Source: Infoblox (blog Threat Intelligence). Contexte: publication détaillant des campagnes de phishing qui exploitent le TLD .arpa via IPv6 et d’autres tactiques pour contourner les défenses, avec IOCs et schémas techniques.

Les acteurs abusent du TLD .arpa (réservé aux usages d’infrastructure DNS, notamment les reverse DNS en ip6.arpa) en créant, chez certains fournisseurs DNS, des enregistrements A sur des noms de reverse IPv6, ce qui ne devrait pas être possible. En obtenant un espace d’adresses IPv6 (souvent via des tunnels IPv6 gratuits) et la délégation du sous-domaine ip6.arpa correspondant, ils évitent d’ajouter des PTR et créent des A records qui pointent vers du contenu hébergé (souvent derrière l’edge Cloudflare), tirant parti de la confiance implicite accordée au TLD .arpa.

Les emails de phishing se résument à une image cliquable contenant un lien masqué vers une chaîne de redirections via TDS. Les liens utilisent des chaînes reverse DNS IPv6 (ex: d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa) et un préfixe aléatoire de type DGA pour unicité. Après clic, l’utilisateur est fingerprinté puis redirigé vers des pages frauduleuses; les redirections varient selon la campagne et favorisent notamment les mobiles et les IP résidentielles. Les liens sont éphémères (actifs quelques jours), compliquant les investigations. 🧭

Au-delà de l’abus de .arpa, les campagnes réutilisent un outil observé depuis au moins 2017 et combinent d’autres techniques d’évasion: hijacking de CNAMEs orphelins (issus de domaines expirés ou services cloud abandonnés) et subdomain shadowing (création de sous-domaines via vol d’identifiants). Des CNAMEs de grandes organisations (agences publiques, universités, telcos, médias, retail) ont été détournés, certains depuis 2020, et d’autres cas récents sont apparus début 2026. 🎯

Impact sécurité: l’utilisation de ip6.arpa comme vecteur rend inefficaces les mécanismes basés sur la réputation, les informations d’enregistrement et les blocklists de domaines, car ces noms sont perçus comme critiques et légitimes pour l’infrastructure Internet. Infoblox signale n’avoir pas vu de requêtes de ce type chez ses clients à date, mais en observe en passive DNS globale, et a notifié des fournisseurs présentant la faille de contrôle des .arpa.

Type d’article: analyse de menace présentant une technique inédite d’abus DNS, des observations de campagnes, et une liste d’IOCs.

TTPs observés

  • Abus du TLD .arpa / ip6.arpa avec création d’A records sur des noms de reverse DNS IPv6
  • Obtention d’un tunnel IPv6 gratuit pour administrer un /64 et la délégation reverse
  • DGA: préfixes aléatoires pour FQDN ip6.arpa uniques
  • Hébergement masqué derrière l’edge Cloudflare (résolution vers des IP Cloudflare)
  • Chaînes de TDS avec fingerprinting et critères (mobile + IP résidentielle)
  • CNAME hijacking (domaines expirés/services abandonnés) et subdomain shadowing
  • Liens à durée de vie courte pour réduire la détection et l’analyse

IOCs (sélection, selon Infoblox)

  • Motifs ip6.arpa (DGA):
    • <10 lettres>.5.2.1.6.3.0.0.0.7.4.0.1.0.0.2[.]ip6[.]arpa
    • <10 lettres>.1.9.5.0.9.1.0.0.0.7.4.0.1.0.0.2[.]ip6[.]arpa
    • <10 lettres>.8.1.9.5.0.9.1.0.0.0.7.4.0.1.0.0.2[.]ip6[.]arpa
    • <10 lettres>.9.a.d.0.6.3.0.0.0.7.4.0.1.0.0.2[.]ip6[.]arpa
    • <10 lettres>.d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2[.]ip6[.]arpa
  • Domains phishing: actinismoleil[.]sbs, cablecomparison[.]shop, cheapperfume[.]shop, drumsticks[.]store, fightingckmelic[.]makeup
  • Domains TDS: dulcetoj[.]com, golandof[.]com, politeche[.]com, taktwo[.]com, toindom[.]com
  • CNAMEs/hijacking: publicnoticessites[.]com, hobsonsms[.]com, hyfnrsx1[.]com

📌 Références: plus d’IOCs sur le GitHub Infoblox Threat Intel.

🧠 TTPs et IOCs détectés

TTP

[‘Abus du TLD .arpa / ip6.arpa avec création d’A records sur des noms de reverse DNS IPv6’, ‘Obtention d’un tunnel IPv6 gratuit pour administrer un /64 et la délégation reverse’, ‘DGA: préfixes aléatoires pour FQDN ip6.arpa uniques’, ‘Hébergement masqué derrière l’edge Cloudflare (résolution vers des IP Cloudflare)’, ‘Chaînes de TDS avec fingerprinting et critères (mobile + IP résidentielle)’, ‘CNAME hijacking (domaines expirés/services abandonnés) et subdomain shadowing’, ‘Liens à durée de vie courte pour réduire la détection et l’analyse’]

IOC

{‘motifs_ip6_arpa’: [’<10 lettres>.5.2.1.6.3.0.0.0.7.4.0.1.0.0.2[.]ip6[.]arpa’, ‘<10 lettres>.1.9.5.0.9.1.0.0.0.7.4.0.1.0.0.2[.]ip6[.]arpa’, ‘<10 lettres>.8.1.9.5.0.9.1.0.0.0.7.4.0.1.0.0.2[.]ip6[.]arpa’, ‘<10 lettres>.9.a.d.0.6.3.0.0.0.7.4.0.1.0.0.2[.]ip6[.]arpa’, ‘<10 lettres>.d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2[.]ip6[.]arpa’], ‘domains_phishing’: [‘actinismoleil[.]sbs’, ‘cablecomparison[.]shop’, ‘cheapperfume[.]shop’, ‘drumsticks[.]store’, ‘fightingckmelic[.]makeup’], ‘domains_tds’: [‘dulcetoj[.]com’, ‘golandof[.]com’, ‘politeche[.]com’, ’taktwo[.]com’, ’toindom[.]com’], ‘cname_hijacking’: [‘publicnoticessites[.]com’, ‘hobsonsms[.]com’, ‘hyfnrsx1[.]com’]}

🔗 Source originale : https://www.infoblox.com/blog/threat-intelligence/abusing-arpa-the-tld-that-isnt-supposed-to-host-anything/