Devis de remise multi-licences
Données concernant les menaces Hameçonnage Acteur de la menace de la Triade Smishing

Acteur de la menace de la Triade Smishing

Par Mezo en Hameçonnage, Menace persistante avancée (APT)
Se traduisent par :

Depuis le 1er janvier 2024, une vaste campagne de smishing a été associée à plus de 194 000 domaines malveillants, ciblant un large éventail de services à travers le monde. Cette campagne utilise des SMS trompeurs pour inciter les utilisateurs à divulguer des informations sensibles, en se faisant souvent passer pour des contraventions ou des colis mal acheminés.

Bien que les domaines soient enregistrés auprès d'un registraire basé à Hong Kong et utilisent des serveurs de noms chinois, l'infrastructure d'attaque fonctionne principalement à partir de services cloud hébergés aux États-Unis, ce qui reflète une configuration distribuée à l'échelle mondiale.

La triade Smishing : acteurs de la menace liés à la Chine

Cette campagne est attribuée à un groupe lié à la Chine, connu sous le nom de Triade du Smishing, tristement célèbre pour inonder les téléphones mobiles de messages frauduleux. Ces campagnes se sont révélées extrêmement lucratives ces trois dernières années, générant plus d'un milliard de dollars pour leurs auteurs.

Des découvertes récentes mettent en lumière une évolution significative de leurs tactiques. Les kits d'hameçonnage ciblent de plus en plus les comptes de courtage pour dérober les identifiants bancaires et les codes d'authentification. Les attaques contre ces comptes ont quintuplé au deuxième trimestre 2025 par rapport à la même période en 2024. Une fois les comptes compromis, les attaquants manipulent les cours boursiers à l'aide de techniques de « rampage et de dump », ne laissant que des traces minimales.

L’hameçonnage en tant que service : un écosystème criminel bien huilé

La Triade du Smishing est passée d'un simple fournisseur de kits de phishing à une communauté de phishing-as-a-Service (PhaaS) très active, comprenant de multiples acteurs spécialisés :

  • Développeurs de kits de phishing – créez les outils.
  • Les courtiers en données fournissent les numéros de téléphone cibles.
  • Vendeurs de noms de domaine – enregistrez des noms de domaine jetables pour héberger des sites d'hameçonnage.
  • Les fournisseurs d'hébergement assurent la maintenance des serveurs.
  • Les spammeurs diffusent des messages frauduleux à grande échelle.
  • Scanners de disponibilité – vérifient les numéros de téléphone actifs.
  • Scanners de listes de blocage – vérifient les domaines par rapport aux listes de blocage pour la rotation.

Cet écosystème permet un déploiement rapide et une adaptation constante, ce qui rend la détection et la perturbation difficiles.

Stratégie d’enregistrement de domaine et de fidélisation

L'analyse révèle que près de 93 200 des 136 933 domaines racines (68,06 %) sont enregistrés auprès de Dominet (HK) Limited. La majorité d'entre eux utilisent le préfixe .com, bien que l'on observe une augmentation des enregistrements de domaines .gov ces derniers mois.

La campagne repose en grande partie sur un renouvellement rapide des noms de domaine :

  • 29,19 % des domaines étaient actifs pendant deux jours ou moins.
  • 71,3 % étaient actifs depuis moins d'une semaine
  • 82,6 % étaient actifs pendant deux semaines ou moins.
  • Moins de 6 % ont survécu au-delà de trois mois.

Ce brassage, combiné à 194 345 FQDN résolus en 43 494 IP uniques (principalement aux États-Unis sur Cloudflare), permet aux acteurs de la menace d'échapper continuellement à la détection.

Perspectives sur les infrastructures et portée mondiale

Les principales conclusions de l'analyse des infrastructures de la campagne sont les suivantes :

  • Le service postal américain est le service le plus usurpé, avec 28 045 noms de domaine pleinement qualifiés (FQDN).
  • Les arnaques aux services d'interurbain dominent, avec environ 90 000 noms de domaine complets (FQDN) d'hameçonnage.
  • Les domaines générant le plus de trafic sont hébergés principalement aux États-Unis, suivis par la Chine et Singapour.

Les victimes sont ciblées dans de multiples secteurs, notamment les banques, les plateformes d'échange de cryptomonnaies, les services de livraison, les forces de police, les entreprises publiques, les services de péage, les applications de covoiturage, les services d'hôtellerie, les médias sociaux et les plateformes de commerce électronique, dans des pays comme la Russie, la Pologne et la Lituanie.

Les campagnes d'usurpation d'identité gouvernementales redirigent souvent les utilisateurs vers des pages de destination prétendant que des péages ou des frais de service sont impayés, utilisant parfois des leurres ClickFix pour inciter les utilisateurs à exécuter du code malveillant déguisé en vérifications CAPTCHA.

Menace décentralisée à impact mondial

La campagne de smishing menée par la Triade témoigne d'une portée mondiale et d'une décentralisation. Les attaquants enregistrent et utilisent quotidiennement des milliers de domaines, imitant divers services pour maximiser leur impact. Les campagnes de smishing ciblant les services d'interurbain américains ne représentent qu'une facette d'une vaste entreprise criminelle, extrêmement adaptable et lucrative, qui ne cesse d'évoluer à grande échelle.

Tendance

Le plus regardé

Chargement...