Évolution des services PhaaS en langue chinoise : interception temps réel et tokenisation

Sun, 31 May 2026 00:00:00 +0000

🌐 Contexte

Publié le 25 mai 2026 par le Google Threat Intelligence Group (GTIG), cet article présente une analyse approfondie de l’écosystème Phishing-as-a-Service (PhaaS) en langue chinoise, en pleine expansion face à l’écosystème russophone historiquement dominant. GTIG a analysé une douzaine de plateformes actives, toutes considérées comme matures.

🎯 Caractéristiques distinctives de l’écosystème PhaaS chinois

Cibles quasi exclusivement non-chinoises : les organisations imitées sont étrangères, suggérant que la Chine elle-même est rarement visée
Ciblage opportuniste du grand public, contrairement aux PhaaS russophones qui visent les clients de grandes organisations
Opérations ouvertes : faible souci de l’OPSEC, publications de photos de style de vie luxueux sur Telegram
Publicité via Telegram plutôt que WeChat ou QQ
Offre étendue : PII, enregistrement de domaines, hébergement VPS, location de serveurs, blanchiment d’argent, IMSI catchers, services de spam, données de cartes bancaires volées

⚙️ TTPs notables

Livraison via RCS et iMessage : exploitation du chiffrement de bout en bout pour contourner les filtres de sécurité des opérateurs SMS ; messages enrichis (accusés de lecture, indicateurs de frappe, images HD) pour maximiser la crédibilité des leurres
Interception en temps réel : panneau d’administration live permettant à l’attaquant de capturer les OTP en quelques secondes, contournant ainsi le MFA
Exploitation des wallets numériques : provisionnement de la carte de la victime dans un wallet numérique sur un appareil contrôlé par l’attaquant via les credentials et OTP volés, permettant paiements sans contact, transactions de haute valeur et retraits ATM
Automatisation par IA : génération de pages de phishing uniques par clonage de sites légitimes (HTML, CSS, JavaScript) via des outils comme Puppeteer, rendant la détection par signature inefficace

🔍 Cas d’étude : YY Lai Yu (YY来鱼)

Première publicité en août 2024, géré par « YY Lai Yu », « Jeffrey Carrie » et « Very casual »
Supporte le phishing dans 119 pays, avec focus principal sur le Japon
Depuis novembre 2025 : plus de 400 templates de phishing ciblant des marques japonaises (Amazon, Apple, DMM, Epos Card, JA Bank, JCB Card, JR, Matsui Securities, Mercari, Monex, Nintendo, Nomura Securities, Orico Card, PayPay, Rakuten Securities, Sagawa Express)
Leurres culturellement adaptés : expiration de points de fidélité, subvention hivernale d’électricité au Japon
Anti-bot via vérification humaine (clic manuel requis avant la page de phishing) pour contrer l’analyse automatisée
Utilisation du service d’enregistrement de domaines Alibaba
Panel permettant : requête des données phishées, blocklist par numéro BIN, blocklist par pays/territoire, gestion de domaines et d’utilisateurs opérateurs

📊 Type d’article

Il s’agit d’une publication de recherche produite par GTIG, visant à documenter l’évolution structurelle et technique de l’écosystème PhaaS sinophone, ses TTPs émergents et ses capacités de localisation à l’échelle mondiale.

Puppeteer on CyberVeille

Évolution des services PhaaS en langue chinoise : interception temps réel et tokenisation

🌐 Contexte

🎯 Caractéristiques distinctives de l’écosystème PhaaS chinois

⚙️ TTPs notables

🔍 Cas d’étude : YY Lai Yu (YY来鱼)

📊 Type d’article