{"id":162200,"date":"2025-10-23T03:00:50","date_gmt":"2025-10-23T10:00:50","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=162200"},"modified":"2025-10-22T15:19:58","modified_gmt":"2025-10-22T22:19:58","slug":"global-smishing-campaign","status":"publish","type":"post","link":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/global-smishing-campaign\/","title":{"rendered":"Un d\u00e9luge de smishing : Une campagne chinoise inonde le monde de SMS frauduleux"},"content":{"rendered":"<h2><a id=\"post-162200-_1bmom75005k0\"><\/a>R\u00e9sum\u00e9 ex\u00e9cutif<\/h2>\n<p>Nous attribuons une campagne de smishing (hame\u00e7onnage par SMS) en cours, bas\u00e9e sur de fausses notifications d'infraction de p\u00e9age et d'\u00e9chec de livraison de colis, \u00e0 un groupe largement connu sous le nom de \"Smishing Triad\". Notre analyse indique que cette campagne constitue une menace bien plus \u00e9tendue et complexe que ce qui avait \u00e9t\u00e9 rapport\u00e9 pr\u00e9c\u00e9demment. Les attaquants ont usurp\u00e9 des services internationaux dans un large \u00e9ventail de secteurs critiques.<\/p>\n<p>Les attaquants ciblent les r\u00e9sidents am\u00e9ricains dans cette campagne depuis avril 2024. L'acteur de la menace fait \u00e9voluer ses tactiques en \u00e9tendant sa port\u00e9e \u00e0 l'\u00e9chelle mondiale et en am\u00e9liorant les tactiques d'ing\u00e9nierie sociale utilis\u00e9es dans le smishing li\u00e9 aux livraisons.<\/p>\n<p>L'acteur de la menace \u00e9largit \u00e9galement la gamme de services qu'il usurpe pour inclure de nombreux services internationaux dans des secteurs critiques, tels que :<\/p>\n<ul>\n<li>Services bancaires<\/li>\n<li>Plateformes de cryptomonnaies<\/li>\n<li>Plateformes d'e-commerce<\/li>\n<li>Soins de sant\u00e9<\/li>\n<li>Forces de l'ordre<\/li>\n<li>M\u00e9dias sociaux<\/li>\n<\/ul>\n<p>La campagne est hautement d\u00e9centralis\u00e9e, d\u00e9pourvue d'un point de contr\u00f4le unique, et utilise un grand nombre de domaines ainsi qu'un ensemble diversifi\u00e9 d'infrastructures d'h\u00e9bergement. C'est un avantage pour les attaquants, car le renouvellement de milliers de domaines chaque semaine rend la d\u00e9tection plus difficile.<\/p>\n<p>Gr\u00e2ce \u00e0 notre cadre de renseignement (intelligence framework), nous avons identifi\u00e9 plus de 194 000 domaines malveillants li\u00e9s \u00e0 cette op\u00e9ration depuis le 1er janvier 2024. Bien que ces domaines soient enregistr\u00e9s via un bureau d'enregistrement bas\u00e9 \u00e0 Hong Kong (registrar) et utilisent des serveurs de noms (nameservers) chinois, l'infrastructure d'attaque est principalement h\u00e9berg\u00e9e sur des services cloud am\u00e9ricains populaires.<\/p>\n<p>Cette campagne utilise les SMS pour l'ing\u00e9nierie sociale afin de cr\u00e9er un sentiment d'urgence et d'inciter les victimes \u00e0 une action imm\u00e9diate. L'\u00e9chelle mondiale de la campagne, son infrastructure complexe et ses pages d'hame\u00e7onnage r\u00e9alistes sugg\u00e8rent fortement qu'elle est aliment\u00e9e par une op\u00e9ration de type PhaaS (Phishing-as-a-Service) d'envergure et dot\u00e9e de ressources importantes. Cela pose une menace g\u00e9n\u00e9ralis\u00e9e pour les individus \u00e0 l'\u00e9chelle mondiale. Ces pages d'hame\u00e7onnage visent \u00e0 collecter des informations sensibles telles que les num\u00e9ros d'identification nationaux (comme les num\u00e9ros de s\u00e9curit\u00e9 sociale), les adresses postales, les d\u00e9tails de paiement et les identifiants de connexion.