Source : Sekoia.io (Threat Detection & Research), rapport publié le 8 oct. 2025 et basé sur des observations de honeypots dès le 22 juil. 2025 ; l’article, initialement privé, décrit des campagnes de smishing diffusées via des API de routeurs cellulaires Milesight exposées.

Les honeypots ont vu des requêtes POST vers /cgi pour l’envoi d’SMS (paramètres JSON de type query_outbox/inbox), avec un ciblage marqué de la 🇧🇪 (messages en FR/NL, numéros +32, typosquatting de CSAM/eBox). Des campagnes de masse ont aussi touché 🇸🇪 (42 044 numéros) et 🇮🇹 (31 353), tandis que 🇫🇷 a été visée par des leurres variés (santé, colis, bancaire). Les premiers envois malveillants remontent à févr. 2022, suggérant une exploitation durable par plusieurs acteurs.

Côté vulnérabilités/exposition, Sekoia recense >19 000 routeurs Milesight exposés (UR5X, UR32L, UR32, UR35, UR41), dont 572 avec accès non authentifié à l’inbox/outbox. Des versions 32.2.x.x/32.3.x.x (et quelques 41.0.0.2/41.0.0.3) sont fréquemment observées. Un précédent (CVE-2023-43261) documente l’exposition de logs contenant des credentials décryptables, mais ici l’acteur a parfois pu agir sans auth. Des envois « test » vers un numéro contrôlé semblent valider la capacité d’un routeur à émettre avant campagne.

L’infrastructure relie les domaines smishing à PODAON-PL-1 (AS210895) avec enregistrements chez NameSilo et l’IP d’exploitation 212.162.155[.]38. Un autre pan de campagnes multi-pays (paiement/remboursement) s’appuie sur jnsi[.]xyz (IP 82.147.84[.]79, AS211860), incluant l’usurpation de Telia. Sur les pages, un script detect_device.js vérifie l’accès depuis mobile (POST /detect is_mobile) et renvoie HTTP 500 sinon, pour évasion des sandboxes. Un JS obfusqué (maghat_lebssouch.js) désactive clic droit et DevTools. Des artefacts font le lien avec le cluster Grooza/GroozaV2 (ressources GitHub/jsDelivr), et certaines pages loguent via Telegram « GroozaBot ».

IOCs (extraits) :

  • IPs: 212.162.155[.]38 (exploitation), 212.162.155[.]45, 212.162.155[.]202 (hébergement Podaon), 82.147.84[.]79 (AS211860)
  • Domaines (CSAM/eBox) : csam.ebox-login[.]xyz, ebox.csam-trust[.]xyz, ebox[.]c-sam[.]xyz, ebox.e-login[.]xyz, csam.e-box[.]help, my.ebox[.]help, ebox.terugbetaling[.]online, ebox.plus-billing[.]sbs, ebox[.]dlogin[.]info, csam[.]pages[.]dev, ebox[.]pages[.]dev (liste complète fournie dans l’article)
  • Autres domaines : jnsi[.]xyz, estrk[.]xyz, disney[.]plus-billing[.]sbs, assurancemaladie-renouvellement[.]info, logistique-infosms-laposte[.]fr, service-interbancaire[.]pages[.]dev
  • Artefacts/indicateurs : /static/detect_device.js, maghat_lebssouch.js, « cdn.jsdelivr.net/gh/GroozaV2 », « gist.githubusercontent.com/GroozaV2 », Telegram « GroozaBot » (utilisateur « Gro_oza »)

TTPs observés :

  • Abus d’API de routeurs Milesight via POST /cgi (query_outbox/query_inbox), parfois sans authentification; possible obtention d’identifiants via exposition de logs (CVE-2023-43261) sur certaines versions
  • Smishing à grande échelle avec typosquatting (CSAM/eBox) et URL raccourcies; spoofing d’expéditeur (ex. Telia)
  • Validation préalable des routeurs par envoi « test » vers un numéro contrôlé
  • Évasion: gating mobile-only (is_mobile → HTTP 500 desktop), anti-analyse (JS obfusqué bloquant clic droit/DevTools)
  • Infra centralisée: domaines chez NameSilo, hébergement Podaon (AS210895) et AS211860; journalisation via Telegram

Il s’agit d’une analyse de menace détaillée visant à documenter la méthode d’abus des APIs de routeurs Milesight pour du smishing, l’infrastructure associée et les indicateurs corrélés.

🧠 TTPs et IOCs détectés

TTP

[‘Abus d’API de routeurs Milesight via POST /cgi (query_outbox/query_inbox), parfois sans authentification’, ‘Obtention d’identifiants via exposition de logs (CVE-2023-43261)’, ‘Smishing à grande échelle avec typosquatting (CSAM/eBox) et URL raccourcies’, ‘Spoofing d’expéditeur (ex. Telia)’, ‘Validation préalable des routeurs par envoi « test » vers un numéro contrôlé’, ‘Évasion: gating mobile-only (is_mobile → HTTP 500 desktop), anti-analyse (JS obfusqué bloquant clic droit/DevTools)’, ‘Infrastructure centralisée: domaines chez NameSilo, hébergement Podaon (AS210895) et AS211860’, ‘Journalisation via Telegram’]

IOC

{‘ips’: [‘212.162.155.38’, ‘212.162.155.45’, ‘212.162.155.202’, ‘82.147.84.79’], ‘domains’: [‘csam.ebox-login.xyz’, ’ebox.csam-trust.xyz’, ’ebox.c-sam.xyz’, ’ebox.e-login.xyz’, ‘csam.e-box.help’, ‘my.ebox.help’, ’ebox.terugbetaling.online’, ’ebox.plus-billing.sbs’, ’ebox.dlogin.info’, ‘csam.pages.dev’, ’ebox.pages.dev’, ‘jnsi.xyz’, ’estrk.xyz’, ‘disney.plus-billing.sbs’, ‘assurancemaladie-renouvellement.info’, ’logistique-infosms-laposte.fr’, ‘service-interbancaire.pages.dev’], ‘artefacts’: [’/static/detect_device.js’, ‘maghat_lebssouch.js’, ‘cdn.jsdelivr.net/gh/GroozaV2’, ‘gist.githubusercontent.com/GroozaV2’, ‘Telegram GroozaBot (utilisateur Gro_oza)’]}

🔗 Source originale : https://blog.sekoia.io/silent-smishing-the-hidden-abuse-of-cellular-router-apis/