10 à 20% des nouveaux domaines gTLD en 2025 enregistrés par des cybercriminels

📋 Contexte : Publié le 1er juin 2026 par Interisle Consulting Group, ce rapport analyse les enregistrements de domaines gTLD en 2025 à partir de données publiques et commerciales, incluant des Reputation Block Lists (RBL), des données ICANN et des analyses de zone files.

📊 Ampleur du phénomène : Sur les 84,96 millions de domaines gTLD créés en 2025, au moins 8,5 millions (10%) ont été mis sur liste noire pour activité malveillante. En appliquant des projections conservatives intégrant les domaines non détectés par les blocklists et les enregistrements associés, le chiffre réel pourrait atteindre 16,8 millions de domaines (20%) achetés par des acteurs malveillants. En janvier, février et mai 2025, le nombre de domaines malveillants enregistrés a dépassé la croissance nette totale du marché gTLD.

🎯 Concentration de l’abus : L’abus est largement répandu mais fortement concentré :

• 5 registrars représentent 50% de tous les domaines mis sur liste noire
• Chez un registrar (NICENIC), 87,6% des nouveaux enregistrements ont été mis sur liste noire
• 13 gTLDs ont vu plus de la moitié de leurs nouveaux domaines signalés pour abus
• Les gTLDs .TOP (34,6%), .BOND (30,2%), .ICU (28,5%) et .MOBI (62,8%) affichent des taux d’abus particulièrement élevés
• 92% des domaines malveillants sont concentrés dans des gTLDs opérés par seulement 8 entreprises

🦹 Organisations criminelles identifiées : Des études de cas sur .LOAN, .PINK, .BOND et .GIFT révèlent l’activité de groupes criminels organisés :

• FUNNULL, sanctionné par le Trésor américain le 29 mai 2025, a enregistré plus de 100 000 domaines .LOAN et des milliers de domaines .PINK et .GIFT via des algorithmes de génération de domaines (DGA). Malgré les sanctions, FUNNULL a continué ses enregistrements.
• Revolver Rabbit a enregistré au moins 350 000 domaines .BOND chez Key-Systems pour distribuer des malwares voleurs d’informations.
• Le gang GMO Internet a enregistré plus d’un million de domaines .BOND en novembre-décembre 2025 à ¥114 (0,75 USD) l’unité.

📉 Indicateurs d’abus : Les taux de renouvellement constituent un indicateur clé :

• .BOND : taux de renouvellement de 0,5% en 2025
• .PINK : chute à 3,1% après la vague d’enregistrements malveillants
• .LOAN : chute à 4,6% après la vague FUNNULL
• En comparaison, .COM affiche un taux de renouvellement de 74-75%

💰 Incitations économiques : Le rapport identifie une externalité négative classique : les registrars et opérateurs de registres bénéficient commercialement des ventes en volume à bas prix aux cybercriminels, tandis que les coûts (pertes financières, perturbations, érosion de la confiance) sont supportés par les victimes et la société. Les programmes de remise sur volume et les prix d’entrée très bas (certains domaines à 0,49 USD) alimentent cette dynamique.

🔍 Type d’article : Publication de recherche quantitative produite par Interisle Consulting Group, visant à documenter l’ampleur des enregistrements malveillants dans le marché des noms de domaine gTLD en 2025 et à fournir des données exploitables aux décideurs politiques et à la communauté Internet.

🧠 TTPs et IOCs détectés

Acteurs de menace

• FUNNULL (cybercriminal) —
• Revolver Rabbit (cybercriminal) —
• Suncity Group (cybercriminal) —
• Lazarus Group (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK

TTP

• T1583.001 — Acquire Infrastructure: Domains (Resource Development)
• T1566.002 — Phishing: Spearphishing Link (Initial Access)
• T1568.002 — Dynamic Resolution: Domain Generation Algorithms (Command and Control)
• T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
• T1608.001 — Stage Capabilities: Upload Malware (Resource Development)

IOC

• IPv4 : 203.210.16.175 — AbuseIPDB · VT · ThreatFox
• Domaines : 12529.loan — VT · URLhaus · ThreatFox
• Domaines : 12538.loans — VT · URLhaus · ThreatFox
• Domaines : 27271.one — VT · URLhaus · ThreatFox
• Domaines : 27272.loan — VT · URLhaus · ThreatFox
• Domaines : 272722.me — VT · URLhaus · ThreatFox
• Domaines : 272777.cn — VT · URLhaus · ThreatFox
• Domaines : 272788.loan — VT · URLhaus · ThreatFox
• Domaines : mzvzq.gift — VT · URLhaus · ThreatFox
• Domaines : bcnkvs.top — VT · URLhaus · ThreatFox
• Domaines : telegbftc.pink — VT · URLhaus · ThreatFox
• Domaines : security-apps-25597.bond — VT · URLhaus · ThreatFox
• Domaines : work-abroad-18297.bond — VT · URLhaus · ThreatFox
• Domaines : cremation-services-37263.bond — VT · URLhaus · ThreatFox
• URLs : http://e-zpass.com-etcww.loan/ — URLhaus

Malware / Outils

• Lumma (stealer)
• LabHost (other)
• Lighthouse (other)
• RaccoonO365 (other)

🟡 Indice de vérification factuelle : 55/100 (moyenne)

• ⬜ interisle.net — source non référencée (0pts)
• ✅ 114579 chars — texte complet (fulltext extrait) (15pts)
• ✅ 15 IOCs (IPs/domaines/CVEs) (10pts)
• ⬜ 0/5 IOCs confirmés externellement (0pts)
• ✅ 5 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : FUNNULL, Revolver Rabbit, Suncity Group (5pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://interisle.net/insights/cybercriminaldomaindemand