<\/p>\n<p>Les clients de Palo Alto Networks b\u00e9n\u00e9ficient d'une protection renforc\u00e9e contre cette activit\u00e9 gr\u00e2ce aux produits et services suivants :<\/p>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> et<a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\"> Advanced DNS Security<\/a><\/li>\n<\/ul>\n<p>Si vous pensez avoir \u00e9t\u00e9 compromis ou si vous avez une question urgente, contactez<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\"> l'\u00e9quipe d'Intervention sur Incident de Unit 42<\/a>.<\/p>\n<table style=\"width: 94.8347%;\">\n<thead>\n<tr>\n<th style=\"width: 41.5755%; text-align: left;\"><strong>Sujets Unit 42 associ\u00e9s<\/strong><\/th>\n<th style=\"width: 228.665%; text-align: left;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/phishing-fr\/\" target=\"_blank\" rel=\"noopener\">Hame\u00e7onnage (Phishing)<\/a>,<a href=\"https:\/\/unit42.paloaltonetworks.com\/tag\/sms\/\" target=\"_blank\" rel=\"noopener\"> SMS<\/a><\/th>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-162200-_aemjtftle2on\"><\/a>Analyse technique de la campagne \u00e9tendue de \"Smishing Triad\"<\/h2>\n<p>Plus t\u00f4t cette ann\u00e9e, nous avons publi\u00e9 des posts de renseignement sur les menaces (threat intelligence) en temps opportun, rapportant notre d\u00e9couverte de plus de<a href=\"https:\/\/www.linkedin.com\/feed\/update\/urn:li:ugcPost:7303805644812271616\/\" target=\"_blank\" rel=\"noopener\"> 10 000 domaines impliqu\u00e9s dans des arnaques par smishing<\/a>. Par la suite, nous avons trouv\u00e9 et<a href=\"https:\/\/www.linkedin.com\/feed\/update\/urn:li:ugcPost:7321235269012078593\/\" target=\"_blank\" rel=\"noopener\"> bloqu\u00e9 plus de 91 500 domaines impliqu\u00e9s<\/a> dans la m\u00eame arnaque. Depuis la publication de ces informations, nous avons continu\u00e9 \u00e0 suivre et analyser les acteurs de la menace et les domaines derri\u00e8re ces escroqueries par smishing.<\/p>\n<p>Le fournisseur de s\u00e9curit\u00e9<a href=\"https:\/\/www.resecurity.com\/blog\/article\/Smishing-Triad-Impersonates-Emirates-Post-Target-UAE-Citizens\"> Resecurity attribue ces attaques<\/a> \u00e0 la<a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/actor\/smishing_triad\" target=\"_blank\" rel=\"noopener\"> Smishing Triad<\/a>, signalant que le groupe partage des kits d'hame\u00e7onnage sur Telegram et d'autres services. Cette d\u00e9couverte est<a href=\"https:\/\/www.silentpush.com\/blog\/smishing-triad\/\" target=\"_blank\" rel=\"noopener\"> corrobor\u00e9e par des rapports de suivi<\/a> de Silent Push. Cependant, notre analyse r\u00e9v\u00e8le que la port\u00e9e de la campagne est beaucoup plus large et \u00e9volue plus rapidement qu'on ne le savait auparavant.<\/p>\n<p>De nombreux indicateurs sugg\u00e8rent que la campagne est en constante \u00e9volution.<a href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/phishing-campaign-targeting-mobile-users-in-india-using-india-post-lures\" target=\"_blank\" rel=\"noopener\"> Un article de Fortinet<\/a> a soulign\u00e9 le fait que les acteurs de la menace utilisent des fonctionnalit\u00e9s \"email-to-SMS\". Cet article note que des adresses email arbitraires peuvent \u00eatre utilis\u00e9es pour envoyer des messages via iMessage. Cependant, nous avons observ\u00e9 que des messages de smishing plus r\u00e9cents ont commenc\u00e9 \u00e0 utiliser des num\u00e9ros de t\u00e9l\u00e9phone.<\/p>\n<p>Beaucoup de ces messages sont re\u00e7us depuis des num\u00e9ros de t\u00e9l\u00e9phone commen\u00e7ant par l'indicatif international des Philippines (+63). Cependant, un nombre croissant de messages de cette campagne est \u00e9galement re\u00e7u depuis des num\u00e9ros de t\u00e9l\u00e9phone am\u00e9ricains (+1).