Selon une publication de recherche d’Infoblox datée du 16 décembre 2025 et reprise par le journaliste spécialisé Brian Krebs, la navigation directe vers des domaines expirés, parkés ou typosquattés expose désormais majoritairement les internautes à des redirections malveillantes.

🚨 Constat clé: alors qu’en 2014 les redirections malveillantes sur domaines parkés étaient observées dans <5 % des cas, Infoblox relève qu’en 2025 plus de 90 % des visites mènent à du contenu illégal, arnaques, scareware/abonnements antivirus, ou malwares. Les parkings vendent les « clics » à des réseaux publicitaires qui les revendent souvent, jusqu’à un annonceur final sans lien direct avec le parking.

🎯 Ciblage sélectif: les domaines parkés paraissent bénins pour les visiteurs en VPN ou via IP non résidentielles, mais redirigent vers des charges malveillantes depuis des IP résidentielles (ex. scotaibank[.]com). Les visiteurs sont envoyés à travers des chaînes de redirection qui réalisent du profilage (géolocalisation IP, device fingerprinting, cookies) avant d’aboutir sur un domaine malveillant ou une page leurre (ex. Amazon, Alibaba) si le profil est jugé non rentable.

🧪 Infrastructures et cas observés: un acteur lié par le serveur DNS commun torresdns[.]com détient près de 3 000 domaines de typosquatting (ex. gmai[.]com), ce dernier disposant d’un serveur mail apte à recevoir des messages mal adressés (omission du « l » dans gmail[.]com), observé dans des campagnes BEC avec leurre de paiement échoué et cheval de Troie en pièce jointe. Un autre acteur contrôle domaincntrol[.]com (typo des NS de GoDaddy) pour exploiter des erreurs de configuration DNS; la redirection malveillante ne s’active que si la résolution provient des DNS Cloudflare 1.1.1.1. Même des variantes de domaines gouvernementaux sont visées: la visite de ic3[.]org (au lieu de ic3[.]gov) a redirigé un mobile vers une fausse page « Drive Subscription Expired ». Infoblox mentionne aussi une liste « defanged » de domaines typosquattés ciblant des marques majeures (Craigslist, YouTube, Google, Wikipedia, Netflix, TripAdvisor, Yahoo, eBay, Microsoft).

💸 Écosystème publicitaire: bien que les plateformes de parking affirment travailler avec de « grands annonceurs », le trafic est fréquemment revendu via des réseaux d’affiliation, diluant la responsabilité. Infoblox souligne qu’un changement de politique Google AdSense début 2025 (opt‑out par défaut des publicités sur domaines parkés) pourrait accroître le risque pour les utilisateurs provenant d’abus de recherche directe.

🔎 IOCs (extraits):

  • scotaibank[.]com
  • gmai[.]com
  • torresdns[.]com
  • domaincntrol[.]com
  • Résolveur ciblé: 1.1.1.1 (Cloudflare DNS)

🛠️ TTPs observées:

  • Typosquatting et domain parking comme vecteurs d’accès initial (IA-Entry via navigation directe)
  • Chaînes de redirection et malvertising avec revente de trafic multi-étapes
  • Profilage: géolocalisation IP, device fingerprinting, cookies pour décider de la charge
  • Ciblage par réseau: différenciation IP résidentielle vs VPN/non-résidentielle
  • Sélectivité par résolveur DNS (activation uniquement avec 1.1.1.1)
  • Exfiltration/exposition via réception d’e-mails mal adressés sur un domaine typo (gmai[.]com) et usage dans des campagnes BEC avec pièces jointes trojanisées

Type d’article: publication de recherche présentant des observations et tendances sur l’abus de domaines parkés et le typosquatting, avec focalisation sur les mécanismes de redirection et le ciblage.

🧠 TTPs et IOCs détectés

TTP

[‘Typosquatting et domain parking comme vecteurs d’accès initial (IA-Entry via navigation directe)’, ‘Chaînes de redirection et malvertising avec revente de trafic multi-étapes’, ‘Profilage: géolocalisation IP, device fingerprinting, cookies pour décider de la charge’, ‘Ciblage par réseau: différenciation IP résidentielle vs VPN/non-résidentielle’, ‘Sélectivité par résolveur DNS (activation uniquement avec 1.1.1.1)’, ‘Exfiltration/exposition via réception d’e-mails mal adressés sur un domaine typo (gmai[.]com) et usage dans des campagnes BEC avec pièces jointes trojanisées’]

IOC

[‘scotaibank[.]com’, ‘gmai[.]com’, ’torresdns[.]com’, ‘domaincntrol[.]com’, ‘1.1.1.1’]

🔗 Source originale : https://krebsonsecurity.com/2025/12/most-parked-domains-now-serving-malicious-content/