Un gang prolifique de rançongniers de données qui se fait appeler **Scattered Lapsus ShinyHunters** (SLSH) utilise un modus operandi distinctif lorsqu'il cherche à extorquer des paiements auprès des entreprises victimes : harceler, menacer et même organiser des interventions policières (swatting) contre les dirigeants et leurs familles, tout en informant les journalistes et les régulateurs de l'étendue de l'intrusion. Certaines victimes paient apparemment – peut-être autant pour contenir les données volées que pour faire cesser les attaques personnelles croissantes. Mais un expert de premier plan de SLSH prévient que toute interaction au-delà d'une réponse « Nous ne paierons pas » n'encourage que le harcèlement supplémentaire, notant que l'historique fracturé et peu fiable du groupe signifie que la seule façon de gagner est de ne pas payer.  Contrairement aux groupes d'affiliés de ransomware traditionnels, très structurés et basés en Russie, SLSH est un gang d'extorsion anglophone indiscipliné et quelque peu fluide qui semble peu intéressé par la construction d'une réputation de comportement cohérent, grâce à laquelle les victimes pourraient avoir une certaine confiance que les criminels tiendront parole s'ils sont payés. C'est l'avis d'**Allison Nixon**, directrice de la recherche au cabinet de conseil en sécurité **Unit 221B**, basé à New York. Nixon suit de près le groupe criminel et ses membres individuels alors qu'ils passent d'un canal Telegram à l'autre pour extorquer et harceler les victimes, et elle affirme que SLSH diffère des groupes de rançon de données traditionnels d'autres manières importantes qui militent contre la confiance qu'ils feront quoi que ce soit qu'ils disent – comme détruire les données volées. # Escalade des tactiques : Au-delà des fuites de données À l'instar de SLSH, de nombreux groupes de ransomware russes traditionnels ont employé des tactiques de haute pression pour forcer le paiement en échange d'une clé de déchiffrement et/ou d'une promesse de supprimer les données volées, comme la publication d'un blog de déshonorance sur le dark web avec des échantillons de données volées à côté d'un compte à rebours, ou la notification aux journalistes et aux membres du conseil d'administration de l'entreprise victime. Mais Nixon affirme que l'extorsion de SLSH va rapidement au-delà de cela – vers des menaces de violence physique contre les dirigeants et leurs familles, des attaques DDoS contre le site web de la victime, et des campagnes répétées de saturation d'e-mails. # Phishing pour l'accès initial SLSH est connu pour s'introduire dans les entreprises en harcelant les employés par téléphone, et en utilisant l'accès obtenu pour voler des données internes sensibles. Dans un article de blog du 30 janvier, le cabinet d'analyse de sécurité de **Google**, **Mandiant**, a déclaré que les attaques d'extorsion les plus récentes de SLSH découlent d'incidents survenus début à mi-janvier 2026, lorsque des membres de SLSH se sont fait passer pour du personnel informatique et ont appelé des employés d'organisations victimes ciblées, affirmant que l'entreprise mettait à jour les paramètres MFA. « L'acteur de la menace a dirigé les employés vers des sites de récolte d'informations d'identification portant la marque de la victime pour capturer leurs identifiants SSO et leurs codes MFA, puis a enregistré leur propre appareil pour MFA », explique l'article de blog. # Guerre psychologique Les victimes apprennent souvent la violation lorsque leur nom de marque est prononcé sur le nouveau groupe Telegram éphémère que SLSH utilise pour menacer, extorquer et harceler leurs proies. Selon Nixon, le harcèlement coordonné sur les canaux Telegram de SLSH fait partie d'une stratégie bien orchestrée pour submerger l'organisation victime en fabriquant une humiliation qui la pousse à payer. Nixon a déclaré que plusieurs dirigeants d'organisations ciblées ont été victimes d'attaques de « swatting », au cours desquelles SLSH a communiqué une fausse menace d'attentat à la bombe ou une situation d'otage à l'adresse de la cible dans l'espoir d'obtenir une réponse policière lourdement armée à leur domicile ou sur leur lieu de travail. « Une grande partie de ce qu'ils font aux victimes est l'aspect psychologique, comme harceler les enfants des dirigeants et menacer le conseil d'administration de l'entreprise », a déclaré Nixon à KrebsOnSecurity. « Et pendant que ces victimes reçoivent des demandes d'extorsion, elles reçoivent simultanément des contacts de médias disant : ‘Hé, avez-vous des commentaires sur les mauvaises choses que nous allons écrire sur vous ?' » # The Com : Un