Des chercheurs en cybersécurité ont mis en lumière deux fournisseurs de services qui fournissent aux réseaux criminels en ligne les outils et l’infrastructure nécessaires pour alimenter l’économie de l’abattage de porcs en tant que service (PBaaS).

Depuis au moins 2016, des groupes criminels sinophones ont mis en place des centres d’escroquerie à grande échelle dans toute l’Asie du Sud-Est, créant des zones économiques spéciales consacrées aux opérations d’investissement frauduleuses et d’usurpation d’identité.

Ces complexes abritent des milliers de personnes attirées par la promesse d’emplois bien rémunérés, qui, après leur avoir volé leurs passeports, sont contraintes de commettre des escroqueries sous la menace de violences. INTERPOL qualifie ces réseaux de trafic d’êtres humains et de fraude à grande échelle.

L’un des principaux moteurs des arnaques à l’escroquerie sentimentale (également appelées appâts sentimentaux) est constitué par les fournisseurs de services qui fournissent aux réseaux tous les outils nécessaires pour mener et gérer des opérations d’ingénierie sociale, ainsi que pour blanchir rapidement les fonds volés et les cryptomonnaies et transférer les gains mal acquis vers des comptes inaccessibles aux forces de l’ordre.

« Les vastes complexes frauduleux tels que la Zone économique du Triangle d’or (GTSEZ) utilisent désormais des applications et des modèles prêts à l’emploi fournis par des prestataires PBaaS », a déclaré Infoblox dans un rapport publié la semaine dernière.

« Pour aggraver encore la situation, ce qui nécessitait autrefois une expertise technique ou des investissements dans une infrastructure physique peut désormais être acheté sous forme de service clé en main offrant tout, des identités volées et des sociétés écrans aux plateformes d’escroquerie clés en main et aux applications mobiles, abaissant considérablement les barrières à l’entrée. »

Il a été constaté que ces services proposent des solutions complètes et des kits de fraude permettant de lancer facilement des opérations d’escroquerie en ligne à grande échelle. Parmi ces acteurs malveillants figure Penguin Account Store, également connu sous les noms de Heavenly Alliance et Overseas Alliance.

Penguin opère selon un modèle de cybercriminalité en tant que service (CaaS), proposant des kits de fraude, des modèles d’escroquerie et des ensembles de données (« shè gōng kù ») contenant des informations personnelles volées à des citoyens chinois. Le groupe commercialise également des données de comptes provenant de diverses plateformes populaires telles que Twitter, Tinder, YouTube, Snapchat, Facebook, Instagram, Apple Music, OpenAI ChatGPT, Spotify et Netflix, entre autres.

On pense que ces identifiants sont probablement obtenus via des journaux de vol d’informations vendus sur le dark web. Cependant, on ignore pour l’instant s’ils exploitent eux-mêmes ces logiciels de vol ou s’ils servent simplement d’intermédiaires pour d’autres acteurs malveillants. Le prix des comptes de réseaux sociaux pré-enregistrés commence à seulement 0,10 $ et augmente en fonction de la date d’enregistrement et de l’authenticité.

Penguin fournit également des cartes SIM préenregistrées en grande quantité, des comptes de réseaux sociaux volés, des routeurs 4G ou 5G, des intercepteurs IMSI et des ensembles d’images volées (également appelés jeux de caractères) utilisés pour piéger les victimes. De plus, ce groupe malveillant a développé une plateforme de gestion de la relation client sur les réseaux sociaux (SCRM AI) permettant aux opérateurs de faciliter l’interaction automatisée avec les victimes sur les réseaux sociaux.

