Les chercheurs en cybersécurité ont mis en lumière deux fournisseurs de services qui fournissent aux réseaux criminels en ligne les outils et l'infrastructure nécessaires pour alimenter l'économie de l'abattage de porcs en tant que service (PBaaS).
Depuis au moins 2016, des groupes criminels de langue chinoise ont érigé des centres d’escroquerie à l’échelle industrielle dans toute l’Asie du Sud-Est, créant ainsi des zones économiques spéciales dédiées aux investissements frauduleux et aux opérations de phishing.
Ces complexes abritent des milliers de personnes attirées par la promesse d’emplois bien rémunérés, pour ensuite avoir leur passeport et être contraintes de commettre des escroqueries sous la menace de la violence. INTERPOL a qualifié ces réseaux de fraude à l’échelle industrielle motivée par la traite des êtres humains.
L’un des principaux moteurs des escroqueries à l’abattage de porcs (également connues sous le nom d’escroquerie romantique) sont les prestataires de services qui fournissent aux réseaux tous les outils nécessaires pour exécuter et gérer les opérations d’ingénierie sociale, ainsi que pour blanchir rapidement les fonds et les crypto-monnaies volés et transférer les gains mal acquis vers des comptes inaccessibles aux autorités.
“Les grands centres d'escroquerie, tels que la zone économique du Triangle d'Or (GTSEZ), utilisent désormais des applications et des modèles prêts à l'emploi de fournisseurs PBaaS”, a déclaré Infoblox dans un rapport publié la semaine dernière.
« Pour aggraver encore la situation, ce qui nécessitait auparavant une expertise technique ou une dépense pour une infrastructure physique peut désormais être acheté sous la forme d'un service prêt à l'emploi offrant tout, depuis les identités volées et les sociétés écrans jusqu'aux plates-formes frauduleuses clés en main et aux applications mobiles, réduisant considérablement les barrières à l'entrée. »
Il a été constaté que ces services proposent des packages et des kits anti-fraude complets qui jettent les bases du lancement d’opérations d’escroquerie en ligne évolutives sans trop d’effort. L'un de ces acteurs menaçants est Penguin Account Store, qui porte également les noms de Heavenly Alliance et Overseas Alliance.
Penguin fonctionne selon un modèle de logiciel criminel en tant que service (CaaS), des kits de fraude publicitaire, des modèles d'escroquerie et des ensembles de données « shè gōng kù » comprenant des informations personnelles volées appartenant à des citoyens chinois. Le groupe vend également des données de compte de plusieurs plateformes médiatiques populaires telles que Twitter, Tinder, YouTube, Snapchat, Facebook, Instagram, Apple Music, OpenAI ChatGPT, Spotify et Netflix, entre autres.
On pense que ces informations d’identification sont probablement obtenues grâce à des enregistrements de vol de données vendus sur le dark web. Mais on ne sait actuellement pas s’ils exploitent eux-mêmes les escrocs ou s’ils agissent simplement en tant qu’intermédiaires de données volées pour d’autres acteurs malveillants. Les prix des comptes de réseaux sociaux pré-enregistrés commencent à seulement 0,10 $ et augmentent en valeur en fonction de la date d'enregistrement et de l'authenticité.
Penguin fournit également des cartes SIM préenregistrées en masse, des comptes de réseaux sociaux volés, des routeurs 4G ou 5G, des récepteurs IMSI et des paquets d'images volés (également appelés jeux de caractères) qui sont utilisés pour piéger les victimes. En plus de cela, l’acteur malveillant a développé une plateforme de gestion de la relation client sociale (SCRM) appelée SCRM AI pour permettre aux opérateurs frauduleux de faciliter l’engagement automatisé des victimes sur les réseaux sociaux.
“L'acteur malveillant fait également la promotion de BCD Pay, une plateforme de traitement des paiements. BCD Pay, qui est directement lié à Bochuang Garantie (博创担保自), est une solution peer-to-peer (P2P) anonyme de style HuiOne profondément enracinée dans l'espace du jeu en ligne illégal.”
