AiTM

🔍 Contexte Publié le 26 mai 2026 par Elastic Security Labs (auteurs : Samir Bousseaden et Terrance DeJesus), cet article constitue une analyse technique détaillée du kit Phishing-as-a-Service (PhaaS) Tycoon 2FA, attribué à Storm-1747 par Microsoft Threat Intelligence. Malgré un démantèlement coordonné en mars 2026 impliquant Microsoft, Europol, Cloudflare, SpyCloud et eSentire (plus de 300 domaines saisis), le kit a repris ses activités dès fin avril 2026. ⚙️ Mécanisme AiTM Tycoon 2FA opère comme un proxy inverse en temps réel entre la victime et le fournisseur d’identité légitime (Entra ID ou Google). Le flux d’attaque comprend : ...

🔍 Contexte Publié le 14 mai 2026 par Sublime Threat Intelligence and Research (STIR), cet article documente une campagne de phishing détectée en avril 2026 combinant deux outils distincts : KrakVM (machine virtuelle JavaScript open-source) et FlowerStorm (kit PhaaS actif depuis mi-2024). 🎯 Campagne et ciblage La campagne, dont l’activité remonte à mi-mars 2026, a ciblé plusieurs secteurs : Gouvernement local Logistique Commerce de détail Communications Immobilier Les emails de phishing sont courts, parfois sans corps de message, avec des sujets ou noms de pièces jointes HTML imitant des notifications de messagerie vocale, crédits fournisseurs ou factures impayées. Les noms de domaine malveillants utilisent des combinaisons de mots anglais imitant des entreprises légitimes, une caractéristique déjà documentée pour FlowerStorm. ...

🔍 Contexte Source : Google Threat Intelligence Group (GTIG), publié le 15 mai 2026 sur le blog officiel Google Cloud. L’article présente une analyse détaillée d’une campagne d’extorsion active attribuée à UNC6671, un acteur opérant sous la marque BlackFile. 🎯 Acteur et ciblage UNC6671 est actif depuis début 2026 et a ciblé des dizaines d’organisations en Amérique du Nord, Australie et Royaume-Uni. Le GTIG le distingue formellement de ShinyHunters (UNC6240), bien qu’UNC6671 ait usurpé la marque ShinyHunters dans au moins un cas pour renforcer la crédibilité de ses menaces. ...

🔍 Contexte Publié le 7 mai 2026 par la Push Security Research Team, cet article présente les résultats d’une infiltration directe de panels de phishing criminels actifs, liés aux groupes ShinyHunters (UNC6240) et BlackFile (UNC6671), dans le cadre de campagnes hybrides de vishing et phishing AiTM actives depuis août 2025. 🎯 Campagnes et victimes confirmées Les attaques ciblent des centaines d’organisations dans les secteurs financier, technologique, crypto, santé, hôtellerie et aviation privée. Des violations publiquement confirmées incluent : ...

📅 Source et contexte : Analyse publiée le 4 mai 2026 par la Microsoft Defender Security Research Team et Microsoft Threat Intelligence, documentant une campagne de phishing à grande échelle observée entre le 14 et le 16 avril 2026. 🎯 Portée de la campagne : La campagne a ciblé plus de 35 000 utilisateurs répartis dans plus de 13 000 organisations dans 26 pays, avec une concentration majoritaire aux États-Unis (92%). Les secteurs les plus touchés sont : ...

🔍 Contexte Publié le 10 avril 2026 par Flashpoint, cet article de threat intelligence présente une analyse approfondie de l’écosystème Phishing-as-a-Service (PhaaS), réalisée en collaboration avec des institutions financières partenaires. Il décrit la transformation du phishing d’une tactique isolée en un modèle économique cybercriminel industrialisé. 🏗️ Structure de l’écosystème PhaaS Le PhaaS moderne fonctionne comme une plateforme SaaS légitime : Abonnements à partir de 10 USD pour des kits basiques Templates préconçus pour usurper des marques connues Mécanismes de livraison intégrés : email, SMS, QR phishing Dashboards en temps réel pour le suivi des campagnes et la collecte de credentials Le pipeline d’attaque implique des acteurs spécialisés : développeurs de kits, fournisseurs d’infrastructure, services de livraison SMS, et acteurs de monétisation. ...

🌐 Contexte Source : Microsoft Threat Intelligence Blog, publié le 7 avril 2026. Cet article présente une analyse technique d’une campagne active attribuée à Forest Blizzard (acteur lié au renseignement militaire russe), active depuis au moins août 2025, impliquant la compromission massive de dispositifs SOHO (Small Office/Home Office). 🎯 Acteurs et ciblage Forest Blizzard et son sous-groupe Storm-2754 sont les acteurs identifiés. Plus de 200 organisations et 5 000 appareils grand public ont été impactés. Secteurs ciblés : gouvernement, technologies de l’information, télécommunications, énergie. Des attaques AiTM spécifiques ont visé au moins trois organisations gouvernementales en Afrique. 🔗 Chaîne d’attaque Compromission de routeurs SOHO : exploitation de dispositifs vulnérables pour modifier leur configuration DNS par défaut. DNS Hijacking : redirection des requêtes DNS vers des résolveurs contrôlés par l’acteur via l’outil légitime dnsmasq (port 53). Attaques AiTM sur TLS : dans un sous-ensemble de cas, l’acteur usurpe les réponses DNS pour forcer les victimes à se connecter à une infrastructure malveillante présentant un certificat TLS invalide imitant des services Microsoft. Interception de trafic : si la victime ignore l’avertissement de certificat invalide, l’acteur peut intercepter le trafic en clair, incluant potentiellement emails et contenus cloud. 🛠️ Techniques observées Utilisation de dnsmasq pour la résolution DNS et l’écoute sur le port 53. Proxying transparent des requêtes DNS dans la majorité des cas. Usurpation ciblée de réponses DNS pour des domaines spécifiques dans les cas d’AiTM. Ciblage des domaines Microsoft Outlook on the web pour les attaques AiTM M365. Exploitation des appareils edge en amont des cibles principales pour pivoter vers des environnements enterprise. 📊 Impact Collecte passive de trafic DNS à grande échelle. Interception potentielle d’emails et de contenus cloud. Aucun actif ou service Microsoft directement compromis selon la télémétrie. Accès potentiel à des environnements cloud via des appareils SOHO d’employés en télétravail. 📄 Type d’article Il s’agit d’une analyse de menace publiée par Microsoft Threat Intelligence, dont le but principal est de documenter les TTPs de Forest Blizzard dans cette campagne et de fournir des indicateurs de détection et des requêtes de chasse aux défenseurs. ...

