Phishing-as-a-Service

🌐 Contexte Source : BleepingComputer, publié le 14 juin 2026. Le FBI, en coordination avec Google et Black Lotus Labs, a annoncé le démantèlement d’une vaste opération de phishing-as-a-service (PhaaS) d’origine chinoise baptisée Outsider Enterprise, dans le cadre de l’Opération Riptide. 🎯 Description de la menace Outsider Enterprise est actif depuis au moins 2023 et opérait à grande échelle : 9 000 faux sites web et plus d’un million d’URLs frauduleuses identifiés par Google Distribution de kits de phishing permettant à des cybercriminels de lancer des campagnes de SMS frauduleux imitant des marques de confiance (dont Google) Envoi de 2,5 millions de SMS vers des utilisateurs Android sur une période de deux semaines en mai Coordination via Telegram, avec un bot dédié contenant des informations sur les clients du service Utilisation de l’intelligence artificielle pour automatiser et optimiser les campagnes 💥 Impact 3,8 millions de données de cartes bancaires volées Pertes estimées à 1,9 milliard de dollars Des centaines de milliers d’utilisateurs impactés dans le monde Campagnes diffusées via les opérateurs AT&T, T-Mobile et Verizon ⚖️ Actions de démantèlement Saisie de plusieurs serveurs d’administration Saisie d’une boutique Shopify et d’un compte de test du service Saisie d’environ 100 000 USDT depuis les portefeuilles de paiement Redirection de milliers de domaines phishing vers une page de saisie FBI Prise de contrôle du bot Telegram associé à l’opération Dépôt d’une plainte civile par Google ciblant l’infrastructure Coordination avec AT&T, T-Mobile et Verizon pour bloquer les messages frauduleux 📋 Type d’article Article de presse spécialisée relatant une opération de démantèlement judiciaire et technique d’une infrastructure cybercriminelle, avec des éléments d’impact chiffrés et de coopération public-privé. ...

🌐 Contexte Publié le 25 mai 2026 par le Google Threat Intelligence Group (GTIG), cet article présente une analyse approfondie de l’écosystème Phishing-as-a-Service (PhaaS) en langue chinoise, en pleine expansion face à l’écosystème russophone historiquement dominant. GTIG a analysé une douzaine de plateformes actives, toutes considérées comme matures. 🎯 Caractéristiques distinctives de l’écosystème PhaaS chinois Cibles quasi exclusivement non-chinoises : les organisations imitées sont étrangères, suggérant que la Chine elle-même est rarement visée Ciblage opportuniste du grand public, contrairement aux PhaaS russophones qui visent les clients de grandes organisations Opérations ouvertes : faible souci de l’OPSEC, publications de photos de style de vie luxueux sur Telegram Publicité via Telegram plutôt que WeChat ou QQ Offre étendue : PII, enregistrement de domaines, hébergement VPS, location de serveurs, blanchiment d’argent, IMSI catchers, services de spam, données de cartes bancaires volées ⚙️ TTPs notables Livraison via RCS et iMessage : exploitation du chiffrement de bout en bout pour contourner les filtres de sécurité des opérateurs SMS ; messages enrichis (accusés de lecture, indicateurs de frappe, images HD) pour maximiser la crédibilité des leurres Interception en temps réel : panneau d’administration live permettant à l’attaquant de capturer les OTP en quelques secondes, contournant ainsi le MFA Exploitation des wallets numériques : provisionnement de la carte de la victime dans un wallet numérique sur un appareil contrôlé par l’attaquant via les credentials et OTP volés, permettant paiements sans contact, transactions de haute valeur et retraits ATM Automatisation par IA : génération de pages de phishing uniques par clonage de sites légitimes (HTML, CSS, JavaScript) via des outils comme Puppeteer, rendant la détection par signature inefficace 🔍 Cas d’étude : YY Lai Yu (YY来鱼) Première publicité en août 2024, géré par « YY Lai Yu », « Jeffrey Carrie » et « Very casual » Supporte le phishing dans 119 pays, avec focus principal sur le Japon Depuis novembre 2025 : plus de 400 templates de phishing ciblant des marques japonaises (Amazon, Apple, DMM, Epos Card, JA Bank, JCB Card, JR, Matsui Securities, Mercari, Monex, Nintendo, Nomura Securities, Orico Card, PayPay, Rakuten Securities, Sagawa Express) Leurres culturellement adaptés : expiration de points de fidélité, subvention hivernale d’électricité au Japon Anti-bot via vérification humaine (clic manuel requis avant la page de phishing) pour contrer l’analyse automatisée Utilisation du service d’enregistrement de domaines Alibaba Panel permettant : requête des données phishées, blocklist par numéro BIN, blocklist par pays/territoire, gestion de domaines et d’utilisateurs opérateurs 📊 Type d’article Il s’agit d’une publication de recherche produite par GTIG, visant à documenter l’évolution structurelle et technique de l’écosystème PhaaS sinophone, ses TTPs émergents et ses capacités de localisation à l’échelle mondiale. ...

