🗓️ Contexte

Le 18 mai 2026, le marketplace criminel B1ack’s Stash a publié sur un forum underground un archive contenant 4 668 889 enregistrements de cartes de paiement compromises. L’analyse a été publiée le 28 mai 2026 par D3Lab (Andrea Draghetti). La publication avait un objectif explicitement promotionnel : attirer du trafic vers le marché illégal, renforcer sa réputation dans l’écosystème du carding, et punir des vendeurs accusés de revendre les mêmes cartes ailleurs.

🎯 Nature de l’opération

Le lien de téléchargement a été distribué via la plateforme Exploit.in Send, limité à 1 000 téléchargements ou 30 jours. L’acteur malveillant revendique avoir « suspendu » près de 8 millions de cartes CVV2 et les avoir rendues disponibles gratuitement. Cette stratégie avait déjà été observée en février 2025, lors d’une précédente publication de 1 018 014 cartes uniques.

📊 Composition du dataset

Chaque enregistrement suit une structure à 14 champs séparés par le caractère pipe (|), incluant : PAN, date d’expiration, CVV2, nom, adresse, ville, état/province, code postal, pays, email, téléphone, IP.

  • Total records : 4 668 889
  • PANs uniques : 4 668 887
  • Taux de validité formelle (Luhn + format) : 99,7911%
  • Enregistrements complets et valides : 1 619 092 (34,68%)
  • Emails valides uniques : 3 393 269

🌐 Répartition géographique

Les principaux pays représentés :

  • 🇺🇸 États-Unis : 69,45% (3 242 564 enregistrements)
  • 🇨🇦 Canada : 3,69%
  • 🇬🇧 Royaume-Uni : 3,62%
  • 🇫🇷 France : 2,81%
  • 🇲🇾 Malaisie : 2,71%
  • 🇮🇹 Italie : 1,02% (47 694 enregistrements, dont 18 026 cartes valides et nouvellement observées)

💳 Réseaux de paiement

  • Visa : 61,81%
  • Mastercard : 32,10%
  • American Express : 3,26%
  • Discover : 2,67%

🕵️ Attribution : Web Skimming

Plusieurs éléments pointent vers une origine par web skimming (e-skimming) : présence de PAN + CVV2 + données de facturation + adresses IP + emails, structure compatible avec une collecte lors de transactions en ligne, distribution géographique large compatible avec des compromissions multiples de sites e-commerce. Le vecteur probable est l’injection de JavaScript malveillant dans des pages de checkout.

⚠️ Impact

Même pour les cartes expirées ou bloquées, le dataset conserve une valeur opérationnelle criminelle :

  • 3 665 273 enregistrements combinent email valide + nom + adresse postale
  • Scénarios d’abus : phishing, vishing, arnaques ciblées, courrier physique non sollicité

📄 Type d’article

Analyse technique et CTI produite par D3Lab, visant à documenter la composition, la qualité et l’origine probable d’un dump de cartes publié sur un forum underground, avec enrichissement BIN/IIN et corrélation avec des fuites antérieures.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • B1ack’s Stash (cybercriminal) —

TTP

  • T1185 — Browser Session Hijacking (Collection)
  • T1056.003 — Input Capture: Web Portal Capture (Collection)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1114 — Email Collection (Collection)
  • T1583.006 — Acquire Infrastructure: Web Services (Resource Development)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

  • ⬜ d3lab.net — source non référencée (0pts)
  • ✅ 9645 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : B1ack’s Stash (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.d3lab.net/b1acks-stash-releases-4-6-million-payment-cards-web-skimming-leak-analysis/