L’article publié par Cofense met en lumière une augmentation de 19 fois des campagnes malveillantes lancées à partir de domaines .es, faisant de ce TLD le troisième le plus utilisé pour ces attaques après .com et .ru.
Depuis janvier, 1 373 sous-domaines hébergent des pages web malveillantes sur 447 domaines de base en .es. 99 % de ces campagnes sont axées sur le phishing d’identifiants, tandis que le reste distribue des trojans d’accès à distance (RAT) comme ConnectWise RAT, Dark Crystal et XWorm.
Les campagnes sont souvent déguisées en emails professionnels, bien rédigés, imitant des marques connues comme Microsoft dans 95 % des cas, et utilisent des domaines générés aléatoirement, ce qui peut aider à repérer des URLs suspectes.
Les exemples de sous-domaines incluent :
- ag7sr[.]fjlabpkgcuo[.]es
- gymi8[.]fwpzza[.]es
- md6h60[.]hukqpeny[.]es
- Shmkd[.]jlaancyfaw[.]es
Cofense souligne que l’abus des domaines .es semble être une technique courante parmi un large groupe d’acteurs malveillants, plutôt que quelques groupes spécialisés. L’article est une analyse de menace visant à informer sur les tendances actuelles des cyberattaques.
🧠 TTP et IOC détecté
TTP
Phishing d’identifiants, Distribution de trojans d’accès à distance, Utilisation de domaines générés aléatoirement, Usurpation d’identité de marques connues
IOC
ag7sr.fjlabpkgcuo.es, gymi8.fwpzza.es, md6h60.hukqpeny.es, Shmkd.jlaancyfaw.es
🔗 Source originale : https://www.theregister.com/2025/07/05/spain_domains_phishing/
🖴 Archive : https://web.archive.org/web/20250711195749/https://www.theregister.com/2025/07/05/spain_domains_phishing/