Une deuxième catégorie de services essentielle à l’économie PBaaS concerne les plateformes de gestion de la relation client (CRM), qui fournissent un contrôle centralisé sur plusieurs agents individuels. UWORK, un vendeur d'outils de gestion de contenu et d'agents, fournit des modèles prédéfinis pour créer des sites Web d'investissement frauduleux. De nombreuses offres frauduleuses prétendent également être intégrées à des plateformes de trading légitimes comme MetaTrader pour donner aux sites une apparence digne de confiance en affichant des informations financières en temps réel.
Ces sites Web sont également équipés d'un panneau Know Your Customer (KYC) qui oblige les victimes à télécharger une preuve de leur identité. Un administrateur configure les paramètres des sites Web via un tableau de bord dédié, leur donnant une vue d'ensemble de l'ensemble de l'opération, ainsi que la possibilité de créer des profils pour les agents susceptibles d'interagir avec les victimes.
 |
| Panel pour ajouter un nouveau compte victime et lui attribuer un agent direct |
“Le panneau d'administration offre tout ce dont vous avez besoin pour gérer une opération d'abattage de porcs. Plusieurs modèles de courrier électronique, gestion des utilisateurs, gestion des agents, mesures de rentabilité, ainsi que journaux de discussion et de courrier électronique”, a déclaré Infoblox. “La gestion des agents est très complexe et les agents peuvent même être affiliés les uns aux autres.”
Il a également été constaté que les fournisseurs PBaaS proposent des applications mobiles pour Android et iOS en les distribuant sous forme de fichiers APK et en inscrivant un nombre limité d'appareils Apple dans un programme de test pour contourner les contrôles de l'App Store.
Certains auteurs de menaces sont allés plus loin et ont choisi de publier ces applications directement sur les marchés d'applications, tout en cachant leurs fonctionnalités en se faisant passer pour des applications d'information apparemment inoffensives. Le panneau de commande s'affiche uniquement lorsqu'un utilisateur saisit un mot de passe spécifique dans la barre de recherche.
Les modèles de sites Web incluant l’hébergement peuvent coûter aussi peu que 50 $. Un package complet, comprenant un site Web avec accès administrateur, un hébergement VPS, une application mobile, l'accès à une plateforme de trading, la création d'une société écran dans un paradis fiscal pour masquer vos activités et l'enregistrement auprès du régulateur financier local compétent, peut commencer à environ 2 500 $.
“Les syndicats du crime asiatiques sophistiqués ont créé une économie souterraine mondiale à partir de leurs refuges en Asie du Sud-Est”, ont déclaré les chercheurs Maël Le Touz et John Wòjcik. « PBaaS fournit les mécanismes permettant de faire évoluer une opération avec relativement peu d'efforts et de coûts. »
Domaines garés comme canal d'arnaques et de logiciels malveillants
Cette divulgation intervient dans le contexte d'une nouvelle étude de la société de renseignement sur les menaces DNS, qui a révélé que la grande majorité des domaines parqués – des noms de domaine pour la plupart expirés ou inactifs, ou des fautes d'orthographe courantes sur les sites Web populaires (également appelés typosquatting) – sont utilisés pour rediriger les visiteurs vers des sites proposant des escroqueries et des logiciels malveillants.
Infoblox a révélé que les visiteurs d'un domaine légitime typosquat appartenant à une institution financière à partir d'un réseau privé virtuel (VPN) voient une page de stationnement normale, mais sont redirigés vers des sites frauduleux ou malveillants s'ils visitent à partir d'une adresse IP résidentielle. Les pages parquées, quant à elles, envoient les visiteurs via une chaîne de redirection, tout en profilant leur système à l'aide de la géolocalisation IP, des empreintes digitales des appareils et des cookies pour déterminer où les rediriger.
“Dans des expériences à grande échelle, nous avons constaté que plus de 90 % du temps, les visiteurs d'un domaine parqué seraient dirigés vers du contenu illégal, des escroqueries, des abonnements à des logiciels effrayants et antivirus, ou des logiciels malveillants, car le 'clic' était vendu par la société de stationnement à des annonceurs, qui revendaient souvent ce trafic ailleurs”, a déclaré la société. “Aucun des contenus affichés n'était lié au nom de domaine que nous avons visité.”
