Un message froid, presque administratif, et une liste de victimes qui s’allonge. Le groupe PayoutsKing déploie une stratégie d’extorsion structurée, centrée sur l’exfiltration massive de données et la pression informationnelle. Parmi les vicitmes annoncées : Peugeot motocycles et Evolu pharm.
Disparu depuis novembre 2025, le groupe PayoutsKing multiplie les intrusions et revendique au moins 39 victimes industrielles et institutionnelles en Europe et en Amérique du Nord. Selon les données publiées par les cybercriminels, près de 48,3 To d’informations auraient été volées, dont environ 1,1 To concernant des entreprises françaises. Le discours d’extorsion est constant : ne pas contacter les autorités, ne pas communiquer publiquement, ne pas faire appel à des intermédiaires. PayoutsKing affirme opérer sans modèle RaaS et revendique une organisation interne maîtrisée. Les secteurs touchés sont variés, de l’industrie lourde à la santé, en passant par l’agroalimentaire et les services IT. De retour depuis janvier avec sept nouvelles victimes.
Une doctrine d’extorsion assumée
Le message laissé par PayoutsKing aux organisations compromises est sans ambiguïté. Le groupe déconseille explicitement tout contact avec les forces de l’ordre ou des tiers extérieurs. Selon leur rhétorique, les autorités ne seraient ni intéressées par les victimes ni disposées à autoriser un paiement, ce qui conduirait mécaniquement à des fuites de données, des actions en justice et des sanctions financières. La communication interne est également ciblée : informer des partenaires ou des employés serait, selon eux, synonyme de rumeurs incontrôlées et de dégradation de la réputation.
Cette posture s’inscrit dans une logique classique de contrôle informationnel. En isolant la victime, PayoutsKing cherche à conserver l’initiative stratégique et à limiter toute assistance externe susceptible de renforcer la capacité de réponse. Le groupe va plus loin en disqualifiant les sociétés de réponse à incident, décrites comme opportunistes et inefficaces. L’assistance technique serait réservée à l’équipe informatique interne de la victime, guidée par les attaquants eux-mêmes, un renversement de rôle révélateur d’une volonté de domination opérationnelle.
PayoutsKing revendique par ailleurs la mention « v:2.10 PayoutsKing Group. Not RaaS. ». Cette précision n’est pas anodine. Elle marque une prise de distance avec les modèles de ransomware as a service et suggère une structure fermée, centralisée, maîtrisant l’ensemble de la chaîne, de l’intrusion à la négociation. Dans le champ du renseignement cybercriminel, cette affirmation vise à renforcer la crédibilité et la capacité de nuisance perçue du groupe.
Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.
Fuites de données, Veille web & dark web, alertes et priorisation des risques. |
Dédiée aux entreprises, institutions et particuliers. A PARTIR DE 0,06€ PAR JOUR |
Victimes, volumes et ciblage géographique
Au total, 39 organisations apparaissent dans les listings observés par le Service de veille de ZATAZ, dont sept encore marquées comme « Declared », signe probable de négociations en cours. Les autres sont considérées comme « Disclosed », leurs données ayant déjà été publiées ou promises à l’être. Les secteurs touchés couvrent l’industrie manufacturière, l’énergie, la logistique, la santé, l’agroalimentaire, l’architecture, l’éducation et les services numériques.
Le volume global revendiqué atteint environ 48,3 To de données exfiltrées. Ce chiffre résulte d’agrégats précis, allant de quelques gigaoctets à plus de 6,6 To pour une seule entité industrielle allemande, Kokbus (juin 2025). Les ensembles les plus lourds concernent des groupes internationaux, disposant de systèmes d’information complexes et de données sensibles à forte valeur économique ou réglementaire.
L’univers industriel des transports attire les pirates.
Données internes, secrets industiels, sont légions.
La marque Peugeot a été visée trois fois par des cyberattaques plus ou moins directes.
Janvier 2026 : Peugeot Motocycles (payoutsking)
Octobre 2025 : Stellantis (Pays-Bas – Shiny hunters)
Décembre 2024 : concessions.peugeot.fr (Cicada3301)
La France apparaît à deux reprises parmi les victimes identifiées. Peugeot Motocycles (en novembre 2025) et EvoluPharm (Juin 2025) totalisent à elles seules environ 1,1 To de données volées. Les informations décrites incluent des documents financiers, des données RH, des informations personnelles identifiables, des contrats, des données de production et des correspondances internes. Ce type de contenu dépasse le simple chantage financier. Il constitue une matière première exploitable pour l’espionnage économique, la fraude ou des opérations d’influence ciblées.
La répartition géographique montre une forte concentration en Allemagne, au Royaume-Uni et aux États-Unis, traduisant un ciblage d’économies industrialisées, fortement numérisées et soumises à des contraintes réglementaires élevées. Dans une logique de renseignement criminel, ces environnements offrent un rendement maximal : données abondantes, pression juridique forte et sensibilité accrue à la réputation.
Dernier détail, sur les 29 cibles malmenées par ces pirates, seules sept ont été prises en otage [chiffrement des données et machines] en plus de l’exfiltration de données.
|
Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes. |
|
Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber. |
