L’article de KrebsOnSecurity relate une attaque de phishing réussie contre un cadre d’une entreprise de transport, qui a permis de découvrir une vaste opération cybercriminelle nigériane connue sous le nom de SilverTerrier.
Cette attaque a entraîné une perte financière à six chiffres lorsque des criminels ont utilisé des identifiants de messagerie compromis pour envoyer de fausses factures aux clients. L’enquête a révélé que le groupe a enregistré plus de 240 domaines de phishing ces dernières années, ciblant spécifiquement les entreprises de l’aéronautique et du transport à l’échelle mondiale.
Malgré les arrestations par les forces de l’ordre, le groupe continue ses activités, contribuant aux 2,8 milliards de dollars de pertes liées aux compromissions de courriels professionnels (BEC) signalées au FBI en 2024.
Sur le plan technique, l’enquête a utilisé l’analyse des données d’enregistrement de domaines pour cartographier l’infrastructure des acteurs de la menace, à partir de l’adresse email roomservice801@gmail.com liée à plus de 240 domaines. En pivotant à travers les enregistrements WHOIS, les chercheurs ont connecté plusieurs adresses email, numéros de téléphone et alias remontant à 2012, liant ainsi l’activité au groupe SilverTerrier.
Les indicateurs techniques incluent des adresses email spécifiques, des schémas de domaines et des numéros de téléphone nigérians utilisés lors des enregistrements. Cet article est une analyse de menace détaillant les méthodes et l’impact de cette opération cybercriminelle.
🧠 TTPs et IOCs détectés
TTPs
Phishing (T1566), Compromise de courriel professionnel (BEC) (T1589.002), Enregistrement de domaine malveillant (T1583.001), Utilisation d’infrastructure partagée (T1584.002)
IOCs
roomservice801@gmail.com, plus de 240 domaines de phishing enregistrés, schémas de domaines, numéros de téléphone nigérians
🔗 Source originale : https://krebsonsecurity.com/2025/07/phishers-target-aviation-execs-to-scam-customers/