L'infrastructure malveillante Evilginx AitM favorise la collecte d'informations d'identification
Ces derniers mois, il est également apparu que les acteurs malveillants exploitaient une boîte à outils de phishing de type adversaire du milieu (AitM) appelée Evilginx dans des attaques ciblant au moins 18 universités et établissements d'enseignement aux États-Unis depuis le 12 avril 2025, dans le but de voler les identifiants de connexion et les cookies de session. Jusqu'à 67 domaines liés à l'activité ont été identifiés.
“Les faibles taux de détection dans la communauté de la cybersécurité mettent en évidence l'efficacité des techniques d'évasion d'Evilginx”, a déclaré Infoblox. “Les versions récentes, comme Evilginx Pro, ajoutent des fonctionnalités qui rendent la détection encore plus difficile.”
“Celles-ci incluent l'utilisation par défaut de certificats TLS génériques, le filtrage des robots via des empreintes digitales avancées comme JA4, les pages Web Honeypot, une intégration améliorée avec les fournisseurs DNS (par exemple Cloudflare, DigitalOcean), la prise en charge inter-domaines des phishlets et l'obscurcissement JavaScript. À mesure qu'Evilginx continue de mûrir, l'identification de ses URL de phishing deviendra de plus en plus difficile. “
Un réseau de jeu frauduleux montre des signes d’opération APT
Le mois dernier, des chercheurs de la société de sécurité Malanta ont révélé les détails d'une infrastructure tentaculaire couvrant plus de 328 000 domaines et sous-domaines, dont plus de 236 000 domaines liés aux jeux de hasard, qui est active depuis au moins 2011 et est probablement une double opération gérée par un groupe parrainé par un État-nation ciblant les victimes aux États-Unis, en Europe et en Asie du Sud-Est.
Le réseau, utilisé principalement pour cibler les visiteurs de langue indonésienne, est considéré comme faisant partie d'une opération plus vaste qui comprend des milliers de domaines de jeux d'argent, des applications Android malveillantes, des domaines et sous-domaines détournés hébergés sur des services cloud et une infrastructure furtive intégrée dans des sites Web d'entreprises et de gouvernements du monde entier, ont déclaré les chercheurs Yinon Azar, Noam Yitzhack, Tzur Leibovitz et Assaf Morag.
“Combinant le jalonnement illégal, la manipulation du référencement, la distribution de logiciels malveillants et des techniques de prise de contrôle très persistantes, cette campagne représente l'un des écosystèmes de niveau indonésien les plus vastes et les plus complexes, parrainés par l'État et bien financés, observés à ce jour”, a déclaré Malanta.
L’activité implique l’exploitation systématique de WordPress, des composants PHP, des DNS en attente et des actifs cloud expirés pour détourner et militariser des domaines de confiance. Il a également été découvert que l'infrastructure alimente un énorme écosystème de logiciels malveillants Android hébergés dans des compartiments Amazon Web Services (AWS) S3 pour distribuer des droppers APK avec des capacités de commande et de contrôle (C2) et de vol de données.
Les acteurs malveillants à l'origine de ce stratagème s'appuient sur les réseaux sociaux et les plateformes de messagerie instantanée pour faire la publicité des sites de jeux d'argent et inciter les utilisateurs à installer des applications Android. Jusqu'à 7 700 domaines ont été signalés comme contenant des liens vers au moins 20 compartiments AWS S3 qui stockent des fichiers APK (par exemple, « jayaplay168.apk » ou « 1poker-32bit.apk »).
Imperva et Sucuri ont précédemment souligné certains aspects de l'opération vieille de 14 ans, ce dernier l'attribuant à une campagne de spam de casino en ligne appelée Slot Gacor qui détournait des pages existantes sur des sites Web WordPress compromis en les remplaçant par des pages de spam de casino.
La longévité de l'infrastructure, combinée à son ampleur et à sa sophistication, a soulevé la possibilité qu'elle soit entretenue par une menace persistante avancée (APT) profondément ancrée dans l'écosystème de la cybercriminalité indonésienne tout en exploitant activement les actifs virtuels des gouvernements du monde entier.