Selon un communiqué de presse d’Europol (4 mars 2026), une opération internationale coordonnée par l’EC3 a démantelé « Tycoon 2FA », une plateforme de phishing-as-a-service utilisée pour contourner l’authentification multifacteur (MFA) et compromettre des comptes à grande échelle. • Ce service par abonnement fournissait un outillage conçu pour intercepter des sessions d’authentification en direct et obtenir un accès non autorisé à des comptes en ligne, y compris ceux protégés par des couches de sécurité additionnelles. Actif depuis au moins août 2023, il a permis à des milliers de cybercriminels de viser des comptes email et services cloud, touchant près de 100 000 organisations (dont des écoles, hôpitaux et institutions publiques). ✉️🔓 ...

Selon CYFIRMA (publication du 16 janvier 2026), Mamba 2FA s’inscrit dans une classe de kits de phishing adversary‑in‑the‑middle (AiTM) devenue dominante dans les environnements cloud. L’outil privilégie réalisme, automatisation et échelle, en émulant fidèlement les flux d’authentification Microsoft 365, en gérant les sessions en temps quasi réel et en réduisant l’interaction utilisateur, afin de bypasser la MFA et d’industrialiser les campagnes au sein de l’écosystème PhaaS. Flux opérationnel observé et livraison: ...

Selon BleepingComputer (Bill Toulas, 19 décembre 2025), la Nigeria Police Force National Cybercrime Centre (NPF–NCCC) a arrêté trois personnes à Lagos et dans l’État d’Edo, soupçonnées d’être liées à des attaques ciblant Microsoft 365 via le service de phishing-as-a-service Raccoon0365. L’opération a été rendue possible par des renseignements fournis par Microsoft, partagés avec le NPF–NCCC via le FBI. 🚔 Le kit « Raccoon0365 » automatisait la création de fausses pages de connexion Microsoft pour le vol d’identifiants, entraînant des cas de Business Email Compromise (BEC), des fuites de données et des pertes financières dans le monde entier. Le service aurait été responsable d’au moins 5 000 compromissions de comptes Microsoft 365 dans 94 pays. Il a été perturbé en septembre par Microsoft et Cloudflare. Le lien entre cette perturbation et l’identification des suspects au Nigeria n’est pas précisé. 🎣 ...

