Devis de remise multi-licences
Données concernant les menaces Menace persistante avancée (APT) Groupe de cybercriminalité Jingle Thief

Groupe de cybercriminalité Jingle Thief

Par Mezo en Menace persistante avancée (APT)
Se traduisent par :

Jingle Thief est un groupe de cybercriminels à motivation financière que les chercheurs surveillent en raison de ses attaques ciblées et discrètes contre les environnements cloud utilisés par les organisations émettrices de cartes-cadeaux. Comme ces cartes peuvent être utilisées avec peu de données personnelles et sont faciles à revendre, la compromission des processus d'émission permet des encaissements rapides et difficiles à tracer. Les opérations du groupe se distinguent par de longs temps d'attente, une reconnaissance minutieuse et une préférence pour l'usurpation d'identité plutôt que pour les logiciels malveillants traditionnels – une combinaison qui complique la détection et la réponse.

Qui sont-ils et comment les chercheurs les appellent-ils ?

Les analystes de sécurité qualifient ce groupe d'activités de CL-CRI-1032. Ce groupe est classé comme « CL » et « CRI ». Les évaluations d'attribution, réalisées avec un degré de confiance modéré, relient l'activité aux groupes criminels identifiés comme Atlas Lion et Storm-0539, qui opéreraient depuis le Maroc et seraient actifs depuis au moins fin 2021. Le surnom de « Jingle Thief » reflète l'habitude du groupe de frapper pendant les périodes de fêtes, lorsque la demande de cartes-cadeaux et la pression sur les émetteurs augmentent.

Objectifs principaux et profil de la victime

Jingle Thief cible les entreprises de vente au détail et de services aux consommateurs qui gèrent l'émission de cartes-cadeaux sur des plateformes cloud. Leur objectif est simple : obtenir l'accès nécessaire à l'émission de cartes-cadeaux de grande valeur, puis les monétiser (généralement par revente sur le marché gris). Ils privilégient les accès leur permettant d'effectuer des émissions à grande échelle tout en minimisant les traces d'intrusion.

Tactiques, techniques et procédures (TTP)

Plutôt que de développer des logiciels malveillants sur mesure, Jingle Thief s'appuie sur l'ingénierie sociale et l'abus d'identité dans le cloud :

  • Vol d'identifiants : le groupe utilise des campagnes d'hameçonnage et de smishing personnalisées pour récupérer les identifiants Microsoft 365. Les messages sont hautement personnalisés après une reconnaissance préliminaire, imitant souvent les notifications informatiques ou les mises à jour de tickets pour augmenter les taux de clics et de soumission d'identifiants.
  • Usurpation d'identité et usurpation d'identité : Une fois les identifiants récupérés, les attaquants se connectent et se font passer pour des utilisateurs légitimes afin d'accéder aux applications d'émission et à la documentation sensible. Ils évitent volontairement les exploits de terminaux bruyants au profit d'un abus de comptes cloud natifs.
  • Reconnaissance et mouvement latéral : après l'accès initial, ils cartographient le domaine cloud (en explorant SharePoint, OneDrive, les guides VPN, les feuilles de calcul et les flux de travail internes utilisés pour émettre ou suivre les cartes-cadeaux), puis augmentent les privilèges et se déplacent latéralement entre les comptes et services cloud.

Stratégies de persistance et de contournement de l’AMF

Jingle Thief maintient une présence durable (de plusieurs mois à plus d'un an). Parmi les techniques de persistance observées, on compte la création de règles de transfert de boîte de réception, le déplacement immédiat des messages d'hameçonnage envoyés vers les éléments supprimés pour masquer les traces, l'enregistrement d'applications d'authentification frauduleuses et l'inscription des appareils des attaquants dans Entra ID. Ces actions permettent au groupe de survivre aux réinitialisations de mots de passe et aux révocations de jetons, et de rétablir rapidement l'accès.

Modèles opérationnels et échelle

Des chercheurs ont observé une vague coordonnée d'attaques entre avril et mai 2025, ciblant plusieurs entreprises à travers le monde. Lors d'une campagne, les attaquants auraient conservé l'accès pendant environ dix mois et compromis une soixantaine de comptes utilisateurs dans un environnement unique. Leurs opérations ciblent souvent directement les portails d'émission de cartes-cadeaux, émettant des cartes via plusieurs programmes tout en s'efforçant de minimiser la journalisation et les métadonnées forensiques.

Pourquoi la fraude aux cartes-cadeaux est attrayante

Les cartes-cadeaux attirent les fraudeurs car elles peuvent être utilisées ou revendues avec un minimum de données d'identification, et leurs processus d'émission sont souvent moins surveillés que ceux des systèmes de paiement. Lorsque les attaquants accèdent à ces processus via le cloud, ils peuvent rapidement étendre la fraude tout en laissant des traces d'audit moins évidentes aux défenseurs.

Indicateurs de compromission

  • Création inexpliquée de règles de boîte de réception ou de transfert automatique vers des adresses externes.
  • Nouveaux enregistrements d'authentificateurs ou inscriptions d'appareils inattendues dans Entra ID.
  • Augmentation soudaine de l’émission de cartes-cadeaux de grande valeur ou émission en dehors des heures normales d’ouverture.
  • Accès aux emplacements SharePoint/OneDrive qui stockent les flux de travail des cartes-cadeaux, les feuilles de calcul ou les guides VPN/d’administration informatique.
  • Plusieurs connexions à des boîtes aux lettres provenant de différentes géolocalisations ou d'adresses IP inconnues qui ne correspondent pas au comportement normal de l'utilisateur.

Contrôles défensifs recommandés

  • Appliquez une MFA résistante au phishing (clés d’accès/FIDO2) et bloquez les seconds facteurs faibles qui peuvent être enregistrés à distance.
  • Renforcez l’hygiène des identités : désactivez l’authentification héritée, exigez des politiques d’accès conditionnel et utilisez des postes de travail à accès privilégié pour l’administration.
  • Surveillez et alertez sur les règles de transfert de boîte aux lettres, les nouvelles inscriptions d'authentificateurs/appareils et les accès anormaux aux applications d'émission de cartes-cadeaux.
  • Appliquez le principe du moindre privilège aux systèmes d’émission et séparez les flux de travail d’émission de cartes-cadeaux des magasins de courrier/données d’entreprise généraux.

Évaluation de clôture

La combinaison de reconnaissance approfondie, d'utilisation malveillante des comptes, de longs temps d'attente et de techniques de contournement de l'authentification multifacteur (AMF) de Jingle Thief en fait un adversaire à haut risque pour toute organisation émettant des cartes-cadeaux. Comme le groupe exploite les fonctionnalités d'identité et de service cloud plutôt que des exploits de terminaux bruyants, la détection nécessite une surveillance vigilante des identités, des politiques d'authentification multifacteur strictes et des contrôles adaptés pour protéger les flux d'émission. Prioriser ces mesures défensives réduit les risques d'émission, d'encaissement et de disparition discrète des attaquants.

Tendance

American Express - Arnaque au blocage de la...

Hameçonnage, Courrier indésirable
Les cybercriminels exploitent souvent la notoriété des marques de confiance pour inciter des utilisateurs peu méfiants à révéler des informations sensibles. L'arnaque « American Express - Tentative de connexion bloquée » en est un parfait exemple. Ces e-mails se font passer pour des alertes de sécurité d'American Express, affirmant qu'une tentative de connexion suspecte a été bloquée et...

Le plus regardé

Chargement...