Une vaste opération de phishing par SMS, aussi appelée attaque smishing, a été reliée à plus de 194 000 domaines malveillants depuis début janvier 2024. Cette campagne mondiale menace les utilisateurs de services postaux, bancaires, gouvernementaux et de nombreuses autres plateformes numériques. Conduite par un groupe cybercriminel lié à la Chine, surnommé « Smishing Triad », cette menace illustre parfaitement les dangers actuels du phishing mobile à grande échelle et souligne l’ampleur de l’univers du phishing-as-a-service (PhaaS).
Une campagne smishing orchestrée depuis des infrastructures cloud américaines
Des noms de domaine enregistrés en masse
Les analystes de Unit 42 de Palo Alto Networks ont révélé que l’infrastructure de cette campagne repose sur plus de 194 345 noms de domaines malveillants, répartis sur environ 43 494 adresses IP uniques. Même si la majorité des noms de domaine sont enregistrés via un bureau d’enregistrement basé à Hong Kong, notamment Dominet (HK) Limited, les serveurs d’hébergement sont majoritairement situés aux États-Unis, principalement sur le cloud Cloudflare.
La tactique du groupe repose sur un cycle rapide de création et d’abandon de domaines. Près de 30 % des sites n’ont duré que deux jours ou moins. Et 71 % d’entre eux ont été actifs moins d’une semaine. Cette rotation agressive sert à échapper aux radars des systèmes de détection traditionnels.
Des services populaires utilisés comme leurres
Le groupe Smishing Triad cible un large éventail de services. Les campagnes les plus fréquentes imitent les services de péage routier via SMS frauduleux, représentant plus de 90 000 domaines actifs. Le service postal américain (USPS) est également fortement usurpé avec plus de 28 000 domaines associés. Les victimes reçoivent généralement un message présentant une fausse amende, un colis non livré ou une facture à régler, les incitant à cliquer et fournir des informations personnelles sensibles.
Une évolution du phishing : vers un écosystème cybercriminel structuré
Une organisation découpée selon les rôles du phishing-as-a-service
Initialement distributeur de kits de phishing, le Smishing Triad a évolué en une véritable communauté cybercriminelle. Ce modèle fonctionne selon une logique de chaîne de production :
- Développeurs de kits de phishing
- Vendeurs de données (pour l’obtention de numéros de téléphone cibles)
- Revendeurs de domaines jetables
- Hébergeurs spécialisés dans les sites malveillants
- Spammeurs pour inonder les utilisateurs de SMS frauduleux
- Scanners de « liveness » pour valider les numéros actifs
- Scanners de listes noires pour identifier les noms de domaine encore opérationnels
L’ensemble favorise une industrialisation de l’ingénierie sociale, poussant la victime à interagir sous pression psychosociale. Pour mieux comprendre ces mécanismes et apprendre à s’en défendre ou les étudier dans un cadre légal, vous pouvez vous référer à notre livre pour apprendre à hacker, accessible à tous ceux souhaitant maîtriser les bases du hacking éthique.
Une nouvelle cible : les comptes de courtage en ligne
Selon un rapport de Fortra, les kits de phishing utilisés par le Smishing Triad s’orientent désormais vers les comptes de courtage pour collecter identifiants bancaires et codes d’authentification. Le nombre d’attaques contre ces comptes a été multiplié par cinq lors du deuxième trimestre 2025 par rapport à l’année précédente. Une fois les comptes compromis, les cybercriminels manipulent les marchés boursiers à travers des techniques de pump and dump, générant d’énormes profits sans laisser de traces tangibles.
Une menace globale et polymorphe
Des campagnes menées dans plusieurs pays
L’infrastructure détectée montre que ces campagnes ciblent à la fois les États-Unis, la Chine, Singapour, mais aussi la Russie, la Pologne et la Lituanie. Les institutions imitée vont bien au-delà des services postaux et incluent des banques, plateformes de cryptomonnaie, entreprises publiques, forces de l’ordre et services sociaux.
Dans le cadre de campagnes imitant des services gouvernementaux, les utilisateurs sont souvent redirigés vers des pages frauduleuses signalant des frais impayés. Certaines pages utilisent même une fausse vérification CAPTCHA, via ClickFix, pour inciter à l’exécution de code malveillant.
Une structure hautement décentralisée
Les chercheurs de Unit 42 décrivent la campagne comme décentralisée, avec un enregistrement quotidien de milliers de domaines pour maintenir sa capacité d’attaque. Cette approche rend sa détection particulièrement complexe par les systèmes de sécurité classiques. De nombreuses cibles reçoivent des SMS ciblés, à partir de bases de données constituées via des fuites de données ou la revente de numéros validés via des bots de vérification.
Face à l’évolution et à la sophistication de ces menaces, CyberCare accompagne les entreprises dans la mise en place de solutions de sécurité pour contrer ces attaques et assure une vigilance constante contre le phishing mobile.
