DragonForce + Scattered Spider : la galaxie cartel se structure

Les faits

Plusieurs publications de threat intelligence (Acronis TRU, Industrial Cyber, Sophos, Quorum Cyber) confirment fin avril 2026 la consolidation de DragonForce en véritable cartel ransomware. Apparu en décembre 2023, DragonForce s'est d'abord présenté comme un groupe de ransomware-as-a-service classique, puis a entamé en début 2025 une mutation vers un modèle de marque ouverte permettant à des affiliés de produire leurs propres variantes en marque blanche. Devman, Mamona et Global figurent parmi les sous-marques publiquement identifiées.

Le pivot stratégique de DragonForce s'appuie sur deux héritages techniques. D'une part, le code source de Conti, divulgué en 2022, dont des fragments alimentent encore Black Basta et désormais DragonForce. D'autre part, le constructeur LockBit fuité en septembre 2022, que DragonForce a ouvertement repris pour générer des variantes Windows et ESXi. La dernière itération de la souche DragonForce intègre l'abus de pilotes vulnérables tels que truesight.sys et rentdrv2.sys pour désactiver les EDR, et corrige des défauts de chiffrement précédemment associés au ransomware Akira.

L'élément structurellement nouveau en avril 2026 est la formalisation du partenariat avec Scattered Spider, aussi désigné Octo Tempest par Microsoft. Scattered Spider intervient en tant que courtier d'accès initial, en exploitant ses techniques signatures : phishing vocal de helpdesk, contournement MFA via SIM swap, et utilisation de credentials volés via infostealers. DragonForce déploie ensuite la charge utile et gère la phase d'extorsion. Le découpage des rôles s'apparente à une structure de cartel mexicain transposée à la cybercriminalité : Scattered Spider en cellule d'incursion, DragonForce en logistique et négociation.

Le cycle d'attaques 2025-2026 contre la grande distribution britannique illustre cette répartition. Marks & Spencer, Co-op et Harrods ont été victimes en avril-mai 2025 d'incidents revendiqués conjointement, avec arrêts pluri-jours des plates-formes e-commerce, des programmes de fidélité et de fonctions internes. Le préjudice cumulé pour M&S a été estimé à plus de 300 millions de livres par les analystes financiers, dont une part majoritaire en pertes d'exploitation et coûts de reconstruction.

Selon les données agrégées par Ransomware.live et RansomLook, plus de 200 victimes ont été listées sur le site de fuite de DragonForce depuis fin 2023, avec une accélération marquée au premier trimestre 2026. La répartition sectorielle se diversifie : retail, transport aérien, assurance, MSP et fournisseurs IT figurent désormais en tête, signe que le cartel sort progressivement de sa concentration initiale sur les industries manufacturières.

Le contexte écosystémique explique cette dynamique. Le démantèlement coordonné de LockBit (Operation Cronos, février 2024) puis la disparition d'ALPHV/BlackCat (mars 2024) ont laissé un vide sur le marché RaaS. RansomHub a brièvement comblé cette place avant de disparaître en avril 2025. La fragmentation qui en résulte favorise les structures hybrides et les alliances de cartels, avec une mobilité accrue des affiliés entre marques. DragonForce a su capter une part significative de ce flux.

Sur le plan technique, l'arsenal récent de DragonForce intègre Cobalt Strike pour le mouvement latéral, Mimikatz pour la collecte de credentials, et des binaires Living Off The Land (PsExec, BITSAdmin, AnyDesk en post-exploitation). Le chiffrement combine ChaCha20 pour les fichiers et RSA-4096 pour la clé, avec une option de chiffrement intermittent pour accélérer le déploiement sur les volumes massifs.

Source : analyses publiées par Acronis TRU, Industrial Cyber, Quorum Cyber, Sophos, BleepingComputer et Trend Micro entre le 25 et le 30 avril 2026. Statistiques agrégées via Ransomware.live et RansomLook.

Impact et exposition

Les secteurs aujourd'hui les plus exposés sont la grande distribution, les services managés (MSP/MSSP), le transport aérien et l'assurance. Le mode opératoire combiné Scattered Spider + DragonForce contourne les défenses traditionnelles : le vecteur initial est humain (helpdesk social engineering), le déplacement latéral exploite des outils légitimes, et la charge finale neutralise les EDR via pilotes signés mais vulnérables. Les organisations à grand parc helpdesk externalisé et à parc Microsoft Active Directory hybride (sur site + Entra ID) sont particulièrement vulnérables au scénario d'incursion initiale.

Pour le contexte français, la menace est crédible mais reste majoritairement anglophone dans son ciblage actuel. Les acteurs français du retail et du tourisme suivent toutefois de très près les modes opératoires démontrés sur M&S et Harrods, qui pourraient être répliqués en 2026 sur le marché continental.

Recommandations

• Hardening helpdesk : interdire la réinitialisation de mot de passe sans vérification d'identité multi-canal documentée, et auditer les appels suspects avec tracking dans le ticketing.
• Détection EDR sur les pilotes vulnérables (BYOVD) : truesight.sys, rentdrv2.sys, ainsi que la liste tenue par LOLDrivers.
• Activer la liste de blocage des pilotes vulnérables Microsoft (Vulnerable Driver Blocklist) sur Windows 11 et Windows Server 2022/2025.
• Cartographier les comptes à privilèges Active Directory utilisables pour le mouvement latéral, et appliquer Tier 0 strict avec PAM.
• Tester les playbooks de réponse incident sur un scénario hybride Scattered Spider (incursion par helpdesk) + DragonForce (déploiement ESXi).
• Sauvegardes immuables hors ligne, testées en restauration mensuelle, déconnectées du domaine.