🏛️ Contexte

Le 10 juin 2026, le Département de la Justice américain (DOJ) et le FBI ont annoncé la saisie de 13 domaines internet utilisés dans le cadre d’une opération d’espionnage attribuée aux services de renseignement du gouvernement chinois. L’opération visait des détenteurs actuels et anciens d’habilitations de sécurité américaines ayant accès à des informations classifiées ou sensibles.

🎯 Mode opératoire

Depuis novembre 2023, les conspirateurs ont créé au moins 13 fausses sociétés de conseil dont les sites web et offres d’emploi ciblaient des employés gouvernementaux et militaires américains. Les techniques employées incluent :

  • Utilisation d’alias, personas fictifs et identités volées de personnes réelles
  • Recours à des photographies générées par IA
  • Paiements élevés pour des rapports de recherche
  • Communication via Telegram et autres applications chiffrées
  • Pression pour obtenir des informations « exclusives » ou « d’initiés »
  • Transferts d’argent depuis des comptes étrangers vers les États-Unis
  • Utilisation de cryptomonnaies pour dissimuler l’identité des conspirateurs

📋 Plateformes de recrutement exploitées

Les offres d’emploi frauduleuses étaient diffusées sur : Upwork, Expertia AI, Hubstaff Talent, Wellfound et Post Job Free.

🌐 Domaines saisis

  • centrikglobalconsulting.com (Centrik Global Consulting)
  • rightinfoconsult.com (Rightinfo Consulting)
  • finnaclevesperconsulting.com (Finnacle-Vesper Consulting)
  • cydfconsulting.com (CYDF Consulting)
  • pulsewaveglobal.com (Pulse Wave Global)
  • catalystglobalsolutions.com (Catalyst Global Solutions)
  • thehorizzen.com (Horizzen)
  • geoindopacific.com (GeoIndopacific)
  • gpf-ina.org (Global Peace Foundation – Indonesia)
  • safesec-group.com (SafeSec Group)
  • thetruthinfo.com (The TruthInfo)
  • vandercons.com
  • gulfpeace.org (Gulf Peace Foundation)

⚖️ Infractions visées

Les charges retenues incluent : corruption d’agents publics, vol d’identité et blanchiment d’argent international.

📰 Nature de l’article

Communiqué de presse officiel du DOJ relatant une opération de police judiciaire visant à démanteler une infrastructure d’espionnage étrangère ciblant le personnel gouvernemental américain habilité.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Chinese Intelligence Services (MSS) (state-sponsored) —

TTP

  • T1566 — Phishing (Initial Access)
  • T1585.001 — Establish Accounts: Social Media Accounts (Resource Development)
  • T1585.002 — Establish Accounts: Email Accounts (Resource Development)
  • T1586 — Compromise Accounts (Resource Development)
  • T1608.001 — Stage Capabilities: Upload Malware (Resource Development)
  • T1656 — Impersonation (Defense Evasion)
  • T1591 — Gather Victim Org Information (Reconnaissance)
  • T1560 — Archive Collected Data (Collection)
  • T1213 — Data from Information Repositories (Collection)
  • T1657 — Financial Theft (Impact)

IOC

🟡 Indice de vérification factuelle : 55/100 (moyenne)

  • ⬜ justice.gov — source non référencée (0pts)
  • ✅ 9250 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 13 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ 0/3 IOCs confirmés externellement (0pts)
  • ✅ 10 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Chinese Intelligence Services (MSS) (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.justice.gov/opa/pr/justice-department-fbi-disable-13-websites-backed-suspected-chinese-agents-sought-sensitive