Source : Meta — Adversarial Threat Report Q2/Q3 2025.

Meta restructure son rapport (désormais semestriel) et le centre sur quatre piliers de défense (défenses de plateforme, autonomisation des utilisateurs, disruption/dissuasion, coopération intersectorielle). Le document couvre trois axes majeurs : Fraud & Scams, Coordinated Inauthentic Behavior (CIB) et menaces adverses liées à l’IA, avec études de cas, TTPs et partage d’indicateurs via GitHub.

• Fraude et scams (Fraud Attack Chain) 🧵

  • Modèle en 5 phases : Build Infrastructure, Prepare Digital Assets, Engage, Execute, Clean Up (avec points d’intervention distincts pour plateformes, télécoms, hébergeurs, banques et forces de l’ordre).
  • Nouvelles protections : détection avancée de scams dans Messenger, avertissements de partage d’écran WhatsApp, reconnaissance faciale anti-impersonation (≈500 000 personnalités protégées, -22% de signalements d’annonces « celeb-bait » au S1 2025).
  • Disruption/coopération : poursuites judiciaires, soutien aux forces de l’ordre (ex. DOJ Scam Center Strike Force, arrestations par la police de Singapour), FIRE (échanges bilatéraux avec le secteur financier), GSE/GASA (échanges multi-acteurs), échanges bilatéraux (Microsoft/Google) contre compromission de comptes.
  • Volume d’application des règles : 134 M de contenus publicitaires retirés (fraude/escroqueries) sur Facebook/Instagram (au 10/2025).

• Criminal Scam Syndicates (Étude de cas) 🚨

  • Démantèlement de >6 400 comptes/Pages (01–10/2025) d’un réseau originaire du Cambodge pratiquant des arnaques de « loss recovery » via usurpation d’agences gouvernementales/forces de l’ordre (US, Australie, Indonésie, Philippines, Thaïlande, Vietnam) ; demande de « frais » pour une récupération fictive de fonds.
  • Échelle des perturbations : ≈12 M de comptes liés à des « scam centers » détectés et perturbés au S1 2025 (Facebook, Instagram, WhatsApp).
  • Tendances : extension hors Asie du Sud-Est (Afrique, Amérique latine), usage croissant d’IA et deepfakes.

• CIB (Coordinated Inauthentic Behavior) 🕸️

  • Mise à jour d’attribution : Endless Mayfly rattaché à l’IUVM (groupe de propagande iranien sanctionné). TTPs : typosquatting et sites médias « bespoke », impersonation de journalistes/étudiants, infrastructure récurrente (petit hébergeur iranien, migration coordonnée d’IPs début 2024), empreintes WordPress (tags analytics, plugins, footer).
    • Exemples de domaines: alettehad[.]net (vs alittihad[.]ae), 7sabah[.]tr[.]com, Amerikagozlemi[.]com.
  • Russie en Afrique subsaharienne : bascule vers l’emploi d’opérateurs locaux (freelancers), souvent authentiques et possiblement non informés du commanditaire, pour opérer des Pages « médias » et des pubs politiques.
    • Cas 1 : 67 comptes / 70 Pages / 2 Groupes retirés, ~621 400 abonnés de Pages, ~107 300 $ d’ads ; cibles multiples en SSA (Mali, Burkina Faso, Gabon, Nigeria, Afrique du Sud, Sénégal, Angola, Bénin) ; obfuscation texte (« 4ng0la », « uk_ra_ine », « fr@nce »).
    • Cas 2 (lié RT) : 10 comptes FB / 2 Pages / 9 comptes IG ; marques « Allô Afrique » et « Derniere Minute », contenus pro-Russie/Ukraine, opérés par un freelancer Cameroun.
  • Autres opérations :
    • Russie → Moldavie (soutien Moldava Mare, écosystème médias factices ; 5 comptes, 2 Pages, 3 Groupes).
    • Biélorussie/Russie → Pologne (immigration, UE, Ukraine ; 4 comptes, 12 Pages, 21 IG ; pubs ~1 800 $ ; amplification d’un hack-and-leak ciblé).
    • Pologne (domestique) (anti-gouvernement actuel, pro-PiS ; 55 comptes, 36 Pages, 23 Groupes, 1 IG).
    • Inde (domestique) (fort usage de génération IA pour personas, images, commentaires ; 59 comptes, 11 Pages, 152 IG ; ~3 600 $ d’ads).
    • Moldavie (domestique, Gagauzia) (soutien « Heart of Moldova », « Voice of Gagauzia » ; 15 comptes, 6 Pages, 7 Groupes, 4 IG ; ~300 $ d’ads).

• Menaces adverses à l’ère de l’IA et défenses IA 🧠🛡️

  • Usage offensif de l’IA par les acteurs : personas/medias générés, traduction/amélioration linguistique, deepfakes, scams (jobs/romance), tentative de data poisoning (ex. réseau « Portal Kombat ») et diversification multi-modèles.
  • Défenses IA à l’échelle : intégration d’IA dans l’intégrité (DEC contre faux comptes ; reconnaissance faciale anti-impersonation), la sécurité (classification documents sensibles — outil open source, détection/phishing, patching/fuzzing, priorisation d’alertes), et l’écosystème (Llama Defenders, CyberSOCEval, AutoPatchBench).
  • Sécurisation des modèles : Llama Guard, Llama Firewall (intégrant Prompt Guard, Code Shield, Alignment Check), SecAlign (résistance au prompt injection), Rule of Two for AI Agents (A/B/C), red teaming continu et automatisé (GOAT).

IOCs et TTPs extraits 🔎

  • IOCs (exemples tirés du texte) :
    • Domaines Endless Mayfly/IUVM : alettehad[.]net, 7sabah[.]tr[.]com, Amerikagozlemi[.]com (typosquatting/outlets ciblés).
  • TTPs clés :
    • Typosquatting et création de faux médias multi-plateformes.
    • Impersonation (journalistes, forces de l’ordre/gouvernements, célébrités) et deepfakes.
    • Freelancers locaux (SSA) opérant des Pages et publicités politiques non déclarées, avec obfuscation de mots-clés (ex. « 4ng0la », « uk_ra_ine », « fr@nce »).
    • Migration d’infrastructure coordonnée (IPs/hébergeurs), empreintes WordPress (tags analytics, plugins, footer) réutilisées.
    • Data poisoning visé via sites d’agrégation (ex. « Portal Kombat ») ; prompt injection comme vecteur IA.

Conclusion

  • Type : rapport d’analyse de menace semestriel visant à informer la communauté des défenseurs, partager des indicateurs et décrire les contre-mesures, tendances et études de cas sur les scams, CIB et menaces liées à l’IA.

🧠 TTPs et IOCs détectés

TTP

[‘Typosquatting’, ‘Création de faux médias multi-plateformes’, “Impersonation (journalistes, forces de l’ordre/gouvernements, célébrités)”, ‘Utilisation de deepfakes’, ‘Emploi de freelancers locaux pour opérer des Pages et publicités politiques non déclarées’, ‘Obfuscation de mots-clés’, “Migration d’infrastructure coordonnée (IPs/hébergeurs)”, “Réutilisation d’empreintes WordPress (tags analytics, plugins, footer)”, “Data poisoning via sites d’agrégation”, ‘Prompt injection comme vecteur IA’]

IOC

[‘alettehad[.]net’, ‘7sabah[.]tr[.]com’, ‘Amerikagozlemi[.]com’]

🔗 Source originale : https://transparency.meta.com/metasecurity/threat-reporting