« L’auteur de la menace fait également la promotion de BCD Pay, une plateforme de traitement des paiements. BCD Pay, qui renvoie directement à la Garantie Bochuang (博创担保自), est une solution anonyme de pair à pair (P2P) similaire à HuiOne , profondément ancrée dans le secteur des jeux d’argent illégaux en ligne. »

Une autre catégorie de services essentielle à l’économie du PBaaS est celle des plateformes de gestion de la relation client (CRM), qui centralisent le contrôle de plusieurs agents. UWORK, fournisseur d’outils de gestion de contenu et d’agents, propose des modèles prédéfinis pour la création de sites web frauduleux destinés à l’investissement. De nombreuses offres frauduleuses prétendent également s’intégrer à des plateformes de trading légitimes comme MetaTrader afin de leur conférer une apparence de confiance en affichant des informations financières en temps réel.

Ces sites web sont également dotés d’un système de vérification d’identité (KYC) qui oblige les victimes à fournir une preuve de leur identité. Les paramètres des sites sont configurés par un administrateur via un panneau dédié, lui offrant une vue d’ensemble de l’opération et la possibilité de créer des profils pour les agents, qui sont susceptibles d’interagir avec les victimes.

Légende : Panneau permettant d’ajouter un nouveau compte de victime et de lui attribuer un agent direct

« Le panneau d’administration offre tout le nécessaire pour gérer un abattoir de porcs : de nombreux modèles d’e-mails, la gestion des utilisateurs et des agents, des indicateurs de rentabilité, ainsi que l’historique des conversations et des e-mails », a déclaré Infoblox. « La gestion des agents est très complète, et certains agents peuvent même être affiliés les uns aux autres. »

Il a également été constaté que les fournisseurs de PBaaS proposaient des applications mobiles pour Android et iOS en les distribuant sous forme de fichiers APK et en inscrivant un nombre limité d’appareils Apple à un programme de test afin de contourner les contrôles des boutiques d’applications.

Certains acteurs malveillants sont allés encore plus loin, en choisissant de diffuser ces applications directement sur les plateformes de téléchargement, tout en dissimulant leur fonctionnement sous l’apparence d’applications d’actualités apparemment inoffensives. Le panneau de trading ne s’affiche que lorsqu’un utilisateur saisit un mot de passe spécifique dans la barre de recherche.

Les modèles de sites web avec hébergement inclus peuvent coûter aussi peu que 50 $. Un pack complet, comprenant un site web avec accès administrateur, un hébergement VPS, une application mobile, l’accès à une plateforme de trading, la création d’une société écran dans un paradis fiscal pour masquer leurs activités et l’enregistrement auprès de l’autorité de régulation financière locale compétente, peut coûter à partir d’environ 2 500 $.

« Des organisations criminelles asiatiques sophistiquées ont créé une économie souterraine mondiale depuis leurs refuges en Asie du Sud-Est », ont déclaré les chercheurs Maël Le Touz et John Wòjcik. « Le PBaaS offre les mécanismes nécessaires pour étendre une opération avec un minimum d’efforts et de coûts. »

Les domaines parqués comme vecteur d’escroqueries et de logiciels malveillants#

Cette révélation intervient dans le contexte d’une nouvelle étude menée par une société spécialisée dans le renseignement sur les menaces DNS, qui constate que la grande majorité des domaines « parkés » – des noms de domaine principalement expirés ou inactifs, ou des fautes d’orthographe courantes de sites web populaires (également appelées typosquatting) – sont utilisés pour rediriger les visiteurs vers des sites diffusant des arnaques et des logiciels malveillants.

Infoblox a révélé que les visiteurs accédant à un typosquattage du domaine légitime d’une institution financière depuis un réseau privé virtuel (VPN) voient une page de parking classique, mais sont redirigés vers des sites frauduleux ou malveillants s’ils se connectent depuis une adresse IP résidentielle. Ces pages de parking, quant à elles, font transiter les visiteurs par une chaîne de redirections, tout en profilant leur système grâce à la géolocalisation IP, l’empreinte digitale de l’appareil et les cookies afin de déterminer la redirection appropriée.

