Source: Microsoft Security Blog (Microsoft Threat Intelligence). Contexte: Microsoft décrit une campagne de phishing détectée le 18 août 2025, limitée et visant principalement des organisations américaines, où un fichier SVG obfusqué par IA servait de vecteur pour rediriger les victimes vers une fausse authentification.
• Le leurre démarre depuis un compte email de petite entreprise compromis, avec une tactique d’auto-adressage (expéditeur = destinataire) et cibles en BCC pour contourner des heuristiques. L’email imite une notification de partage de fichier et joint « 23mb – PDF- 6 Pages.svg », un SVG présenté comme un PDF. À l’ouverture, le SVG redirige vers une page avec un faux CAPTCHA, suivi très probablement d’une fausse page de connexion pour voler des identifiants.
• L’obfuscation du SVG est originale: un faux « Business Performance Dashboard » est dessiné mais rendu invisible (opacité à zéro), servant de leurre. Le code malveillant est « encodé » via une longue séquence de termes business (revenue, operations, risk, shares…) placés dans un attribut d’un élément
• L’analyse par Microsoft Security Copilot indique que le code est très probablement « synthétique », généré par un LLM, avec cinq indicateurs clés: (1) noms de fonctions/variables trop descriptifs avec suffixes hex aléatoires; (2) structure très modulaire et sur‑ingénierie; (3) commentaires génériques et verbeux en langage business; (4) techniques d’obfuscation appliquées de façon formulaïque; (5) usage inhabituel de la déclaration XML et d’un script enveloppé en CDATA.
• Malgré l’obfuscation, Microsoft Defender for Office 365 a bloqué la campagne via des signaux d’infrastructure, de comportement et de contexte de message: email auto-adressé avec BCC, type/nom de fichier suspect (SVG déguisé en PDF), redirection vers un domaine déjà associé au phishing, présence d’obfuscation, et comportements réseau (fingerprinting, session tracking). Des détections et chasses sont référencées dans Defender XDR et des requêtes ASIM/Sentinel, incluant le domaine malveillant.
IOC et TTPs:
- IOCs:
- Domaine: kmnl.cpfcenters.de
- Nom de fichier joint: “23mb – PDF- 6 Pages.svg”
- TTPs observés:
- Compromission d’un compte email de petite entreprise
- Email auto-adressé avec destinataires en BCC
- Leurre de partage de document, fichier SVG déguisé en PDF
- SVG scriptable avec éléments invisibles et attributs encodés
- JavaScript embarqué, transformations multi‑étapes, redirection vers page de phishing
- Faux CAPTCHA, fingerprinting navigateur, suivi de session
- Obfuscation par terminologie business et structure synthétique
Il s’agit d’une analyse de menace documentant une campagne de phishing obfusquée par IA, avec pour objectif principal de partager les tactiques observées et les indicateurs de compromission afin d’aider à la détection.
🧠 TTPs et IOCs détectés
TTP
[‘Compromission d’un compte email de petite entreprise’, ‘Email auto-adressé avec destinataires en BCC’, ‘Leurre de partage de document, fichier SVG déguisé en PDF’, ‘SVG scriptable avec éléments invisibles et attributs encodés’, ‘JavaScript embarqué, transformations multi-étapes, redirection vers page de phishing’, ‘Faux CAPTCHA, fingerprinting navigateur, suivi de session’, ‘Obfuscation par terminologie business et structure synthétique’]
IOC
{‘domaine’: ‘kmnl.cpfcenters.de’, ’nom de fichier joint’: ‘23mb – PDF- 6 Pages.svg’}
🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2025/09/24/ai-vs-ai-detecting-an-ai-obfuscated-phishing-campaign/