🏛️ Contexte Le UK National Cyber Security Centre (NCSC) a publié le 7 avril 2026 une alerte détaillant les tactiques, techniques et procédures (TTPs) associées aux opérations de détournement DNS menées par APT28, acteur étatique russe identifié comme l’Unité militaire 26165 du GRU (85e Centre principal de service spécial, GTsSS). 🎯 Nature de l’attaque Depuis 2024 et jusqu’en 2026, APT28 exploite des routeurs SOHO vulnérables pour modifier les paramètres DHCP/DNS et rediriger le trafic vers des serveurs DNS malveillants contrôlés par l’acteur. Cette technique permet des attaques de type adversary-in-the-middle (AitM) visant à collecter : ...

🏛️ Contexte Alerte de sécurité AL26-010 publiée le 1er mai 2026 par le Centre canadien pour la cybersécurité (CCCS). Elle s’adresse aux professionnels TI et gestionnaires. Elle documente des cyberactivités malveillantes continues à motivation financière observées depuis mi-2025, avec une évolution marquée vers l’ingénierie sociale ciblant les plateformes SaaS et de gestion des identités d’entreprise. 🎯 Vecteurs d’accès initial Les campagnes n’exploitent pas de vulnérabilités logicielles mais reposent sur : Hameçonnage vocal (vishing) : usurpation d’identité de personnel IT ou de fournisseurs de confiance pour inciter les employés à s’authentifier sur des portails contrôlés par l’attaquant ou à modifier leur AMF Collecte de justificatifs et interception d’AMF : pages de phishing usurpant des marques, utilisation de cadriciels AiTM (Adversary-in-the-Middle) pour capturer des sessions SSO valides en temps réel Usurpation de sous-domaines : recours à des sous-domaines imitant les portails SSO (ex. <organization>sso[.]com) pour contourner les contrôles de réputation de domaines Abus des processus de service d’assistance : manipulation du personnel de support pour réinitialiser l’AMF ou inscrire des dispositifs contrôlés par l’attaquant Compromission de la chaîne d’approvisionnement SaaS : vol de jetons OAuth de rafraîchissement depuis des fournisseurs tiers compromis pour accéder aux systèmes clients sans déclencher l’AMF 🔍 Indicateurs clés observés Création de jetons OAuth lors d’appels suspects Connexions d’applications génériques (ex. « Outil de soutien », « Chargeur de données ») Sessions concurrentes depuis des IP ou régions différentes en quelques minutes Utilisation de jetons depuis des adresses IP étrangères, VPN ou nœuds Tor dans les secondes suivant leur création Absence de défi AMF dans les journaux d’authentification Hausse soudaine de requêtes API REST ciblant des objets à forte valeur (comptes, contacts, dossiers) Requêtes SELECT * sur des tables entières rarement consultées 💥 Activité post-compromission Déplacement latéral entre applications SaaS (messagerie, GRC, RH, référentiels documentaires) via SSO Exfiltration massive de données via API et fonctions d’export légitimes Exploitation d’intégrations SaaS tierces et de jetons stockés pour accéder aux systèmes en aval Campagnes d’extorsion avec menace de publication ou vente des données sur des sites de fuites ou forums clandestins Absence de déploiement de maliciels, rendant la détection par les outils endpoint conventionnels inefficace 📌 Type et portée Il s’agit d’une alerte de sécurité officielle émise par une autorité nationale de cybersécurité canadienne. Elle vise à sensibiliser les organisations aux tactiques d’acteurs cybercriminels à motivation financière et à fournir des indicateurs de détection exploitables pour les équipes SOC et CTI. ...

🌐 Contexte Cet article est publié le 24 mars 2026 par CrowdStrike sur son blog officiel. Il analyse l’impact de l’opération de démantèlement de Tycoon2FA, une plateforme Phishing-as-a-Service (PhaaS) par abonnement, annoncée par Europol le 4 mars 2026. 🎯 Description de la menace Tycoon2FA est opérationnelle depuis 2023. Elle fournit un kit de phishing basé sur des techniques adversary-in-the-middle (AITM) permettant de contourner l’authentification multifacteur (MFA). En mi-2025, elle était responsable de 62% de toutes les tentatives de phishing bloquées par Microsoft et aurait généré plus de 30 millions d’emails malveillants en un seul mois. ...