PhaaS : l'écosystème de phishing-as-a-service industrialise la fraude à l'échelle mondiale

🔍 Contexte

Publié le 10 avril 2026 par Flashpoint, cet article de threat intelligence présente une analyse approfondie de l’écosystème Phishing-as-a-Service (PhaaS), réalisée en collaboration avec des institutions financières partenaires. Il décrit la transformation du phishing d’une tactique isolée en un modèle économique cybercriminel industrialisé.

🏗️ Structure de l’écosystème PhaaS

Le PhaaS moderne fonctionne comme une plateforme SaaS légitime :

• Abonnements à partir de 10 USD pour des kits basiques
• Templates préconçus pour usurper des marques connues
• Mécanismes de livraison intégrés : email, SMS, QR phishing
• Dashboards en temps réel pour le suivi des campagnes et la collecte de credentials

Le pipeline d’attaque implique des acteurs spécialisés : développeurs de kits, fournisseurs d’infrastructure, services de livraison SMS, et acteurs de monétisation.

⚙️ Capacités techniques clés

Contournement MFA via AiTM (Adversary-in-the-Middle) :

• Utilisation de reverse proxies pour intercepter sessions de connexion en temps réel
• Capture de credentials, tokens MFA et cookies de session

Intégration de l’IA :

• Génération de leurres localisés et convaincants
• Clonage haute-fidélité d’interfaces de marques
• Optimisation automatisée des campagnes

Exfiltration via Telegram :

• Credentials volés envoyés directement vers des bots ou canaux Telegram
• Accès en temps réel aux données victimes

🎭 Acteurs de menace identifiés

💰 Monétisation

La chaîne de valeur s’étend du vol de credentials à la fraude financière :

• Account Takeover (ATO) sur comptes financiers
• Verrouillage des utilisateurs légitimes
• Transactions frauduleuses
• Blanchiment via fraude fiscale et schémas de remboursement de cartes de crédit

🛡️ Pression des forces de l’ordre

Des opérations de démantèlement, notamment contre Tycoon 2FA, ont perturbé des infrastructures et augmenté les coûts opérationnels. Cependant, les opérateurs se rebrandent, migrent ou fragmentent leurs services, maintenant la résilience de l’écosystème.

📌 Nature de l’article

Il s’agit d’une analyse de menace publiée par Flashpoint, visant à documenter l’industrialisation du PhaaS pour les équipes de sécurité et les institutions financières.

🧠 TTPs et IOCs détectés

Acteurs de menace

• Fluffy Spider (cybercriminal) —
• IVAN (cybercriminal) —
• Smishing Triad (cybercriminal) — orkl.eu · Malpedia
• System Bot (cybercriminal) —
• Squirtle (cybercriminal) —

TTP

• T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
• T1566.002 — Phishing: Spearphishing Link (Initial Access)
• T1566.004 — Phishing: Spearphishing via Service (Initial Access)
• T1557 — Adversary-in-the-Middle (Credential Access)
• T1539 — Steal Web Session Cookie (Credential Access)
• T1111 — Multi-Factor Authentication Interception (Credential Access)
• T1598 — Phishing for Information (Reconnaissance)
• T1078 — Valid Accounts (Defense Evasion)
• T1583.001 — Acquire Infrastructure: Domains (Resource Development)
• T1496 — Resource Hijacking (Impact)
• T1041 — Exfiltration Over C2 Channel (Exfiltration)
• T1585 — Establish Accounts (Resource Development)

Malware / Outils

• GhostFrame (other)
• Rapid Pages (other)
• MUH Pro Admin (other)
• Tycoon 2FA (other)
• System Bot (other)

🟡 Indice de vérification factuelle : 35/100 (moyenne)

• ⬜ flashpoint.io — source non référencée (0pts)
• ✅ 8191 chars — texte complet (15pts)
• ⬜ aucun IOC extrait (0pts)
• ⬜ pas d’IOC à vérifier (0pts)
• ✅ 12 TTPs MITRE identifiées (15pts)
• ⬜ date RSS ou approximée (0pts)
• ✅ acteur(s) identifié(s) : Fluffy Spider, IVAN, Smishing Triad (5pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://flashpoint.io/blog/the-phishing-as-a-service-pipeline-how-a-scalable-fraud-ecosystem-is-driving-global-attacks/

🖴 Archive : https://web.archive.org/web/20260412163438/https://flashpoint.io/blog/the-phishing-as-a-service-pipeline-how-a-scalable-fraud-ecosystem-is-driving-global-attacks/