Chasseurs d'étoiles
ShinyHunters est un groupe notoire spécialisé dans le vol de données et les atteintes à la vie privée qui s'est fait connaître en 2020 en divulguant et en vendant des millions d'enregistrements d'utilisateurs provenant d'entreprises du monde entier.
L'origine de ShinyHunters
Contrairement aux groupes de ransomware, ShinyHunters ne crypte pas les systèmes. Leurs opérations consistent plutôt à pénétrer dans les réseaux, à voler des données et à les monnayer via des forums clandestins ou des canaux Telegram. Ils ont été associés à des fuites très médiatisées dans les dépôts GitHub de Microsoft, Tokopedia, Tokopedia, Bonobos et des dizaines d'organisations plus petites.
Le groupe est connu pour ses violations de grande ampleur, des bases de données contenant des dizaines de millions d'enregistrements apparaissant régulièrement sur les marchés clandestins. Le style opérationnel des ShinyHunters mêle l'extorsion financière, l'atteinte à la marque et la construction de la réputation, ce qui en faitune menace persistante pour les entreprises dans de nombreux secteurs d'activité.
En août 2025, ShinyHunters a conclu un partenariat opérationnel avec LAPSUS$ et Scattered Spiderformant ainsi le collectif d'extorsion Scattered LAPSUS$ Hunters. Dans le cadre de cette alliance, ShinyHunters fournit un pipeline de bases de données volées en masse et une infrastructure d'intrusion, complétant le modèle d'extorsion de LAPSUS$ axé sur le spectacle public et les compétences sophistiquées de Scattered Spideren matière d'ingénierie sociale et d'intrusion dans les SaaS. Cette collaboration étend l'influence de ShinyHunters au-delà des marchés souterrains, sous les projecteurs des médias grand public, ce qui leur permet d'amplifier la pression exercée par les rançongiciels et les atteintes à leur réputation, tout en accélérant la monétisation.
Pays ciblés par les ShinyHunters
Global, avec des victimes dans tous les pays :
- États-Unis
- Inde et Asie du Sud-Est
- Europe (France, Allemagne, Royaume-Uni)
- Amérique latine
Secteurs d'activité ciblés par les ShinyHunters
Les infractions commises par ShinyHunters couvrent un large spectre, généralement axé sur les industries riches en données:
- Vente au détail et commerce électronique (Tokopedia, Wattpad, Bonobos)
- Technologie et SaaS (dépôts Microsoft GitHub)
- Services financiers (diverses bases de données sur les fintechs et les banques)
- Alimentation et boissons (plateformes de livraison à domicile, applications pour les restaurants)
- Plates-formes de soins de santé et de consommation avec des ensembles de données riches en informations nominatives
Victimes connues
- GitHub: Dépôts de code source volés
- Tokopedia: Fuite de 91 millions d'enregistrements d'utilisateurs
- Wattpad: 270 millions d'enregistrements volés et divulgués
- Bonobos: 7 millions de dossiers de clients vendus en ligne
- Nombreuses plateformes de livraison de produits alimentaires et de commerce électronique dans le monde
Méthode d'attaque de ShinyHunters
Exploite des applications mal configurées, des informations d'identification insuffisantes ou acquiert un accès par l'intermédiaire de courtiers du dark web.
Utilise des exploits accessibles au public ou des erreurs de configuration dans les applications web et les bases de données.
S'appuie sur la furtivité, en se fondant souvent dans le trafic légitime ou en exploitant les faiblesses de la sécurité des cloud .
Cible GitHub, le stockage cloud et les bases de données internes ; collecte les informations d'identification des utilisateurs.
Cartes des bases de données accessibles et des référentiels internes.
Étend l'accès des applications web aux bases de données et aux référentiels de code.
Exfiltre des ensembles de données à grande échelle contenant des informations confidentielles, des informations financières et du code source.
Exécute des scripts simples d'extraction de données et des robots d'indexation automatisés pour maximiser le vol de données.
Transfère des ensembles de données volées vers des forums clandestins et des canaux Telegram.
Porte atteinte à la réputation par des fuites massives, des tentatives d'extorsion et la vente de données.
Exploite des applications mal configurées, des informations d'identification insuffisantes ou acquiert un accès par l'intermédiaire de courtiers du dark web.
Utilise des exploits accessibles au public ou des erreurs de configuration dans les applications web et les bases de données.
S'appuie sur la furtivité, en se fondant souvent dans le trafic légitime ou en exploitant les faiblesses de la sécurité des cloud .
Cible GitHub, le stockage cloud et les bases de données internes ; collecte les informations d'identification des utilisateurs.
Cartes des bases de données accessibles et des référentiels internes.
Étend l'accès des applications web aux bases de données et aux référentiels de code.
Exfiltre des ensembles de données à grande échelle contenant des informations confidentielles, des informations financières et du code source.
Exécute des scripts simples d'extraction de données et des robots d'indexation automatisés pour maximiser le vol de données.
Transfère des ensembles de données volées vers des forums clandestins et des canaux Telegram.
Porte atteinte à la réputation par des fuites massives, des tentatives d'extorsion et la vente de données.
TTPs utilisés par les ShinyHunters
Comment détecter les ShinyHunters avec Vectra AI
Foire aux questions
ShinyHunters déploie-t-il des ransomwares ?
Non. Contrairement à de nombreux groupes de cybercriminalité, ils se concentrent uniquement sur le vol et la fuite de données, et non sur le cryptage de fichiers.
Comment les ShinyHunters gagnent-ils de l'argent ?
En vendant des bases de données volées sur des forums clandestins et des canaux Telegram, ou en extorquant des entreprises.
Quel type de données volent-ils ?
Principalement les IPI, les identifiants de connexion, les données financières et les référentiels de code source.
Les violations sont-elles ciblées ou opportunistes ?
Principalement opportuniste, exploitant des systèmes vulnérables ou mal sécurisés pour obtenir un volume de données maximal.
Travaillent-ils avec des initiés ?
Contrairement à LAPSUS$, il y a moins de preuves de recrutement d'individu ; ils s'appuient davantage sur des violations techniques.
Quelles sont leurs relations avec les autres groupes ?
Ils se sont maintenant associés à LAPSUS$ et Scattered Spider sous la marque "Scattered LAPSUS$ Hunters". Ils donnent également des informations sur Qilin et DragonForce, ce qui montre qu'ils ne sont probablement plus en bons termes avec ces groupes.
Comment les organisations peuvent-elles détecter leur présence ?
En surveillant les requêtes de base de données anormales, les accès à GitHub et les événements d'exfiltration de données à grande échelle. Des outils tels que Vectra AI peuvent identifier ces comportements à un stade précoce.
Quels sont les secteurs les plus menacés ?
Toute organisation détenant de vastes ensembles de données sur les consommateurs, en particulier dans les secteurs de la vente au détail, du SaaS et des services financiers.
Dans quelle mesure ces fuites sont-elles préjudiciables ?
Un très grand nombre d'entre elles concernent des dizaines ou des centaines de millions d'enregistrements, ce qui entraîne des usurpations d'identité, des falsifications de données d'identification et des atteintes à la réputation.
Quelle est la meilleure stratégie de défense ?
Adoptez des pratiques solides en matière de sécurité des identités, surveillez les référentiels pour détecter les informations d'identification exposées et déployez des solutions de gestion des identités. Vectra AI pour détecter les exfiltrations anormales et les abus d'informations d'identification dans les environnements hybrides et en cloud .