste. La santé apparaît avec Metro General Hospital, Silverline Hospitals, Dr. Smith Dental Clinics. La finance et l’assurance comptent Silver City Bank, Quantum Financial Corp, Summit Financial Group, Unity Insurance. L’énergie et les utilities reviennent souvent, Delta Energy Corp, Solstice Energy Grid, Solaris Renewable Energy, Radiant Solar Farms, Summit Global Energy, Blue Water Utilities. Le transport et la logistique pèsent lourd, National Rail Network, City Transit Authority, Harbor Port Authority, Global Logistics Hub, Meridian Logistics, Pacific Ocean Cargo, Rapid Courier Services, Apex Logistics Solutions, Horizon Travel Agency, BlueSky Aviation, Stellar Aviation Parts. Le secteur public est listé avec Metropolis City Municipal, avec une possible lecture élargie aux autorités de transit ou portuaires selon l’interprétation.
Le bloc IT, logiciel et cyber est également touché, FutureTech AI, Nexus IT Services, NeoTech Solutions, Obsidian Tech Labs, Eclipse Software House, TechnoSoft IT Services, Quantum Research Labs, Quantum Physics Lab. Industrie, construction et immobilier suivent, Titan Construction, Ironworks Construction, Omega Manufacturing, Sunrise Manufacturing Ltd., Prime Estate Developers, Terra Real Estate, Visionary Architects. Les médias figurent via Global News Corp, North Star Media, Prism Media Network. Défense et aérospatial sont cités avec Aegis Defense Systems, Stratos Aerospace. Ressources et agro apparaissent, Emerald Agriculture, GreenValley Agriculture, Pacific Fisheries, Cobalt Mining Corp, Diamond Deep Drilling. Retail, luxe et divertissement sont mentionnés, Urban Outfitters Ltd, Omni Retail Group, Crimson Fashion House, Sapphire Jewelry, Golden Chip Casino. Enfin, la sécurité privée est présente, IronClad Security, Vanguard Security. L’ensemble évoque un modèle compatible avec un RAAS, multiplier les cibles, industrialiser les annonces, standardiser la coercition.
Le discours de rançon, neutre en politique, agressif en business
Les pirates diffusent un texte d’alerte qui sert de script. « SYSTEM WARNING: Your network has been compromised. Critical data encrypted using AES-256. Do not panic, but do not waste time. We are the only ones who can help you. » Le message associe une promesse de maîtrise, « nous sommes les seuls« , à une injonction temporelle, « ne perdez pas de temps« , cohérente avec la logique « T-MINUS« . Ils se décrivent ensuite, « We are a politically neutral underground syndicate. We do not want to destroy your business, we only want financial compensation. Treat this as a sudden tax on your security negligence. » La formule de « taxe » vise à banaliser l’extorsion, tout en renvoyant la faute sur la victime, un renversement rhétorique classique pour faciliter la négociation.
La section « Conséquences » formalise l’alternative, « If you pay, we decrypt your files and delete stolen data. If you refuse, we publish everything on our Leak Blog for your competitors, clients, and regulators to see. » Le levier est double, restauration opérationnelle et menace réputationnelle, avec une cible implicite, les régulateurs. Dans le contexte des 71 entrées et des trois diffusions déjà constatées, la menace n’est pas théorique, elle s’inscrit dans un calendrier public.
Enfin, le recrutement est assumé et formulé comme un produit. « Are you a pentester with network access? We provide the locker, chat support, and negotiation. You bring the target. We offer maximum % split on every payment. » Derrière l’appel aux « pentesters« , le groupe cherche des profils capables d’entrer dans des réseaux, puis d’industrialiser l’extorsion avec un kit, chiffreur, support, canal de discussion, et service de négociation. En parallèle, l’interlocuteur contacté par ZATAZ résume la même logique, « Nous sommes un Raas ; Nos membres agissent« , et revendique un lien de travail antérieur avec 0apT, « Oui, nous avons déjà travaillé ensemble auparavant. » Sur les noms, ils verrouillent, « Nous ne pouvons pas révéler les noms, mais nous nous sommes améliorés. » Sur l’outillage, ils cadrent, « plusieurs outils de C2, comme un C2 de phishing et un locker. » Et sur l’objectif, ils tranchent, « Nous ne cherchons qu’à gagner de l’argent.«
