🌐 Contexte

Publié le 25 mai 2026 par le Google Threat Intelligence Group (GTIG), cet article présente une analyse approfondie de l’écosystème Phishing-as-a-Service (PhaaS) en langue chinoise, en pleine expansion face à l’écosystème russophone historiquement dominant. GTIG a analysé une douzaine de plateformes actives, toutes considérées comme matures.

🎯 Caractéristiques distinctives de l’écosystème PhaaS chinois

  • Cibles quasi exclusivement non-chinoises : les organisations imitées sont étrangères, suggérant que la Chine elle-même est rarement visée
  • Ciblage opportuniste du grand public, contrairement aux PhaaS russophones qui visent les clients de grandes organisations
  • Opérations ouvertes : faible souci de l’OPSEC, publications de photos de style de vie luxueux sur Telegram
  • Publicité via Telegram plutôt que WeChat ou QQ
  • Offre étendue : PII, enregistrement de domaines, hébergement VPS, location de serveurs, blanchiment d’argent, IMSI catchers, services de spam, données de cartes bancaires volées

⚙️ TTPs notables

  1. Livraison via RCS et iMessage : exploitation du chiffrement de bout en bout pour contourner les filtres de sécurité des opérateurs SMS ; messages enrichis (accusés de lecture, indicateurs de frappe, images HD) pour maximiser la crédibilité des leurres
  2. Interception en temps réel : panneau d’administration live permettant à l’attaquant de capturer les OTP en quelques secondes, contournant ainsi le MFA
  3. Exploitation des wallets numériques : provisionnement de la carte de la victime dans un wallet numérique sur un appareil contrôlé par l’attaquant via les credentials et OTP volés, permettant paiements sans contact, transactions de haute valeur et retraits ATM
  4. Automatisation par IA : génération de pages de phishing uniques par clonage de sites légitimes (HTML, CSS, JavaScript) via des outils comme Puppeteer, rendant la détection par signature inefficace

🔍 Cas d’étude : YY Lai Yu (YY来鱼)

  • Première publicité en août 2024, géré par « YY Lai Yu », « Jeffrey Carrie » et « Very casual »
  • Supporte le phishing dans 119 pays, avec focus principal sur le Japon
  • Depuis novembre 2025 : plus de 400 templates de phishing ciblant des marques japonaises (Amazon, Apple, DMM, Epos Card, JA Bank, JCB Card, JR, Matsui Securities, Mercari, Monex, Nintendo, Nomura Securities, Orico Card, PayPay, Rakuten Securities, Sagawa Express)
  • Leurres culturellement adaptés : expiration de points de fidélité, subvention hivernale d’électricité au Japon
  • Anti-bot via vérification humaine (clic manuel requis avant la page de phishing) pour contrer l’analyse automatisée
  • Utilisation du service d’enregistrement de domaines Alibaba
  • Panel permettant : requête des données phishées, blocklist par numéro BIN, blocklist par pays/territoire, gestion de domaines et d’utilisateurs opérateurs

📊 Type d’article

Il s’agit d’une publication de recherche produite par GTIG, visant à documenter l’évolution structurelle et technique de l’écosystème PhaaS sinophone, ses TTPs émergents et ses capacités de localisation à l’échelle mondiale.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • UNC5814 (cybercriminal) —
  • YY Lai Yu (cybercriminal) —

TTP

  • T1566 — Phishing (Initial Access)
  • T1111 — Multi-Factor Authentication Interception (Credential Access)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1056.003 — Input Capture: Web Portal Capture (Collection)
  • T1583.001 — Acquire Infrastructure: Domains (Resource Development)
  • T1585 — Establish Accounts (Resource Development)
  • T1557 — Adversary-in-the-Middle (Credential Access)
  • T1598 — Phishing for Information (Reconnaissance)
  • T1027 — Obfuscated Files or Information (Defense Evasion)

Malware / Outils

  • Darcula (framework)
  • Puppeteer (tool)

🟢 Indice de vérification factuelle : 65/100 (haute)

  • ✅ cloud.google.com — source reconnue (liste interne) (20pts)
  • ✅ 12349 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 9 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : UNC5814, YY Lai Yu (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/chinese-language-phishing-services/?utm_source=substack&utm_medium=email&hl=en