Selon ravenmail.io (14 août 2025), des acteurs malveillants mènent une campagne de credential phishing en détournant les Cisco Safe Links afin d’échapper au filtrage des emails et de tirer parti de la confiance des utilisateurs.

L’article explique comment l’exploitation de l’infrastructure de sécurité légitime fonctionne: les liens potentiellement suspects sont réécrits en « secure-web.cisco.com » par Cisco pour une analyse en temps réel. Des attaquants capitalisent sur la confiance de marque (« secure » + « Cisco ») et sur les contrôles centrés sur le domaine visible, créant un biais de confiance et un contournement des détections. Ils profitent aussi d’un délai de classification des nouvelles menaces pour opérer avant que les destinations ne soient signalées. La logique est similaire aux protections de Microsoft Defender et Proofpoint TAP.

Les méthodes pour obtenir de « vrais » Safe Links incluent: 1) compromettre/créer des comptes dans des organisations protégées et s’auto‑envoyer des liens malveillants pour les faire réécrire; 2) utiliser des comptes email compromis dans ces organisations (« cheval de Troie ») pour générer les liens; 3) exploiter des SaaS qui envoient via des environnements protégés par Cisco afin de récupérer les liens réécrits; 4) réutiliser des Safe Links encore actifs issus de campagnes antérieures.

Raven AI a détecté un cas réel: un email de « Document Review Request » se présentant comme un service de signature électronique (domaine suisse mentionné), lié à un fichier « 2025_Remittance_Adjustment ». L’IA contextuelle a relevé: identité d’expéditeur incohérente, structure d’URL suspecte avec paramètres encodés, patterns typiques de credential phishing, et anomalies contextuelles dans le flux métier. L’attaque misait sur l’apparence professionnelle, le leurre de domaine de confiance et une double voie d’accès (bouton + méthode alternative) pour multiplier les vecteurs.

Pourquoi des solutions traditionnelles pouvaient rater l’attaque: présentation soignée, exploitation de la confiance de marque, scénarios métiers plausibles, et strates de diversion. L’avantage de Raven AI tient à une détection contextuelle multi‑signaux (compréhension des processus métiers, reconnaissance de comportements, adaptation en temps réel) orientée vers l’intention de l’email plutôt qu’un simple contrôle de réputation. 🧠🛡️

IOC et TTPs

  • IOCs: aucun indicateur malveillant concret (hash/URL finale) n’est fourni; mention de l’infrastructure légitime « secure-web.cisco.com » (détournée), du libellé « e-Sign-Service » (domaine suisse non précisé) et de « 2025_Remittance_Adjustment ».
  • TTPs: détournement de services légitimes (link rewriting), exploitation de la confiance de marque, phishing ciblant les identifiants, utilisation de comptes compromis/créés dans des environnements protégés, génération de liens via SaaS, réemploi de liens réécrits, prétextes “document review/remittance”, URLs avec paramètres encodés, multiplication des vecteurs (bouton + méthode alternative), exploitation du délai de détection.

Il s’agit d’une analyse de menace visant à illustrer une technique d’abus de l’infrastructure de sécurité et à montrer comment une IA contextuelle peut la détecter en pratique.

🧠 TTPs et IOCs détectés

TTPs

détournement de services légitimes (link rewriting), exploitation de la confiance de marque, phishing ciblant les identifiants, utilisation de comptes compromis/créés dans des environnements protégés, génération de liens via SaaS, réemploi de liens réécrits, prétextes “document review/remittance”, URLs avec paramètres encodés, multiplication des vecteurs (bouton + méthode alternative), exploitation du délai de détection

IOCs

infrastructure légitime « secure-web.cisco.com » (détournée), libellé « e-Sign-Service » (domaine suisse non précisé), « 2025_Remittance_Adjustment »

🔗 Source originale : https://ravenmail.io/blog/phishing-with-cisco-secure-links

🖴 Archive : https://web.archive.org/web/20250820113718/https://ravenmail.io/blog/phishing-with-cisco-secure-links