Cyble Research and Intelligence Labs (CRIL) publie une analyse détaillée des campagnes de SMS/OTP bombing en évolution continue jusqu’à fin 2025 et début 2026, fondée sur l’examen d’outils et dépôts actifs ainsi que de services web commerciaux. L’étude met en évidence une professionnalisation marquée de l’écosystème, une extension régionale et une sophistication technique croissante.

Points clés 🚨

  • Persistance et évolution: modifications continues des dépôts jusqu’à fin 2025 et nouvelles variantes régionales en janvier 2026.
  • Cross‑plateforme: passage d’outils en terminal à des applis Electron avec GUI et auto‑update.
  • Multi‑vecteurs: SMS, OTP, appels vocaux et email bombing.
  • Performance: implémentations en Go avec FastHTTP pour la vitesse.
  • Evasion avancée: rotation de proxys, randomisation User‑Agent, variation de timing, exécutions concurrentes, avec 75% d’outils observés désactivant la vérification SSL.
  • Surface exposée: ~843 endpoints d’authentification recensés dans ~20 dépôts couvrant télécoms, finance, e‑commerce, VTC et services gouvernementaux; faibles taux de détection via droppers multi‑étapes et obfuscation.

Ciblage régional et écosystème commercial 🌍

  • Focalisation géographique: Iran 61,68% (~520 endpoints), Inde 16,96% (~143), avec une portée en Asie de l’Ouest, Asie du Sud et Europe de l’Est (incl. Turquie, Ukraine).
  • Parallèlement aux dépôts publics, des services web de SMS bombing accessibles par moteur de recherche proposent des interfaces « one‑click » sous couvert de « prank/testing ». Ces plateformes collectent et monétisent les numéros (spam/scam, revente de leads), créant un double risque pour cibles et utilisateurs.

Méthodologie d’attaque et outillage ⚙️

  • Découverte d’API: tests manuels (login/inscription), scans automatisés (/api/send-otp, /verify/sms, /auth/send-code), analyse de code (endpoints codés en dur), et listes partagées (forums/GitHub).
  • Configuration des outils: multithreading, proxies (rotation IP), délais aléatoires, retries et statistiques temps réel.
  • Techniques d’évasion répandues: SSL bypass (75%), randomisation User‑Agent (~58%), variation des patterns de requêtes; endpoints souvent sans rate limiting ni CAPTCHA dynamiques.

Impacts 📊

  • Utilisateurs: surcharge d’appareil, perturbation des communications, quota SMS atteint, décharge batterie, fatigue MFA, récolte de données via sites « prank ».
  • Organisations: coûts par OTP 0,05–0,20 $ et campagnes 500–2 000 $/10 000 messages; surcoûts mensuels, incidents d’accès (utilisateurs légitimes bloqués), pression support, retards de livraison SMS, enjeux conformité, atteinte à la réputation et position concurrentielle.

Mitigations fondées sur les preuves 🛡️

  • Critique: Rate limiting (par IP, numéro, session) — bloquerait 81% des patterns; CAPTCHA dynamique (reCAPTCHA v3, rotation des clés); TLS strict (HSTS, certificate pinning, supervision des erreurs de validation).
  • Prioritaire: Validation User‑Agent (listes blanches, cohérence navigateur/OS), analyse de patterns (timings non humains), validation des numéros (détection de génération/séquences, seuils sub‑100 ms).
  • Entreprises: alertes de coûts SMS, clauses SLA (rate limiting, CAPTCHA, rapports d’abus), exigences de sécurité fournisseurs.
  • Individus: authenticator apps plutôt que SMS, refus des demandes MFA inattendues, signalements et assistance opérateur.

TTPs (MITRE ATT&CK)

  • Initial Access: T1190 (Exploit Public-Facing Application)
  • Execution: T1059.006 (Command and Scripting Interpreter)
  • Defense Evasion: T1036.005 (Masquerading), T1027 (Obfuscated Files), T1553.004 (Subvert Trust Controls: Install Root Certificate), T1090.002 (Proxy: External Proxy)
  • Credential Access: T1110.003 (Password Spraying), T1621 (MFA Request Generation)
  • Impact: T1499.002 (Endpoint DoS: Service Exhaustion Flood), T1498.001 (Network DoS: Direct Network Flood), T1496 (Resource Hijacking)

IOCs

  • Aucun indicateur spécifique (hash, IP, domaine) n’est fourni dans l’article.

Conclusion Il s’agit d’une publication de recherche/analyse de menace exposant l’industrialisation des campagnes de SMS/OTP bombing (2023–2026), leur outillage haute performance et leurs contournements, ainsi que des mesures de mitigation prioritaires alignées sur les vecteurs d’abus observés.

🧠 TTPs et IOCs détectés

TTP

T1190, T1059.006, T1036.005, T1027, T1553.004, T1090.002, T1110.003, T1621, T1499.002, T1498.001, T1496

IOC

Aucun indicateur spécifique (hash, IP, domaine) n’est fourni dans l’article.

🔗 Source originale : https://cyble.com/blog/sms-otp-bombing-campaign-targeting-multiple-regions/