Saisi par les autorités américaines et françaises, BreachForums disparaît du clair-net. Scattered Spider maintient sa pression et promet de publier des données liées à Salesforce visant 39 entreprises.Un bandeau de saisie du FBI, du Department of Justice et des services français BCLCC et Junalco a remplacé la page de BreachForums alors que Scattered Spider menaçait de divulguer des données prétendument issues d’environnements Salesforce. Les opérateurs admettent la perte du domaine, nient toute arrestation et affirment que l’opération n’entrave pas leur campagne.
Une saisie transfrontalière au milieu d’une campagne d’extorsion
La vitrine breachforums.hn a basculé vers une page « domain seized », surmontée des insignes du FBI et du Department of Justice, associés à la Brigade centrale de lutte contre la cybercriminalité et à la Juridiction nationale de lutte contre la criminalité organisée. L’intervention intervient au moment où Scattered Spider et des alliés préparaient une publication de données pour accroître la pression sur 39 entreprises présentées comme clientes de Salesforce comme ZATAZ a pu vous l’expliquer début octobre. Sur Telegram, les opérateurs reconnaissent la saisie du domaine, suggèrent la compromission des serveurs dorsaux et répètent que la version oignon aurait brièvement été restaurée. Ils annoncent une date et une heure de « dump » pour créer un effet de scène, tout en dissuadant leurs suiveurs d’abaisser la garde opérationnelle.
Le choix du forum comme vitrine n’est pas anodin. BreachForums sert de scène à des lots de données et à des outils d’intrusion, et crédibilise une menace par la simple promesse d’exposition publique. L’ultimatum, calé sur 23 h 59 (ET), maximise la pression et complique les fenêtres de réponse des équipes de sécurité. Les criminels avancent des volumes colossaux, évoquant « près d’un milliard d’enregistrements ». Plusieurs de leurs comptes Telegram ont disparu. Le 10 octobre, les pirates ont diffusé quelques données, mais loin de la vague tant annoncée.
Ce théâtre de l’extorsion s’adosse à une chronologie déjà balisée par les autorités. Le FBI a diffusé une alerte décrivant une campagne active depuis octobre 2024. Le mode opératoire initial s’appuie sur l’usurpation d’identité auprès de centres de support et des tactiques de vishing et smishing pour obtenir des accès. Au fil des mois, les attaquants ont déplacé l’effort vers l’écosystème des applications connectées, contournant des barrières comme l’authentification multifacteur en exploitant des chemins OAuth et des intégrations trop permissives. L’alerte souligne l’usage d’applications connectées enregistrées et autorisées par les victimes, qui deviennent autant de conduits d’exfiltration.
ZATAZ a également suivi les signaux faibles. Dès juin 2025, le Service Veille ZATAZ a repéré dans des espaces surveillés des captures d’écrans de CRM et d’autres extraits présentés comme autant d’échantillons de futures fuites. À l’automne, l’un des textes d’extorsion met en scène Air France-KLM comme « cas d’école », en listant des volumes par tables structurées, avec des millions d’enregistrements de comptes, de contacts, de journaux de messages et de données de vols selon les pirates. L’objectif était clair : donner un vernis technique minimal, faire croire à une compromission généralisée et pousser entreprises et régulateurs à réagir sous contrainte. ZATAZ insiste sur le caractère non probant de telles listes sans artefacts vérifiables, tout en mesurant leur efficacité psychologique. Pendant ce temps, le pirate caché derrière cette opération cour toujours : en Asie ? en Afrique du Nord ? Il continue sa propagande comme je vous le montre en fin d’article.
BreachForums, hydre sous pression et opérations en France
Au-delà de l’actualité du bandeau de saisie, l’histoire de BreachForums est celle d’une hydre. Le forum avait été fermé une première fois en 2023, avec l’arrestation de son administrateur initial, Conor Fitzpatrick. Sa peine a été alourdie en 2025. Entre-temps, des acteurs comme ShinyHunters et Baphomet ont relancé la plateforme sous d’autres bannières, produisant une succession de fermetures et renaissances. En mai 2024, ZATAZ décrivait déjà une saisie assortie d’une bannière aux couleurs du FBI et du DOJ, avec les avatars d’administrateurs présumés figurés derrière des grilles, et une mention explicite de l’examen des données dorsales. Deux heures après cette opération, le Service Veille ZATAZ repérait la tentative d’un « nouveau BF » par un acteur inconnu, confirmant la vitesse de résilience de cet écosystème.