Selon BleepingComputer, la police nigériane a interpellé trois personnes soupçonnées d’être impliquées dans des cyberattaques ciblant des comptes Microsoft 365 via le service de phishing-as-a-service Raccoon0365. 1) Contexte général La police nigériane a procédé à l’arrestation de trois individus liés à des attaques ciblées contre Microsoft 365 menées via la plateforme de phishing Raccoon0365. Ces attaques ont entraîné : des compromissions de messageries professionnelles (BEC), des violations de données, des pertes financières touchant des organisations dans le monde entier. L’opération a été rendue possible grâce à un partage de renseignements impliquant :contentReference[oaicite:0]{index=0}, le :contentReference[oaicite:1]{index=1} et la Nigeria Police Force – National Cybercrime Centre (NPF–NCCC). 2) Raccoon0365 : une plateforme de phishing industrialisée Raccoon0365 est décrit comme un phishing toolkit automatisé, capable de : générer de fausses pages de connexion Microsoft, collecter identifiants et jetons d’authentification, faciliter l’accès non autorisé aux comptes Microsoft 365. Le service a été impliqué dans : au moins 5 000 compromissions de comptes réparties sur 94 pays. La plateforme fonctionnait selon un modèle commercial, avec : vente d’accès mensuels ou trimestriels, paiements en cryptomonnaies, support via Telegram. 3) Démantèlement technique préalable En septembre dernier, Raccoon0365 avait déjà fait l’objet d’une opération de perturbation menée par :contentReference[oaicite:2]{index=2} et :contentReference[oaicite:3]{index=3}. Cette action avait conduit à : la suppression de l’infrastructure de phishing, la désactivation des pages frauduleuses hébergées sur Cloudflare. À ce stade, il n’est pas confirmé si cette opération a directement permis d’identifier les suspects arrêtés au Nigeria. 4) Les arrestations au Nigeria Les forces du NPF–NCCC ont mené des opérations à : Lagos Edo State Résultat : 3 arrestations saisie de laptops, téléphones mobiles et équipements numériques équipements reliés au schéma frauduleux après analyse forensique « Agissant sur la base de renseignements précis et exploitables, des unités du NPF–NCCC ont été déployées (…) conduisant à l’arrestation de trois suspects. » ...

Source et contexte: CERT-EU publie un état des lieux des menaces pour septembre 2025, fondé sur l’analyse de 285 rapports open source et illustré par des opérations d’APT, des vulnérabilités zero-day critiques et des campagnes supply chain. • Contexte et faits saillants: L’analyse met en avant des évolutions géopolitiques et réglementaires, dont l’évasion de sanctions de l’UE par l’entité liée à la Russie « Stark Industries », l’adoption de la première loi IA en Italie et la reclassification par la Tchéquie de la menace chinoise au niveau « Élevé ». Des activités d’espionnage notables incluent l’Iran (UNC1549) contre les secteurs défense/télécoms européens, la coopération Turla + Gamaredon contre l’Ukraine, et l’arrestation de mineurs néerlandais impliqués dans un espionnage lié à la Russie. ...

Selon un billet référencé de Chainalysis (blog), Microsoft Digital Crimes Unit (DCU) a démantelé la plateforme RaccoonO365/Storm-2246, un service de phishing-as-a-service basé au Nigeria, en menant une action civile inédite intégrant l’analyse de cryptomonnaies. Microsoft a obtenu la saisie de 338 sites utilisés par l’infrastructure de Storm-2246/RaccoonO365 🚫. Il s’agit de la première action civile de Microsoft incorporant une analyse de cryptomonnaies pour étayer l’enquête et l’attribution 🪙. Le service proposait des kits de phishing prêts à l’emploi ciblant les utilisateurs Office 365 📨, vendus via des canaux Telegram rassemblant plus de 800 membres. ...

Le rapport technique de Sekoia.io, publié en juin 2025, met en lumière l’évolution des attaques de phishing de type Adversary-in-the-Middle (AitM). Ces attaques visent principalement les comptes Microsoft 365 et Google, en exploitant des kits de phishing sophistiqués pour contourner l’authentification multi-facteurs (MFA). Les attaques AitM se concentrent sur le vol de cookies de session pour accéder aux comptes des victimes sans nécessiter de nouvelle authentification. Le rapport souligne la prolifération des offres de Phishing-as-a-Service (PhaaS), qui permettent à des cybercriminels, même peu expérimentés, d’accéder à des kits de phishing avancés à moindre coût. ...

L’article publié spar la société Mnemonic explore une opération mondiale de phishing-as-a-service qui a touché des centaines de milliers de victimes à travers le monde. En décembre 2023, de nombreuses personnes, notamment en Norvège, ont commencé à recevoir des messages frauduleux prétendant que des colis les attendaient à la poste. Ces messages, envoyés par SMS, iMessage ou RCS, utilisaient une technique appelée smishing pour tromper les victimes en usurpant l’identité de marques de confiance. ...