IntelBroker

Activité précoce

IntelBroker, pseudonyme en ligne de Kai Logan West (né en 1999 ou 2000), a entamé ses activités de piratage en octobre 2021, en visant initialement des organisations mineures. L'acteur a attiré une attention plus large début 2023 à la suite d'une brèche du service américain de livraison d'épicerie Weee!, qui a exposé les informations personnelles de plus d'un million de clients, dont noms, numéros de téléphone, adresses e-mail et codes d'entrée d'immeuble. Avant la révélation publique de son identité, IntelBroker a été supposé par certains analystes être un Iranian Persistent Threat Group, en raison de l'ampleur et de la sophistication de ses opérations. Dans une interview accordée à The Cyber Express, IntelBroker a confirmé qu'il s'agissait d'un seul individu. Dans une interview distincte avec le podcast allemand Inside Darknet, il a affirmé être serbe et résider en Russie pour des raisons de sécurité personnelle.

BreachForums et CyberNiggers

En 2023, IntelBroker a rejoint le groupe de hackers CyberNiggers sur BreachForums, un forum cybercriminel en ligne, et a orchestré les cyberattaques les plus significatives du groupe durant son passage. En août 2024, IntelBroker est devenu propriétaire de BreachForums, position qu'il a conservée jusqu'à sa démission en janvier 2025. Le forum est resté actif après son départ.

Mode opératoire

IntelBroker a employé un large éventail de tactiques pour compromettre les systèmes cibles. Après avoir obtenu un accès initial, il cherchait généralement à instaurer un accès persistant en exécutant des commandes non autorisées et en manipulant des comptes système, parfois en obfusquant des fichiers malveillants ou en élevant les privilèges pour entraver la détection. IntelBroker cherchait généralement à vendre l'accès au réseau d'abord, avant d'extraire et de vendre les données des victimes sur des plateformes comme BreachForums.

IntelBroker a développé une souche de rançongiciel écrite en C# appelée Endurance, publiant son code source publiquement sur GitHub. Contrairement aux rançongiciels conventionnels, Endurance écrase puis supprime les fichiers ciblés au lieu de les chiffrer en vue d'une rançon. Le Department of Defense Cyber Crime Center (DC3) a confirmé qu'Endurance avait été utilisé pour compromettre plusieurs agences gouvernementales américaines. Certains analystes ont spéculé sur un lien avec le logiciel d'effacement iranien Shamoon, une affirmation qu'IntelBroker a démentie. L'activité de rançongiciel semble avoir cessé après 2023.

Attaques notables

En juin 2024, IntelBroker avait publié plus de 80 fuites et ventes distinctes de données compromises sur BreachForums, en affirmant avoir vendu des informations de plus de 400 organisations, dont la majorité basées aux États-Unis.

Parmi les incidents notables figurent une brèche en mars 2023 contre DC Health Link, qui a exposé les coordonnées et numéros de sécurité sociale de membres du Congrès des États-Unis. En avril 2024, IntelBroker et un collaborateur connu sous le pseudonyme Sanggiero ont piraté Acuity, un sous-traitant technologique du gouvernement américain, en obtenant des documents associés à l'alliance de renseignement Five Eyes et à du personnel militaire américain ; Acuity a par la suite estimé que les données fuitées étaient anciennes et non sensibles. En mai 2024, IntelBroker a annoncé le vol de 9 128 dossiers confidentiels d'Europol, une affirmation que l'agence a confirmée, tout en précisant qu'aucune donnée opérationnelle n'était incluse. Les données ont été vendues en cryptomonnaie Monero.

En juin 2024, IntelBroker a affirmé avoir obtenu du code source de plusieurs outils internes Apple et a publié ce matériel sur BreachForums ; une analyse ultérieure a établi que les fichiers étaient des plug-ins plutôt que du code source, même s'ils restaient évalués comme un risque potentiel de sécurité. Toujours en juin 2024, IntelBroker a revendiqué une brèche contre le fabricant de semi-conducteurs AMD, AMD reconnaissant l'incident tout en le qualifiant de limité en portée. Bloomberg a rapporté une chute de 2,4 % de l'action AMD après l'annonce.

En octobre 2024, IntelBroker et un collaborateur identifié comme EnergyWeaponUser auraient exfiltré un volume important de données de Cisco, dont du code source, des identifiants, des jetons API et des certificats SSL. Cisco a retiré l'accès public à ses ressources DevHub en réponse, mais a indiqué que ses systèmes internes n'avaient pas été compromis. IntelBroker a publié environ 2,9 des 4,5 téraoctets de données revendiqués en décembre 2024.

Arrestation et inculpation

Le FBI a identifié la véritable identité d'IntelBroker en remontant une adresse de portefeuille Bitcoin à un compte Ramp Network enregistré avec son permis de conduire et son e-mail personnel. IntelBroker a été arrêté en France en février 2025, avec quatre autres administrateurs de BreachForums. Son identité a été formellement révélée le 25 juin 2025, à la suite d'une mise en accusation. La United States District Court for the Southern District of New York l'a inculpé de quatre chefs liés à la cybercriminalité, avec un préjudice allégué totalisant 25 millions de dollars ; deux des chefs sont passibles d'une peine maximale de 20 ans. Les États-Unis ont demandé son extradition.