L’année 2025 marque une inflexion côté français. ZATAZ a révélé l’interpellation début juin, par la BL2C (ex-BEFTI), de quatre jeunes adultes soupçonnés d’administrer une déclinaison récente de BreachForums, avec des pseudonymes connus dans la sphère, dont ShinyHunters, Hollow, Noct et Depressed. ZATAZ rappelle qu’en février 2025 un acteur présenté comme « IntelBroker » avait déjà été arrêté, amorçant un tassement de l’activité au printemps. Le parquet de Paris a souligné l’importance de la coopération internationale et indiqué que la saisie des éléments informatiques pourrait alimenter de nombreuses enquêtes en cours. Cette séquence atteste d’une stratégie d’attrition judiciaire : frapper les têtes visibles, neutraliser la logistique et assécher la valeur réputationnelle qui permet d’attirer vendeurs et acheteurs. En novembre, un autre pirate passe devant la justice : un « homme de l’ombre » revendeur de données piratées.
La page actuelle, où l’on voit côte à côte les insignes américains et français, s’inscrit dans cette continuité. Les domaines clairs offrent des prises juridiques, les portefeuilles de paiement peuvent être gelés, et les opérateurs sont forcés de migrer vers des canaux plus fractals où la confiance se reconstruit lentement. ZATAZ a par ailleurs mis en lumière des glissements de marque et de discours, avec l’apparition de labels composites comme « Scattered Lapsus$ Hunters ». Cette agrégation d’identités vise surtout à capitaliser une peur installée, plus qu’à décrire une structure cohérente. À la clé, un bruit informationnel qui brouille les vérifications et rend difficile la lecture des flux réels de données.
L’épisode BreachForums, enfin, rappelle que la saisie d’une vitrine n’équivaut pas à l’extinction d’un marché. Elle affaiblit l’oxygène réputationnel, accompagne des opérations plus discrètes et, surtout, produit des indices forensiques exploitables. C’est sur cette matière que se jouent les prochains coups : recoupements entre infrastructures, corrélation des pseudonymes et des dépôts, suivi des relais financiers et des proxys, identification des positions faibles où une interpellation a le plus de chances de provoquer une rupture d’approvisionnement.
Pendant ce temps, le pirate caché derrière Shiny Scattered Lapsus$ Hunters a déjà relancé un nouveau site web. Son nouveau compte Telegram fustige le FBI en affichant ce qui semble être un accès à un outil de l’agence fédérale.
Le pirate revendique une « campagne » d’un an et menace de revenir en 2026
Avertissement : texte offensant, menaces explicites, incitation à des actes criminels.
Dans un message public signé, l’auteur déclare clore une « campagne » d’un an et affirment que la « meilleure option » pour les victimes de fuites de données serait de payer et de négocier. Il rejette l’étiquette « terroriste », se présente comme un « homme d’affaire » et citent « President Trump » et Elon Musk. Il indique cibler en priorité les États-Unis, le Royaume-Uni, le Canada, l’Australie et la France, avec une promesse de viser le Canada lors d’une prochaine séquence.
Le texte concentre ses attaques sur l’Australie, rappelle l’affaire Optus, exige des réformes visant l’AFP et menace d’« attaques sans fin » jusqu’à des changements de lois et de politiques. L’auteurs dénigre le FBI au sujet de la saisie de breachforums. Il insulte Mandiant/GTIG, revendique des opérations nommées UNC6040 et UNC6395, affirme avoir « verrouillé » l’environnement cloud d’un industriel (JLR) durant 6–7 semaines et menace de campagnes « plus destructrices » visant notamment Salesforce. Il remercie les entités ayant « payé » et prévient que le refus de paiement accroîtrait la pression jusqu’à l’arrêt de chaînes de production. Il appelle à attaquer « activement et sans fin » des pays qui refusent de payer, cite leurs ressources comme « illimitées » et annonce « Nous ne nous arrêterons jamais. Rendez-vous en 2026. »
Il continue d’affirmer être un groupe alors qu’il est évident que le personnage est seul, bien seul ! On retiendra de son dernier texte du 11 octobre (qui ne sera pas le dernier) de nombreux signaux rhétoriques qui ne trompent pas : grandiosité et toute-puissance affichée ; intimidation et menaces répétées. Déshumanisation, insultes, homophobie. Justification morale instrumentale du chantage. Appel à la violence contre des États et entreprises. Construction de marque criminelle et storytelling de « campagnes ». Renversement de la culpabilité vers les victimes et recherche d’attention médiatique.
merci à ZATAZ
