Ăvolution des services PhaaS en langue chinoise : interception temps rĂ©el et tokenisation
đ Contexte PubliĂ© le 25 mai 2026 par le Google Threat Intelligence Group (GTIG), cet article prĂ©sente une analyse approfondie de lâĂ©cosystĂšme Phishing-as-a-Service (PhaaS) en langue chinoise, en pleine expansion face Ă lâĂ©cosystĂšme russophone historiquement dominant. GTIG a analysĂ© une douzaine de plateformes actives, toutes considĂ©rĂ©es comme matures. đŻ CaractĂ©ristiques distinctives de lâĂ©cosystĂšme PhaaS chinois Cibles quasi exclusivement non-chinoises : les organisations imitĂ©es sont Ă©trangĂšres, suggĂ©rant que la Chine elle-mĂȘme est rarement visĂ©e Ciblage opportuniste du grand public, contrairement aux PhaaS russophones qui visent les clients de grandes organisations OpĂ©rations ouvertes : faible souci de lâOPSEC, publications de photos de style de vie luxueux sur Telegram PublicitĂ© via Telegram plutĂŽt que WeChat ou QQ Offre Ă©tendue : PII, enregistrement de domaines, hĂ©bergement VPS, location de serveurs, blanchiment dâargent, IMSI catchers, services de spam, donnĂ©es de cartes bancaires volĂ©es âïž TTPs notables Livraison via RCS et iMessage : exploitation du chiffrement de bout en bout pour contourner les filtres de sĂ©curitĂ© des opĂ©rateurs SMS ; messages enrichis (accusĂ©s de lecture, indicateurs de frappe, images HD) pour maximiser la crĂ©dibilitĂ© des leurres Interception en temps rĂ©el : panneau dâadministration live permettant Ă lâattaquant de capturer les OTP en quelques secondes, contournant ainsi le MFA Exploitation des wallets numĂ©riques : provisionnement de la carte de la victime dans un wallet numĂ©rique sur un appareil contrĂŽlĂ© par lâattaquant via les credentials et OTP volĂ©s, permettant paiements sans contact, transactions de haute valeur et retraits ATM Automatisation par IA : gĂ©nĂ©ration de pages de phishing uniques par clonage de sites lĂ©gitimes (HTML, CSS, JavaScript) via des outils comme Puppeteer, rendant la dĂ©tection par signature inefficace đ Cas dâĂ©tude : YY Lai Yu (YYæ„鱌) PremiĂšre publicitĂ© en aoĂ»t 2024, gĂ©rĂ© par « YY Lai Yu », « Jeffrey Carrie » et « Very casual » Supporte le phishing dans 119 pays, avec focus principal sur le Japon Depuis novembre 2025 : plus de 400 templates de phishing ciblant des marques japonaises (Amazon, Apple, DMM, Epos Card, JA Bank, JCB Card, JR, Matsui Securities, Mercari, Monex, Nintendo, Nomura Securities, Orico Card, PayPay, Rakuten Securities, Sagawa Express) Leurres culturellement adaptĂ©s : expiration de points de fidĂ©litĂ©, subvention hivernale dâĂ©lectricitĂ© au Japon Anti-bot via vĂ©rification humaine (clic manuel requis avant la page de phishing) pour contrer lâanalyse automatisĂ©e Utilisation du service dâenregistrement de domaines Alibaba Panel permettant : requĂȘte des donnĂ©es phishĂ©es, blocklist par numĂ©ro BIN, blocklist par pays/territoire, gestion de domaines et dâutilisateurs opĂ©rateurs đ Type dâarticle Il sâagit dâune publication de recherche produite par GTIG, visant Ă documenter lâĂ©volution structurelle et technique de lâĂ©cosystĂšme PhaaS sinophone, ses TTPs Ă©mergents et ses capacitĂ©s de localisation Ă lâĂ©chelle mondiale. ...