Un nouveau collectif de pirates informatiques, Scattered Spider, stoppé par les autorités britanniques. Ils étaient présents sur BreachForums.Quatre jeunes âgés de 17 à 20 ans ont été arrêtés au Royaume-Uni pour leur rôle présumé dans les cyberattaques qui ont visé Marks & Spencer, Harrods et Co-op. Ces attaques, attribuées au collectif Scattered Spider, révèlent un basculement dans la menace cybercriminelle ciblant les grandes enseignes européennes et soulignent la nécessité d’une mobilisation renforcée des acteurs institutionnels et privés.
Au printemps 2025, les réseaux informatiques de plusieurs grandes enseignes du Royaume-Uni ont été frappés par des attaques massives. Le groupe Marks & Spencer a dû suspendre l’intégralité de ses ventes en ligne et services de retrait en magasin durant près de sept semaines. L’impact financier est considérable : des pertes évaluées à plusieurs centaines de millions d’euros. La chaîne Co-op a subi des perturbations majeures, affectant ses systèmes de gestion de stocks, ses services de paiement et son activité logistique. Harrods, quant à elle, a restreint l’accès à plusieurs de ses services numériques suite à la compromission de comptes sensibles. Cette série d’incidents a mis en lumière la fragilité des chaînes d’approvisionnement et l’importance cruciale de la sécurité informatique dans le secteur de la distribution.
Arrestations du 10 juillet 2025 : profils, déroulé, chef d’inculpation
Le 10 juillet 2025, la National Crime Agency britannique a procédé à l’interpellation de quatre personnes : une femme de 20 ans, deux hommes de 19 ans (dont un ressortissant letton) et un mineur de 17 ans. Les opérations se sont déroulées à Londres, dans le Staffordshire et les West Midlands. Les suspects ont été placés en garde à vue et leurs équipements informatiques saisis pour examen approfondi par la National Cyber Crime Unit. Les chefs d’inculpation concernent le piratage informatique, l’extorsion, le blanchiment et l’appartenance à une organisation criminelle. Selon les enquêteurs, ces arrestations constituent une avancée majeure dans l’enquête, considérée comme prioritaire par les autorités britanniques.
« Aujourd’hui, cet acte marque un pas significatif », a souligné un responsable de la lutte contre la cybercriminalité.
Le mode opératoire de scattered spider
Le groupe Scattered Spider s’est fait connaître par ses méthodes innovantes et agressives d’ingénierie sociale. Ces jeunes hackers, pour la plupart anglophones, ciblent les grandes entreprises de la finance, du retail ou du divertissement à l’aide de techniques d’usurpation de l’identité et de phishing sophistiqué. Leur approche consiste souvent à contacter les services d’assistance informatique en se faisant passer pour des collaborateurs légitimes, afin d’obtenir des accès privilégiés ou de contourner l’authentification multifactorielle. Ce collectif a été relié à des attaques récentes ayant visé de grandes entreprises internationales du secteur du jeu, de la banque et du commerce. Sa capacité d’adaptation et de collaboration avec d’autres groupes, dont des opérateurs de ransomwares comme ALPHV/BlackCat, en fait l’une des entités cybercriminelles les plus surveillées d’Europe et des États-Unis.
Cette affaire confirme la montée en puissance de collectif de jeunes malveillants, dont les membres sont souvent très jeunes mais technologiquement aguerris. ZATAZ vous alertait de cas similaires en France [Le cas siebel, Etc.] ou encore en Asie. Fin juin 2025, le FBI et le ACDA alertaient sur les agissements de ces pirates informatiques. « Scattered Spider est un groupe cybercriminel qui cible les grandes entreprises et leurs services d’assistance informatique sous contrat. Les auteurs de la menace Scattered Spider, par l’intermédiaire de tiers de confiance, se livrent généralement à des vols de données à des fins d’extorsion et sont également connus pour utiliser le rançongiciel BlackCat/ALPHV en plus de leurs méthodes de traitement habituelles.«« Scattered Spider privilégie la notoriété avant l’argent », selon une analyse institutionnelle récente.
Comme certaines autres jeunes groupes, l’utilisation d’InfoStealers est un classique de leur râtelier 2.0. Parmi les outils exploités : AveMaria, Raccoon Stealer Steals et VIDAR Stealer. Des logiciels pirates stoppés, il y a peu, par les autorités. CQFD !
Portrait d’une jeunesse technique : le cas Remington Ogletree
Le cas de Remington Ogletree, jeune Américain de 19 ans, illustre le profil des membres de Scattered Spider. Selon les éléments d’enquête publiquement disponibles, il aurait orchestré des campagnes de phishing massif, détourné des clés API et dirigé des attaques de ransomware, causant plusieurs millions de dollars de pertes. Ses méthodes impliquaient l’envoi de millions de messages piégés, la compromission de comptes administrateur et le blanchiment de fonds via des plateformes en ligne. Ce jeune pirate, arrêté en 2024, symbolise une génération de cybercriminels extrêmement jeunes mais techniquement aguerris, opérant souvent en marge des structures criminelles traditionnelles.
Scattered Spider est aussi connu sous les noms de Starfraud, UNC3944, Scatter Swine et Muddled Libra. Un groupe de pirate qui ne limite pas son action à l’attaque directe de cibles stratégiques. Ses membres coopèrent régulièrement avec des collectifs spécialisés dans les ransomwares, notamment pour le chiffrement des systèmes informatiques des victimes et la négociation de rançons. Cette synergie entre groupes spécialisés augmente la portée et la complexité des attaques. Certaines opérations documentées révèlent également un partage d’outils et de bases de données de cibles, ainsi que la participation à des forums privés où s’échangent techniques et accès frauduleux. Les noms de Leonidas Varagiannis, alias War, et de Prasan Nepal, alias Trippy, tous deux âgés d’à peine 20 ans, ont fait surface dans un scandale d’envergure, il y a peu, eux mêmes membres de Scattered Spider. Les deux hommes, décrits comme les chefs du groupe 764, sont accusés d’avoir organisé la diffusion de contenus pédopornographiques en exploitant au moins huit mineurs.« Huit millions et demi de messages de phishing envoyés grâce à des outils automatisés », révèle l’enquête sur son cas.
ZATAZ avait pu croiser certains des membres sur Raid Forum ou encore BreachForums aujourd’hui fermés par les autorités.
Leur groupe, 764, est affilié à une constellation de collectifs criminels appelés The Com, et donc Scattered Spider. L’un des membres, Richard Anthony Reyna Densmore, a déjà été condamné à 30 ans de réclusion aux États-Unis en novembre 2024 pour exploitation sexuelle d’enfants.
Face à la gravité de la situation, le président de Marks & Spencer a publiquement dénoncé le manque de moyens des agences britanniques pour faire face à des attaques d’une telle ampleur. L’entreprise a sollicité l’aide du FBI américain pour gérer la crise et a plaidé devant les parlementaires pour une réforme de la législation, notamment l’obligation légale de déclaration des cyberincidents. Interessant, il a oublié de dire que si les pirates sont passés par chez lui, c’est par le manque de formation interne sur ce type de cyber attaque, non !?
merci à ZATAZ
