Toujours les mêmes acteurs, toujours la même histoire. Le forum de cybercriminels BreachForums, déjà fermé en mai 2024 puis en avril dernier, vient d’être à nouveau saisi par le FBI avec le concours des autorités françaises. Cette fois encore, les pirates promettent de rebondir sur le dark web.
C’est presque devenu une habitude. À peine relancé, BreachForums vient d’être saisi par le FBI. Le célèbre forum de piratage, utilisé par le groupe ShinyHunters pour héberger une plateforme d’extorsion liée aux attaques contre Salesforce, a été placé sous contrôle des autorités avant la publication des données volées. L’opération a été menée en coordination avec la police française, quelques mois seulement après une précédente saisie qui devait déjà signer la fin du « supermarché du cybercrime ».
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
BreachForums, le forum qui refusait de mourir
Depuis 2023, BreachForums rejoue le même scénario. Né en 2022 des cendres de RaidForums, le site a déjà connu cinq fermetures en un peu plus de deux ans, entre saisies du FBI, arrestations d’administrateurs et soupçons d’infiltration. Après une première disparition en 2023, suivie d’un retour sous la houlette du groupe ShinyHunters, il a de nouveau été saisi en mai 2024, l’agence américaine le décrivant alors comme un marché à ciel ouvert où s’échangeaient identifiants volés, bases de données piratées et outils de hacking.
Moins d’un an plus tard, le forum a refait surface au printemps 2025 avant d’être à nouveau fermé dans un climat de trahison interne. Un administrateur avait alors tenté de revendre la base de données complète du site pour 2 000 dollars, exposant les identités et adresses IP de milliers de membres. Un épisode qui a durablement fragilisé la confiance au sein de la communauté, au point que beaucoup y ont vu la fin d’un modèle.
Contre toute attente, BreachForums.hn a pourtant rouvert cet été, porté par le collectif ShinyHunters. Mais la renaissance a été de courte durée. En octobre, le domaine a été converti en portail d’extorsion par une alliance inédite, les Scattered Lapsus$ Hunters, qui réunit des membres de ShinyHunters, Scattered Spider et Lapsus$, dans le but d’exploiter les attaques contre Salesforce et d’autres grandes entreprises pour exiger des rançons avant de publier les données clients volées.
Avant même la première fuite, le FBI et les autorités françaises ont pris le contrôle du site sur le clearweb, redirigeant ses serveurs vers l’infrastructure gouvernementale américaine. Selon les pirates, les enquêteurs ont également saisi les sauvegardes et les bases d’escrow, ces dépôts intermédiaires utilisés pour sécuriser les transactions entre vendeurs et acheteurs, ainsi que le back-end du site, compromettant tous les historiques du forum. Le site .onion a aussi brièvement disparu avant de réapparaître, signe que les opérateurs disposent encore de relais sur le dark web.
Le chant du cygne des grands forums publics de hackers
Sur leur canal Telegram, les ShinyHunters ont reconnu que la saisie était inévitable. Dans un message signé de leur clé PGP et consulté par BleepingComputer, ils estiment que l’ère des forums publics est révolue, ces plateformes étant devenues trop surveillées pour accueillir les échanges entre cybercriminels.
Le groupe affirme également qu’aucun membre de son noyau n’a été arrêté, mais qu’il ne relancera plus BreachForums. Un constat qui s’inscrit dans un mouvement plus large, celui de la disparition progressive des grands marchés du dark web au profit de canaux plus fermés et temporaires, comme Telegram ou Signal, où les pirates s’organisent désormais à l’abri du regard des autorités.
Dans ce nouvel écosystème, le méga-collectif Scattered Lapsus$ Hunters fait figure d’exemple. On lui attribue plusieurs campagnes d’extorsion coordonnées, dont celle menée contre Google, mais également une implication dans la négociation autour du piratage de Red Hat, ainsi que la diffusion des données issues du vol massif chez Salesforce, qui a touché des entreprises comme FedEx, Disney, Toyota, McDonald’s, Adidas, Qantas ou encore IKEA. Cette capacité à fédérer plusieurs groupes aux méthodes proches reflète aussi une évolution visible dans le monde du ransomware, où des alliances comme celle de LockBit, Qilin et DragonForce redessinent les rapports de force.
Malgré la saisie du domaine principal, le groupe assure que son infrastructure d’extorsion reste pleinement opérationnelle. Le forum .onion, toujours en ligne sur le dark web, continue d’héberger les annonces et les fuites promises, comme si de rien n’était. Un constat qui témoigne de la capacité de ces collectifs à rebondir, quitte à déplacer leurs activités d’un espace à l’autre pour garder une longueur d’avance sur les autorités.
Source : BleepingComputer