« Lors d’expériences à grande échelle, nous avons constaté que dans plus de 90 % des cas, les visiteurs d’un domaine parqué étaient redirigés vers du contenu illégal, des arnaques, des logiciels d’intimidation et des abonnements à des logiciels antivirus, ou encore des logiciels malveillants, car le clic était vendu par la société de stationnement de domaine à des annonceurs, qui revendaient souvent ce trafic à d’autres parties », a déclaré l’entreprise . « Aucun de ces contenus affichés n’était lié au nom de domaine visité. »

L’infrastructure malveillante Evilginx des distributeurs automatiques de billets (DAB) permet la collecte d’identifiants.#

Ces derniers mois, il est également apparu que des acteurs malveillants exploitent un outil d’hameçonnage de type « adversaire du milieu » (AitM) nommé Evilginx pour mener des attaques ciblant au moins 18 universités et établissements d’enseignement aux États-Unis depuis le 12 avril 2025, dans le but de dérober des identifiants de connexion et des cookies de session. Pas moins de 67 domaines ont été identifiés comme étant liés à cette activité.

« Les faibles taux de détection observés au sein de la communauté de la cybersécurité soulignent l’efficacité des techniques d’évasion d’Evilginx », a déclaré Infoblox . « Les versions récentes, comme Evilginx Pro, intègrent des fonctionnalités qui rendent la détection encore plus difficile. »

« Ces mesures incluent l’utilisation par défaut de certificats TLS génériques, le filtrage des bots grâce à un système d’empreintes numériques avancé comme JA4, des pages web leurres, une meilleure intégration avec les fournisseurs DNS (par exemple, Cloudflare, DigitalOcean), la prise en charge multi-domaines pour les phishlets et l’obfuscation JavaScript. À mesure qu’Evilginx évolue, identifier ses URL d’hameçonnage deviendra de plus en plus complexe. »

Un réseau de jeux de hasard frauduleux présente des signes d’opération APT#

Le mois dernier, des chercheurs de la société de sécurité Malanta ont révélé les détails d’une vaste infrastructure s’étendant sur plus de 328 000 domaines et sous-domaines, dont plus de 236 000 domaines liés aux jeux d’argent, active depuis au moins 2011 et qui serait probablement une double opération menée par un groupe parrainé par un État-nation ciblant des victimes aux États-Unis, en Europe et en Asie du Sud-Est.

Le réseau, principalement utilisé pour cibler les visiteurs de langue indonésienne, serait partie d’une opération plus vaste comprenant des milliers de domaines de jeux d’argent, des applications Android malveillantes, le détournement de domaines et de sous-domaines hébergés sur des services cloud, et une infrastructure furtive intégrée à des sites web d’entreprises et de gouvernements du monde entier, ont déclaré les chercheurs Yinon Azar, Noam Yitzhack, Tzur Leibovitz et Assaf Morag.

« Mêlant jeux de hasard illégaux, manipulation du référencement, distribution de logiciels malveillants et techniques de prise de contrôle très persistantes, cette campagne représente l’un des écosystèmes les plus vastes et les plus complexes, de langue indonésienne, bien financé et parrainé par l’État, observé à ce jour », a déclaré Malanta .

Cette activité repose sur l’exploitation systématique de WordPress, de composants PHP, de DNS orphelins et de ressources cloud expirées afin de détourner et d’utiliser à des fins malveillantes des domaines de confiance. L’infrastructure utilisée alimente également un vaste écosystème de logiciels malveillants Android hébergé sur des compartiments S3 d’Amazon Web Services (AWS), permettant la distribution de programmes d’installation APK dotés de capacités de commande et de contrôle (C2) et de vol de données.

Certains aspects de cette opération vieille de 14 ans avaient déjà été mis en lumière par Imperva et Sucuri , cette dernière l’ayant identifiée comme une campagne de spam de casino en ligne baptisée Slot Gacor, qui consistait à détourner des pages existantes sur des sites WordPress compromis en les remplaçant par des pages de spam de casino.

La longévité de cette infrastructure, combinée à son ampleur et à sa sophistication, a soulevé la possibilité qu’elle soit maintenue par une menace persistante avancée (APT) profondément ancrée dans l’écosystème de la cybercriminalité indonésienne, tout en exploitant activement les ressources virtuelles gouvernementales dans le monde entier.