Les chasseurs chassés. L'entreprise de cybersécurité Resecurity a retourné la situation en piégeant le groupe ShinyHunters dans un honeypot ultra-réaliste garni de fausses données. Les hackers se sont vantés d'avoir compromis l'entreprise, alors qu'ils n'ont récupéré que de fausses informations.
Resecurity utilise des honeypots pour piéger les hackers. C'est simple : on crée des systèmes informatiques factices, remplis de données bidons, et on attend que les cybercriminels mordent à l'hameçon. Le tout fonctionne avec de l'IA pour générer des données particulièrement convaincantes.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Un piège qui a marché sur ShinyHunters
Tout a commencé le 21 novembre 2025. L'équipe de Resecurity repère quelqu'un qui fouille ses services publics. Le pirate vise un compte sans privilèges élevés, histoire de tenter une escalade. Resecurity décide alors de lui préparer une surprise : un faux système bourré de 28 000 profils d'utilisateurs et 190 000 transactions de paiement. Tout généré par IA. Ils créent même un compte appât, "Mark Kelly", qu'ils plantent sur Russian Marketplace pour attirer les attaquants.
Entre le 12 et le 24 décembre, le pirate lance plus de 188 000 requêtes pour vider le système. Il utilise des proxies résidentiels, des serveurs qui masquent sa vraie adresse IP. Resecurity les bloque petit à petit, forçant le pirate à réutiliser des adresses qu'il a déjà utilisées. Résultat : ils collectent des infos sur son infrastructure. Ensuite, Resecurity transmet tout aux autorités.
Et le piège continue. Resecurity avait aussi préparé de fausses instances Office 365, des VPN bidons et un Mattermost (un logiciel de chat) rempli de conversations factices générées par ChatGPT. Datées de 2023, histoire que ça fasse crédible. Ces systèmes sont isolés du réseau réel, donc zéro risque.
ShinyHunters se vante sur Telegram le 3 janvier d'avoir obtenu un "accès complet" à Resecurity. Ils publient même des captures d'écran : le Mattermost du Mark Kelly, des domaines qui n'existent pas comme "resecure.com", des tokens d'API inutiles, de vieux logs sans intérêt. Resecurity identifie une adresse Gmail, un numéro américain et un compte Yahoo utilisés pendant l'opération.
Cette contre-attaque montre que les honeypots modernes peuvent s'avérer particulièrement efficaces, même contre des groupes de cybercriminels connus. Cela permet de transformer une tentative de piratage en mine d'infos. Les données récoltées en disent long sur les intentions des hackers et peuvent être utiles pour renforcer les défenses.
Source : CyberSecurityNews
