Le FBI a saisi un domaine BreachForums utilisé par le groupe ShinyHunters comme site d’extorsion de fuites de données pour les attaques généralisées de Salesforce, l’acteur menaçant déclarant que les forces de l’ordre avaient également volé des sauvegardes de bases de données pour le tristement célèbre forum de piratage.
Le domaine, Breachforums.hn, était auparavant utilisé pour relancer le forum de piratage cet été, mais le site a rapidement été mis hors ligne à nouveau après l’arrestation de certains de ses opérateurs présumés.
En octobre, le domaine a été converti en un site de fuite de données Salesforce par Scattered Lapsus Hunters Hunters, un gang prétendant être composé de membres liés aux groupes d’extorsion Shiny Hunters, Scattered Spider et Lapsus$, pour extorquer des entreprises touchées par les attaques de vol de données Salesforce.
Mardi, à la fois le clearnet breachforums.hn le site de fuite de données et son homologue Tor se sont déconnectés. Alors que le site Tor a été rapidement restauré, le domaine breachforums est resté inaccessible, ses domaines étant passés aux serveurs de noms Cloudflare précédemment utilisés pour les domaines saisis par le gouvernement américain.
La nuit dernière, le FBI a terminé l’action, ajoutant une bannière de saisie sur le site et basculant les serveurs de noms du domaine vers ns1.fbi.seized.gov et ns2.fbi.seized.gov.
Selon le message de saisie, les autorités chargées de l’application de la loi aux États-Unis et en France ont collaboré pour prendre le contrôle de l’infrastructure Web de BreachForums avant que le pirate informatique Scattered Lapsus Hunters Hunters ne commence à divulguer les données des violations de Salesforce.
Cependant, le site Web sombre de Tor étant toujours accessible, les auteurs de la menace affirment qu’ils commenceront à divulguer des données Salesforce ce soir à 23h59 HNE pour les entreprises qui ne paient pas de rançon.
Sauvegardes depuis 2023 sous contrôle du FBI
En plus de supprimer le site de fuite de données, ShinyHunters a confirmé que les forces de l’ordre avaient eu accès à des bases de données archivées pour les incarnations précédentes du forum de piratage BreachForums.
Dans un message Telegram confirmé par Breachtrace comme étant signé avec la clé PGP de ShinyHunters, l’acteur menaçant a déclaré que la saisie était inévitable et a ajouté que « l’ère des forums est révolue. »
D’après l’analyse menée après l’action des forces de l’ordre, ShinyHunters a conclu que toutes les sauvegardes de bases de données BreachForums depuis 2023 ont été compromises, ainsi que toutes les bases de données séquestres depuis le dernier redémarrage.
Le gang a également déclaré que les serveurs principaux avaient été saisis. Cependant, le site de fuite de données du gang sur le dark Web est toujours en ligne.
L’équipe ShinyHunters a déclaré que personne dans l’équipe d’administration principale n’avait été arrêté, mais qu’elle ne lancerait pas d’autres forums de rupture, notant que de tels sites devraient désormais être considérés comme des pots de miel.
Selon le message de l’acteur de la menace, après le retrait de RaidForum, la même équipe principale a planifié plusieurs redémarrages du forum, en utilisant des administrateurs comme pompompurin comme fronts.
Les cybercriminels ont souligné que la saisie n’affectait pas leur campagne Salesforce et que la fuite de données était toujours prévue aujourd’hui à 23h59 HNE.
Le site de fuite de données du gang sur le dark Web montre une longue liste d’entreprises touchées par la campagne Salesforce, parmi lesquelles FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald’s, Walgreens, Instacart, Cartier, Adidas, Saké Cinquième Avenue, Air France et KLM, Transunion, HBO MAX, UPS, Chanel et IKEA.
Selon les pirates, ils ont volé plus d’un milliard d’enregistrements contenant des informations sur les clients.
La relance la plus récente des BreachForums sous sa forme classique a été annoncée par ShinyHunters en juillet 2025, quelques jours après que les autorités policières françaises ont arrêté quatre administrateurs de redémarrages précédents, y compris les personnes portant les noms d’utilisateur ShinyHunters, Hollow, Noct et Depressed.
Au même moment, les autorités américaines ont annoncé des accusations contre Kai West, alias « IntelBroker », un membre éminent de l’écosystème de la cybercriminalité BreachForums.
À la mi-août, BreachForums s’est déconnecté et ShinyHunters a publié un message signé PGP indiquant que l’infrastructure du forum avait été saisie par l’unité française BL2C et le FBI, avertissant qu’il n’y aurait plus de redémarrage.