Source: Sygnia (blog) — Sygnia publie une enquête en direct sur un réseau mondial d’« escroqueries à la récupération » qui usurpe l’identité de cabinets d’avocats et de juristes, s’appuyant sur des sites web clonés, une infrastructure distribuée et des canaux de communication hors-site pour re‑cibler des victimes de fraudes antérieures. Le volume de ce type d’escroquerie est présenté comme en forte hausse, porté par l’industrialisation (génération de contenus assistée par IA, outils de deepfake, clonage de sites).

• Portée et cibles: l’enquête relie plus de 150 domaines interconnectés, majoritairement usurpant des cabinets US et UK, avec des signes d’activité au Japon et en Roumanie. Les sites imitent noms, logos et profils d’avocats et se positionnent comme services juridiques/asset recovery pour aider des personnes déjà victimes de fraudes.

• Mode opératoire: pages hautement crédibles poussant vers des contacts WhatsApp/téléphone contrôlés par les opérateurs; dès le premier échange, la conversation bascule hors-site (WhatsApp/appels), via messages scriptés, collecte d’informations sur la fraude initiale et promesse de paiement « après récupération ». Le flux vise la re‑victimisation (extraction d’infos et d’argent supplémentaires).

• Evasion et durabilité: infrastructure conçue pour éviter les corrélations et les démontages unitaires: certificats TLS par domaine, hébergement/ASNs dispersés (nombreux sites derrière Cloudflare), identifiants Analytics/GTM isolés, registrars fragmentés avec quelques regroupements partiels. Au niveau contenu: mêmes gabarits mais variantes d’images/texte, localisation multilingue (chinois, portugais, roumain) et réutilisation de WordPress 6.8.3, rendant les recherches d’objets/termes moins efficaces.

• Continuité historique et re‑ciblage: recoupements entre télécommunications et anciens scams suggèrent la réutilisation d’infrastructure sur plusieurs verticales. Ex. 1: le numéro +354-42-12434 apparaît de 2017 à 2025 dans un faux site d’enchères véhicules (stymrepo.com, adresse à Reykjavik), un projet crypto (vortexcoin.one) puis des sites de récupération d’actifs liés à l’enquête. Ex. 2: le numéro +1-347-871-7726 est vu en 2020 dans un e‑commerce COVID (2daytoiletpaper.com), puis en 2025 sur des sites de recovery (ktopelyourbiz.com, fairmlayergal.com, mbixaursmn.com) et d’autres arnaques (cryptodou.com, ulvinashiping.com, topbodybysndex.com).

• Enjeux pour les organisations: l’activité est persistante, distribuée et résiliente aux retraits de domaines isolés; elle nécessite une vision par campagne (corrélation multi‑indices: domaines, contenus, identités usurpées, télécoms) et une coordination avec les forces de l’ordre pour perturber opérateurs, infrastructures et flux financiers. L’article est une analyse de menace visant à documenter l’ampleur et la méthode d’un réseau d’usurpation légal orienté « recovery » et à sensibiliser les secteurs concernés.

IOCs (extraits):

  • Téléphones: +354-42-12434; +1-347-871-7726
  • Domaines: stymrepo.com; vortexcoin.one; 2daytoiletpaper.com; ktopelyourbiz.com; fairmlayergal.com; mbixaursmn.com; cryptodou.com; ulvinashiping.com; topbodybysndex.com
  • Autres artefacts notables: WordPress 6.8.3; hébergement souvent derrière Cloudflare; canaux WhatsApp dédiés

TTPs observées/rapportées:

  • Usurpation de marque/identités (cabinets, avocats, rôles « seniors ») et sites clonés très crédibles
  • Redirection vers WhatsApp/téléphone et gestion hors-site des échanges pour réduire la visibilité
  • Fragmentation d’infrastructure: certificats par domaine, hébergement/IPs/ASNs dispersés, analytics/trackers isolés, registrars variés
  • Evasion au niveau contenu: variations visuelles/terminologiques, multiples langues, gabarits réutilisés
  • Réutilisation d’infrastructure à travers plusieurs arnaques (enchères, e‑commerce, crypto, recovery) favorisant la re‑victimisation

🧠 TTPs et IOCs détectés

TTP

[‘Usurpation de marque/identités’, ‘Sites clonés très crédibles’, ‘Redirection vers WhatsApp/téléphone’, ‘Gestion hors-site des échanges’, ‘Fragmentation d’infrastructure’, ‘Certificats TLS par domaine’, ‘Hébergement/IPs/ASNs dispersés’, ‘Analytics/trackers isolés’, ‘Registrars variés’, ‘Evasion au niveau contenu’, ‘Variations visuelles/terminologiques’, ‘Multiples langues’, ‘Gabarits réutilisés’, ‘Réutilisation d’infrastructure’]

IOC

[‘Téléphones: +354-42-12434’, ‘Téléphones: +1-347-871-7726’, ‘Domaines: stymrepo.com’, ‘Domaines: vortexcoin.one’, ‘Domaines: 2daytoiletpaper.com’, ‘Domaines: ktopelyourbiz.com’, ‘Domaines: fairmlayergal.com’, ‘Domaines: mbixaursmn.com’, ‘Domaines: cryptodou.com’, ‘Domaines: ulvinashiping.com’, ‘Domaines: topbodybysndex.com’, ‘Autres artefacts notables: WordPress 6.8.3’, ‘Hébergement souvent derrière Cloudflare’, ‘Canaux WhatsApp dédiés’]

🔗 Source originale : https://www.sygnia.co/blog/inside-recovery-scam-network-legal-impersonation/