Ruslan Grumble - Fotolia
Scattered Spider : un membre présumé arrêté en Finlande
Ágé de 19 ans, il a été identifié grâce à une série de marqueurs techniques, jusqu'à l'identifiant Windows de son PC, ainsi que par ce qu'il partageait, en ligne, de ses activités.
Scattered Spider, également suivi sous les noms d'Octo Tempest, UNC3944 et 0ktapus, est avant tout un ensemble de techniques, tactiques et procédures combinant l'ingénierie sociale et l'exploitation technique pour obtenir un accès aux réseaux : leur méthode d'attaque repose sur l'obtention d'accès aux comptes des employés par des prétextes frauduleux. Derrière l'étiquette, de nombreux acteurs malveillants, plus ou moins organisés en groupes aux contours flous.
Selon le ministère américain de la Justice, la recette fonctionne plutôt bien : Scattered Spider est impliqué dans plus de 100 intrusions réseau, générant plus de 100 millions de dollars de paiements de rançon et des millions de dollars de dommages pour les victimes.
La semaine dernière, la Justice américaine a annoncé l'arrestation d'un Scattered Spider présumé : Peter Stokes. Âgé de 19 ans, ce bi-national américano-estonien a été interpelé en Finlande en avril. Il faisait l'objet d'une notice rouge d'Interpol. Il vient d'être renvoyé aux États-Unis.
Une intrusion spécifique attribuée à Peter Stokes concerne un détaillant de luxe. Entre le 12 et le 15 mai 2025, cette entreprise a subi une intrusion réseau majeure, entraînant une perturbation des opérations et l'exfiltration de données. L'attaque a débuté par des appels de vishing adressés au service d'assistance informatique de l'entreeprise. Les acteurs malveillants, prétendant être des employés, ont sollicité la réinitialisation de leurs identifiants d'authentification, y compris les mots de passe et les dispositifs d'authentification multifactorielle (MFA). Grâce à cette technique, ils ont compromis trois comptes utilisateurs, dont deux appartenaient à des administrateurs informatiques disposant de privilèges élevés.
Une fois l'accès obtenu, les acteurs ont utilisé ces comptes à privilèges pour établir un accès persistant aux plateformes du détaillant. Ils ont notamment installé un agent ngrok sur un serveur de l'entreprise, ce qui a permis de contourner les défenses réseau et d'assurer une présence non autorisée continue. En utilisant cette connexion, ils ont exfiltré au moins 77 gigaoctets de données sensibles.
Au terme de l'intrusion, les acteurs ont envoyé une note de rançon, exigeant environ 8 millions de dollars en cryptomonnaie. Bien que la victime n'ait pas payé la rançon, l'entreprise a estimé ses pertes dues à la perturbation, l'enquête et l'atténuation des menaces à environ 2 millions de dollars.
De la télémétrie à l'identification : la méthode d'enquête
L'identification de Peter Stokes résulte de la convergence de plusieurs sources de données, allant de la télémétrie logicielle à l'analyse de son empreinte numérique personnelle.
Premièrement, des références provenant de Microsoft ont été déterminantes. Des analystes de Microsoft ont identifié des informations sur la persona « spencer », un opérateur probable d'Octo Tempest. Ces analystes exploitent la télémétrie des services en ligne pour identifier des groupes de hackers en trouvant d'autres ordinateurs accédés à partir des mêmes adresses IP que l'attaquant initial.
Puis l'analyse technique des réseaux a permis de lier Stokes à l'intrusion du détaillant mentionné plus haut. Le Global Device Identifier (GDID) attribué par Windows, à l'installation, à l'appareil ayant configuré le compte ngrok a montré une activité IP commune avec les comptes personnels de Stokes (Snapchat, Facebook, Apple).
Enfin, cette corrélation technique a été renforcée par l'analyse des journaux de connexion. Les journaux RDP (Remote Desktop Protocol) du serveur ont révélé une corrélation temporelle entre les adresses IP utilisées pour accéder aux comptes personnels de Stokes et les adresses IP utilisées pour se connecter au serveur.
Dernière étape, l'analyse de son empreinte numérique personnelle a confirmé son profil. Les enregistrements de Snapchat ont montré que Stokes affichait une richesse substantielle pour son âge et parlait de ses voyages internationaux. Ces informations ont été corroborées par des dossiers de voyage du Département d'État, confirmant sa présence dans des villes comme Paris, New York et Dubaï entre 2024 et 2025.
