Un message sec, une promesse d’argent, une cible claire : Lapsus$ remet en avant une méthode simple, obtenir des accès internes plutôt que voler d’abord des fichiers.Lapsus$ réapparaît à travers une offre de recrutement qui éclaire sa logique opérationnelle. Le Service de veille et d’enquête de ZATAZ a repéré que ce groupe dit chercher des employés de télécoms, d’éditeurs logiciels, de studios de jeux, d’entreprises d’IA, de centres d’appels et de sociétés de BPO. Il affirme payer pour des accès VPN, VDI, Citrix, AnyDesk ou tout autre point d’entrée dans un réseau interne. Dans le même mouvement, il se présente comme un acteur qui ne se définit pas par le rançongiciel, mais par l’intrusion, l’extraction et la publication.
Le recrutement d’initiés, cœur d’une stratégie d’accès
Le message est construit comme une annonce de marché clandestin. Lapsus$ écrit qu’il recrute activement des insiders chez T-Mobile, Claro, Telefonica, AT&T, Microsoft, Apple, EA, IBM, OpenAI, Google DeepMind, Anthropic, Meta AI, Nvidia, ainsi que dans les centres d’appels et les entreprises de BPO. L’offre est formulée sans détour : le groupe dit payer généreusement pour un accès VPN ou VDI, des identifiants Citrix ou AnyDesk, ou n’importe quel point d’entrée vers un système interne. Il précise même ne pas chercher d’abord des données, mais un salarié capable de lui ouvrir la porte.
Insider kesako ? – Un insider est un salarié, un prestataire ou un sous-traitant disposant d’un accès légitime à un système interne. Dans un contexte cyber, il peut être recruté, manipulé ou corrompu pour fournir des identifiants, un accès distant ou un point d’entrée discret vers le réseau visé.
Ce point est central. Dans la logique exposée ici, la donnée n’est pas l’objectif initial, elle devient la conséquence de l’accès. Tout comme le « nouveau » ShinyHunters (qui pourrait trés être la même personne derriére Lapsus$) Sur le plan cyber, cette formulation vaut presque manifeste. Elle déplace l’attention depuis le vol pur vers la compromission humaine, l’abus de confiance et la faiblesse des contrôles d’accès distants. Sur le plan renseignement, elle montre un groupe qui cherche moins à casser qu’à se brancher, en identifiant les maillons capables de réduire le coût d’une intrusion. Le salarié, le prestataire ou l’agent de support deviennent alors des capteurs involontaires, ou des facilitateurs rémunérés.
La manière dont Lapsus$ se vend participe de cette image. Le groupe affirme : « We are not a ransomware group. We breach, we extract, we publish. » (Nous ne sommes pas un groupe de rançongiciel. Nous pénétrons les systèmes, nous extrayons, nous publions.) Il ajoute qu’une partie des données est vendue pour financer son infrastructure, serveurs, miroirs, domaines, tout en soutenant ne pas être particulièrement intéressé par l’argent. La formule se veut provocatrice. Elle cherche à imposer une identité distincte, presque idéologique, tout en admettant un usage marchand des fuites. Là encore, l’enjeu est narratif autant qu’opérationnel. Revendiquer la publication plutôt que l’extorsion, c’est tenter d’occuper un espace de réputation dans l’écosystème cybercriminel.Le reste du message poursuit la mise en scène. « Billions spent on cybersecurity. We still got in. Maybe ask your CISO where the budget went. » (Des milliards ont été dépensés en cybersécurité. Nous sommes quand même entrés. Demandez peut-être à votre RSSI où est passé le budget.) L’attaque vise la gouvernance de sécurité, les budgets et la crédibilité des responsables. Elle ne démontre rien à elle seule, mais elle cherche à humilier la défense en public. Le cadre de communication est tout aussi révélateur. Lapsus$ impose l’outil de communication Session uniquement, et la cryptomonnaie Monero (XMR) exclusivement, il refuse les revendeurs et les journalistes (mais aime afficher les articles qui le mettent en valeur), puis conclut : « We reply when we want. Don’t insist. » (Nous répondons quand nous le voulons. N’insistez pas.)
Cette posture de rareté, de distance et de contrôle fabrique une image d’acteur insaisissable, presque souverain sur son tempo de communication. Le fait d’annoncer qu’il ne répond que quand il le souhaite peut aussi vouloir dire qu’il ne se connecte jamais du même endroit, via des accés qu’il s’octoie pour la communication, la mise en ligne de mences, de fichiers, Etc.
Une liste de victimes qui dessine un ciblage opportuniste
La vitrine des victimes présentée par Lapsus$ couvre des secteurs très différents, avec des volumes et des natures de données qui varient fortement. Le 29 mars 2026, VirtaHealth.com apparaît avec la mention « [400] SERVER » et la catégorie « Healthcare research ». Le 25 mars 2026, AstraZeneca Corp est affiché avec « [FULL DUMP] » et une description beaucoup plus sensible : code source, base employés, clés API, identifiants MongoDB et MySQL. Le 22 mars 2026, Axcera.io est présenté comme une « FULL BREACH » impliquant code source et configurations d’infrastructure. Le 17 février 2026, Adidas Extranet est cité pour un archive contenant source extranet et configurations.
La liste remonte ensuite vers janvier et décembre 2025. Eiffage est associé, le 28 février 2026, à un « Internal Network Dump » (Copie du réseau interne). Salesfloor, le 22 janvier 2026, à des données clients et des clés API. Dreamup, le 4 janvier 2026, à une sauvegarde complète de plateforme de 40 GB. Loozap, le 7 janvier 2026, à une base utilisateurs de 11 millions d’entrées. Lacoste, le 7 janvier 2026, à des documents internes et un CRM. L’université de Lille, le 29 décembre 2025, à des enregistrements étudiants et personnels. Le ministère français de l’Agriculture, le 28 décembre 2025, à 50 GB et à une mention d’infrastructure gouvernementale. Eni Energy, le 27 décembre 2025, à des fichiers XLSX et des dumps SQL. Enfin, OSAC Aero apparaît avec la mention « pending », donc en attente de mise en ligne.
Pris ensemble, ces éléments racontent un mode opératoire fondé sur l’opportunité et la polyvalence. Les environnements visés mêlent santé, pharmacie, énergie, enseignement supérieur, administration, luxe, retail et industrie numérique. Les objets exfiltrés, eux, ont une forte valeur opérationnelle : code source, bases employés, données clients, configurations, identifiants de bases de données, sauvegardes complètes, extranet, CRM. Ce sont des briques qui permettent de comprendre une organisation, de s’y déplacer, de la fragiliser ou d’alimenter d’autres intrusions.
Il faut cependant garder une ligne de prudence. Cette liste est celle que le groupe affiche lui-même. Elle documente une revendication, une mise en scène et une volonté d’intimidation. Elle ne vaut pas, à elle seule, vérification indépendante de chaque compromission, ni validation du périmètre exact des fuites. Mais même à ce stade déclaratif, le signal est net. Lapsus$ cherche à attirer des complicités internes, à exposer des organisations très différentes et à convertir chaque publication en message destiné aux futures cibles : vos outils d’accès distants, vos sous-traitants et vos secrets techniques peuvent devenir notre point d’entrée.
merci à ZATAZ
