Enfin une bonne nouvelle à propos de Scattered Spider, ce gang de cybercriminels actif depuis le printemps 2022 ? La presse espagnole vient d’annoncer l’arrestation d’un Anglais présenté comme l’un des leaders de ce groupe informel de pirates informatiques. Le jeune homme de 22 ans s'apprêtait à s’envoler vers l’Italie quand il a été arrêté à Palma de Majorque, dans l’archipel des Baléares.
Cette arrestation fait suite à une première interpellation en janvier 2024 en lien avec ce gang, selon le journaliste spécialisé Brian Krebs, celle d’un Américain de 19 ans en Floride. "Ces interpellations démontrent que des efforts sont faits par le FBI" contre ce groupe "fulgurant qui a acquis un certain poids en très peu de temps", salue Nicolas Arpagian, vice-président du cabinet HeadMind Partners.
Il était temps, car Scattered Spider est devenu un véritable challenge pour le bureau fédéral d’investigation américain, l’obligeant à innover dans ses méthodes. "Je ne sais pas si je pourrais répondre qu’il sera possible de les démanteler" un jour, avait même précisé au début du mois de mai l’un de ses cadres, Brett Leatherman, à The Record. Cet aveu d’impuissance du FBI, critiqué pour son manque de résultats, est à mettre en perspective avec les contours flous de cette organisation cybercriminelle.
Deux attaques retentissantes
Comparé à un gang de rue d’une grande ville, Scattered Spider rassemblerait en effet de jeunes cybercriminels originaires des Etats-Unis et du Royaume-Uni. Appelé également UNC3944 par les experts en sécurité informatique, Oktapus, Octo Tempest, Scatter Swine ou encore Muddled Libra, ces pirates se sont illustrés dans des piratages au retentissement mondial, comme ceux ayant affecté en septembre 2023 les casinos du groupe MGM et de Caesars Entertainment.
Autant de sigles variés qui masquent une structure assez lâche, un classique de la cybercriminalité. L’entreprise de cybersécurité Sekoia, qui suit l’activité du gang par ses pages d’hameçonnage, distingue par exemple deux groupes d’acteurs chez Scattered Spider, ceux concentrés sur les tâches les plus simples, comme la création de page de hameçonnage ou l’envoi de SMS, "et les cybercriminels très compétents, qui savent très bien comment détourner les systèmes informatiques", relève un analyste de l’entreprise. Comme le rappelle la filiale de Google Cloud Mandiant dans un rapport récent, le groupe cible notamment les applications SaaS et les cloud vSphere et Azure.
Mais quel que soit leur nom, ces pirates trouvent leurs racines dans une nébuleuse dénommée “The Comm”, également orthographiée avec un seul "m". Une véritable école du cybercrime, où le racisme cohabite parfois avec la misogynie, qui se coordonne sur le réseau social Discord et la messagerie instantanée Telegram. Selon le FBI, les cybercriminels qui gravitent dans ces cercles se sont notamment illustrés par des affaires de swatting, ces faux signalements de crimes destinés à provoquer une intervention policière par des unités type Raid ou GIGN.
L’ombre de Lapsus$
Ils sont également actifs dans le sim-swapping, ces détournements de lignes téléphoniques à des fins de vol, justement l’une des marques de fabrique de Scattered Spider. Le terreau de “The Comm” a ainsi permis l’éclosion de plusieurs groupes de pirates malveillants, remarque SentinelOne. L’entreprise de sécurité informatique cite par exemple le groupe Lapsus$, ces pirates qui cherchaient à la fois à casser la banque mais aussi à gagner en notoriété.
Si cette nébuleuse, devenue l’une des principales cibles cyber du FBI, inquiète autant, c’est parce que ces cybercriminels ont réussi à jeter un pont avec les groupes spécialisés dans le rançongiciel comme ALPHV/BlackCat. Ce genre de groupe criminel travaille d’habitude "quasiment exclusivement avec des acteurs malveillants russophones", rappelle l’analyste de Sekoia.
Alliance lucrative
Cette "alliance un peu étrange", selon ses termes, s’est pourtant révélée visiblement très lucrative. Scattered Spider y obtient un moyen de pression supplémentaire sur ses victimes avec le déploiement d’un rançongiciel, au-delà de l’exfiltration de données. Tandis que le gang à l’origine du programme malveillant y gagne lui davantage de cibles juteuses, localisées principalement en Amérique du Nord.
Si Sekoia a repéré des pages de phishing visant des entreprises françaises des télécoms, le parquet de Paris n’a pas d’enquête en cours dans son portefeuille contre ces cybercriminels. Dans une infographie, l’entreprise Crowdstrike avait signalé des victimes dans l’Hexagone, mais sans donner plus de précisions.
Quoi qu'il en soit, leur mode opératoire est bien renseigné aujourd’hui. "Ils savent exactement ce qu’ils veulent cibler dans les entreprises visées, comme des administrateur ou des ingénieurs système", remarque l’analyste de Sekoia. Après des campagnes d'hameçonnage tournant par exemple autour de l’annulation de congés ou d’une réunion, qui permettent un premier accès, les cybercriminels basculent ensuite vers le sim-swapping, pour remettre à jour un mot de passe ou le jeton d’authentification.
"Ils sont aussi des exploiteurs actifs de vulnérabilités, après avoir au préalable documenté les failles des grandes plateformes", relève également Nicolas Arpagian. Autant de techniques malveillantes qui leur ont permis de causer de véritables désastres financiers. L’attaque informatique contre MGM a coûté environ 100 millions de dollars à l’entreprise, tandis que celle contre Caesar s’est finalement soldée par le paiement d’une rançon de 15 millions de dollars. De lourdes additions qui pourraient toutefois se retourner désormais contre le jeune homme arrêté en Espagne. Selon la police, le suspect a ainsi vu passer sur ses comptes cryptos l’équivalent de 27 millions de dollars.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
