Owen Flowers, 18 ans, et Thalha Jubair, 20 ans, ont reconnu leur culpabilité devant un tribunal du Royaume-Uni dans le cadre de l'enquête sur la cyberattaque d'août 2024 qui a paralysé Transport for London (TfL), l'autorité gestionnaire des transports publics du Grand Londres. Leur procès, qui devait durer six semaines, s'est achevé dès le premier jour après que les deux hommes ont accepté de plaider coupables.

Flowers, originaire de Walsall, et Jubair, résidant dans l'est de Londres, ont admis avoir conspiré pour commettre des actes non autorisés contre les systèmes informatiques de TfL, exposant ainsi la population à un risque de préjudice grave. Selon les actes d'accusation, Flowers a également plaidé coupable d'avoir participé à un complot visant à pirater des établissements de santé américains : SSM Health Care Corporation et Sutter Health, en septembre 2024.

Des ramifications internationales

Jubair est également recherché par les autorités américaines. En septembre 2025, un grand jury du New Jersey a dévoilé un acte d'accusation l'impliquant, ainsi que d'autres membres du groupe, dans des activités de fraude informatique, fraude électronique et blanchiment d'argent. Ces accusations portent sur 120 intrusions dans des réseaux informatiques de 47 entités américaines entre mai 2022 et septembre 2025. Les victimes auraient versé au moins 115 millions de dollars de rançons.

Les investigations ont établi que Jubair cogérait un canal Telegram très actif nommé « Star Chat », point de ralliement d'un groupe spécialisé dans l'usurpation de carte SIM (SIM-swapping). Cette équipe utilisait des attaques de hameçonnage vocal et par SMS pour dérober les identifiants des employés des principaux opérateurs mobiles américains et britanniques. Les criminels revendaient ensuite un service permettant de rediriger le numéro de téléphone d'une cible vers un appareil contrôlé par les assaillants, interceptant ainsi appels et messages, y compris les codes d'authentification multifacteur.

Les procureurs du New Jersey accusent par ailleurs Jubair d'avoir orchestré une vaste campagne de hameçonnage par SMS à l'été 2022, qui a permis de subtiliser les identifiants d'authentification unique de salariés de centaines d'entreprises. Cette opération de plusieurs semaines a conduit à des intrusions et à des vols de données dans plus de 130 organisations, parmi lesquelles LastPass, DoorDash, Mailchimp, Plex et Signal.

Un passé précoce dans la cybercriminalité

Des éléments de l'enquête révèlent que Jubair utilisait à l'âge de 15 ans le pseudonyme « Everlynn » pour vendre de fausses « demandes de données d'urgence ». Il employait des adresses e-mail compromises de policiers et de fonctionnaires pour exiger des entreprises technologiques des informations sur les abonnés (nom d'utilisateur, adresse IP, adresse e-mail), en prétextant des situations de vie ou de mort qui ne pouvaient attendre une ordonnance judiciaire.

En avril 2026, un autre membre britannique de Scattered Spider, Tyler Buchanan, 24 ans, avait plaidé coupable de conspiration en vue de commettre une fraude électronique et d'usurpation d'identité aggravée pour sa participation à la même campagne de hameçonnage par SMS de l'été 2022. Selon le gouvernement américain, Buchanan, Jubair et leurs complices ont utilisé les identifiants volés lors de cette campagne pour détourner au moins 8 millions de dollars en cryptomonnaies auprès de victimes aux États-Unis.

Un groupe aux multiples cibles

Le groupe Scattered Spider s'est fait connaître en septembre 2023 par des attaques par rançongiciel qui avaient perturbé les casinos de Las Vegas gérés par MGM Resorts et Caesars Entertainment. Flores serait, selon plusieurs sources, le membre qui avait accordé des interviews anonymes aux médias dans les jours suivant cette opération. Les enquêtes britanniques ont également lié Flowers et Jubair à des attaques contre les enseignes Marks & Spencer, Harrods et le distributeur alimentaire Co-op Group.

Les deux hommes restent en détention dans l'attente de leur peine, qui devrait être prononcée dans les semaines à venir. Leurs avocats n'ont pas encore commenté les détails des accords de plaider-coupable.