terreau fertile pour le chaos Dans un article de blog publié aujourd'hui, Unit 221B soutient que personne ne devrait négocier avec SLSH car le groupe a démontré sa volonté d'extorquer les victimes sur la base de promesses qu'il n'a aucune intention de tenir. Nixon souligne que tous les membres connus de SLSH sont issus de **The Com**, un raccourci pour une constellation de communautés Discord et Telegram axées sur la cybercriminalité qui servent de réseau social distribué facilitant la collaboration instantanée. Nixon a déclaré que les groupes d'extorsion basés sur The Com ont tendance à susciter des querelles et du drame entre les membres du groupe, entraînant des mensonges, des trahisons, des comportements destructeurs de crédibilité, des coups bas et de la sabotage mutuel. « Avec ce type de dysfonctionnement continu, souvent aggravé par la toxicomanie, ces acteurs de la menace ne sont souvent pas en mesure d'agir dans le but principal de mener à bien une opération de rançon réussie et stratégique », a écrit Nixon. « Ils perdent continuellement le contrôle avec des accès de colère qui mettent en péril leur stratégie et leur sécurité opérationnelle, ce qui limite sévèrement leur capacité à construire un réseau d'organisation criminelle professionnel, évolutif et sophistiqué pour des rançons continues réussies – contrairement à d'autres organisations criminelles plus expérimentées et professionnelles axées uniquement sur les ransomwares. » Les intrusions des groupes de ransomware établis se concentrent généralement sur des malwares de chiffrement/déchiffrement qui restent principalement sur la machine affectée. En revanche, selon Nixon, les rançons d'un groupe de The Com sont souvent structurées de la même manière que les schémas de sextorsion violents contre des mineurs, où les membres de The Com volent des informations préjudiciables, menacent de les publier, et « promettent » de les supprimer si la victime se conforme, sans aucune garantie ni preuve technique qu'ils tiendront parole. Elle écrit : Un élément clé des efforts de SLSH pour convaincre les victimes de payer, selon Nixon, consiste à manipuler les médias pour qu'ils fassent l'éloge de la menace posée par ce groupe. Cette approche emprunte également une page du manuel des attaques de sextorsion, dit-elle, qui encourage les prédateurs à maintenir les cibles continuellement engagées et inquiètes des conséquences de la non-conformité. « Les jours où SLSH n'avait pas de ‘victoire’ criminelle substantielle à annoncer, ils se concentraient sur l'annonce de menaces de mort et de harcèlement pour maintenir les forces de l'ordre, les journalistes et les professionnels de l'industrie de la cybercriminalité concentrés sur ce groupe », a-t-elle déclaré.  # Ciblage des chercheurs Nixon en sait quelque chose sur le fait d'être menacée par SLSH : pendant plusieurs mois, les canaux Telegram du groupe ont été remplis de menaces de violence physique contre elle, contre Yours Truly, et contre d'autres chercheurs en sécurité. Ces menaces, dit-elle, ne sont qu'une autre façon pour le groupe de générer l'attention des médias et d'obtenir un vernis de crédibilité, mais elles sont utiles comme indicateurs de compromission car les membres de SLSH ont tendance à mentionner et à dénigrer les chercheurs en sécurité, même dans leurs communications avec les victimes. « Surveillez les comportements suivants dans leurs communications avec vous ou leurs déclarations publiques », indique l'avis de Unit 221B. « Mentions abusives répétées d'Allison Nixon (ou ‘A.N’), de Unit 221B, ou de journalistes spécialisés en cybersécurité – en particulier Brian Krebs – ou de tout autre employé de cybersécurité, ou entreprise de cybersécurité. Toute menace de mort, de terrorisme ou de violence contre des employés internes, des employés de cybersécurité, des enquêteurs et des journalistes. » Unit 221B affirme que si la campagne de pression lors d'une tentative d'extorsion peut être traumatisante pour les employés, les dirigeants et leurs familles, s'engager dans des négociations prolongées avec SLSH incite le groupe à augmenter le niveau de préjudice et de risque, ce qui pourrait inclure la sécurité physique des employés et de leurs familles. « Les données compromises ne reviendront jamais à leur état initial, mais nous pouvons vous assurer que le harcèlement prendra fin », a déclaré Nixon. « Ainsi, votre décision de payer devrait être une question distincte du harcèlement. Nous pensons qu'en séparant ces questions, vous verrez objectivement que la meilleure ligne de conduite pour protéger vos intérêts, à court et à long terme, est de refuser le paiement. »