Publié le 2025-10-24 00:00:00. Une campagne de « smishing » (hameçonnage par SMS) d’une ampleur considérable, orchestrée par un groupe lié à la Chine, a ciblé des millions de personnes dans le monde depuis début 2024. Les cybercriminels, sous l’égide de la Triade Smishing, auraient généré plus d’un milliard de dollars grâce à ces escroqueries sophistiquées.
Une analyse approfondie menée par l’unité 42 de Palo Alto Networks révèle que les pirates ont enregistré plus de 194 000 noms de domaine malveillants depuis le début de l’année 2024. Ces domaines visent une vaste gamme de services, allant des avis de livraison de colis aux fraudes liées aux péages routiers, incitant les victimes à divulguer des informations sensibles.
Bien que l’infrastructure de ces attaques semble liée à des serveurs basés en Chine, notamment via un registraire basé à Hong Kong, la majorité des attaques sont hébergées sur des services cloud populaires aux États-Unis. Cette stratégie permet aux cybercriminels de contourner plus facilement les mesures de sécurité et d’opérer dans une zone grise.
La Triade Smishing, déjà connue pour son utilisation intensive de kits de phishing, a développé un écosystème complexe pour mener ses opérations. Ce collectif rassemble divers acteurs : développeurs de kits, courtiers en données pour l’acquisition de numéros de téléphone, vendeurs de domaines éphémères, hébergeurs, spammeurs pour la diffusion massive, et analyseurs pour vérifier l’efficacité des campagnes.
Les chiffres révèlent la prolifération de cette menace. Selon un récent rapport du Wall Street Journal, les escroqueries de ce type auraient rapporté plus d’un milliard de dollars au cours des trois dernières années. De plus, une augmentation significative des attaques ciblant les comptes de courtage a été observée, avec une multiplication par cinq au deuxième trimestre 2025 par rapport à l’année précédente, selon Fortra.
Ces attaques évoluent rapidement. Une fois un compte compromis, les cybercriminels utilisent des tactiques de « pump and dump » pour manipuler les cours boursiers, rendant les traces numériques presque inexistantes et augmentant le risque financier pour les victimes. Les chercheurs notent que près de 68 % des domaines malveillants identifiés sont enregistrés auprès d’une société basée à Hong Kong, Dominet (HK) Limited.
La durée de vie de ces domaines est extrêmement courte, la majorité étant actifs pendant moins de deux semaines, afin d’échapper à la détection. Ce cycle rapide de création et de destruction de domaines est une stratégie clé pour la survie de la campagne. L’infrastructure d’attaque s’appuie sur des dizaines de milliers d’adresses IP uniques, majoritairement hébergées aux États-Unis via Cloudflare.
Les services les plus fréquemment usurpés incluent le service postal américain (USPS), avec plus de 28 000 domaines dédiés. Les fausses notifications de péages routiers constituent également une cible majeure. Les infrastructures d’attaque générant le plus de trafic se situent aux États-Unis, suivis de la Chine et de Singapour. Les cybercriminels imitent une grande variété de services, y compris des banques, des plateformes de cryptomonnaies, des forces de l’ordre, et des entreprises publiques, dans de nombreux pays.
Dans le cas des services gouvernementaux, les victimes sont souvent dirigées vers des pages frauduleuses réclamant des paiements pour des péages ou d’autres frais impayés. L’utilisation de faux CAPTCHA peut même inciter les utilisateurs à exécuter du code malveillant sous prétexte de vérification.
« La campagne de smishing usurpant l’identité des services de péage américains n’est pas isolée. Il s’agit plutôt d’une campagne à grande échelle avec une portée mondiale, usurpant l’identité de nombreux services dans différents secteurs. La menace est hautement décentralisée. Les attaquants s’enregistrent et parcourent quotidiennement des milliers de domaines. »
L’Unité 42 de Palo Alto Networks