<\/p>\n<p>Suivre tous les domaines de cette campagne est difficile en raison de sa nature d\u00e9centralis\u00e9e. Les domaines d'attaque ont une vie courte et sont constamment renouvel\u00e9s, avec des milliers d'enregistrements quotidiens. L'\u00e9volution rapide de la campagne souligne que le suivi des domaines racine en utilisant uniquement des sch\u00e9mas lexicaux (lexical patterns) n'est pas suffisant.<\/p>\n<p>Nous avons d\u00e9velopp\u00e9 un cadre de renseignement \u00e0 multiples facettes pour suivre cette campagne. Il synth\u00e9tise les donn\u00e9es des sources suivantes :<\/p>\n<ul>\n<li>M\u00e9triques de r\u00e9putation WHOIS et DNS passif (pDNS)<\/li>\n<li>\u00c9volution des sch\u00e9mas de domaines (domain patterns)<\/li>\n<li>Regroupement visuel (visual clustering) de captures d'\u00e9cran<\/li>\n<li>Analyse d'infrastructure bas\u00e9e sur les graphes<\/li>\n<\/ul>\n<p>En utilisant notre cadre de renseignement \u00e0 multiples facettes, nous avons trouv\u00e9 un total de 194 345 noms de domaine complets (<a href=\"https:\/\/www.cloudns.net\/blog\/fqdn-fully-qualified-domain-name\/\" target=\"_blank\" rel=\"noopener\">FQDN<\/a>) r\u00e9partis sur 136 933 domaines racine associ\u00e9s \u00e0 cette campagne. Ces domaines racine ont \u00e9t\u00e9 enregistr\u00e9s \u00e0 partir du 1er janvier 2024.<\/p>\n<p>La majorit\u00e9 de ces domaines est enregistr\u00e9e via Dominet (HK) Limited, un bureau d'enregistrement bas\u00e9 \u00e0 Hong Kong, et utilise des serveurs de noms chinois. Bien que l'enregistrement des domaines et l'infrastructure DNS proviennent de Chine, l'infrastructure d'attaque (les adresses IP d'h\u00e9bergement) est concentr\u00e9e aux \u00c9tats-Unis, en particulier au sein de services cloud populaires.<\/p>\n<p>Nous constatons que les domaines de cette campagne usurpent des services mondiaux dans de nombreux secteurs, notamment :<\/p>\n<ul>\n<li>Services critiques : Banque, sant\u00e9 et forces de l'ordre (par exemple, des soci\u00e9t\u00e9s multinationales de services financiers et d'investissement, des forces de police de villes du Moyen-Orient)<\/li>\n<li>Services largement utilis\u00e9s : E-commerce, m\u00e9dias sociaux, jeux en ligne et plateformes d'\u00e9change de cryptomonnaies (par exemple, plusieurs march\u00e9s d'e-commerce et plateformes d'\u00e9change de cryptomonnaies bas\u00e9s en Russie)<\/li>\n<li>Services pr\u00e9c\u00e9demment signal\u00e9s : P\u00e9ages et services postaux et de livraison de colis \u00e9tatiques mondiaux, s'\u00e9tendant au-del\u00e0 des \u00c9tats-Unis (par exemple, Isra\u00ebl, Canada, France, Allemagne, Irlande, Australie, Argentine)<\/li>\n<\/ul>\n<p>Les attaquants cr\u00e9ent des messages SMS pour diffuser ces URL. Ceux-ci sont hautement personnalis\u00e9s pour les victimes afin de les contraindre \u00e0 une action imm\u00e9diate. L'utilisation de techniques d'ing\u00e9nierie sociale cr\u00e9e un sentiment d'urgence. En employant des informations personnelles cibl\u00e9es et en incorporant un jargon technique ou juridique, ils peuvent para\u00eetre plus l\u00e9gitimes. Ces \u00e9l\u00e9ments, combin\u00e9s \u00e0 l'\u00e9tendue des services imit\u00e9s, sugg\u00e8rent qu'une vaste op\u00e9ration de PhaaS est \u00e0 l'origine de cette campagne.<\/p>\n<h2><a id=\"post-162200-_lq9nfhpsj5aa\"><\/a>L'\u00c9cosyst\u00e8me clandestin du Phishing-as-a-Service (PhaaS)<\/h2>\n<p>Dans cette section, nous discutons de l'\u00e9cosyst\u00e8me clandestin du PhaaS et examinons le canal Telegram de la \"Smishing Triad\". Au cours des six derniers mois, le canal est pass\u00e9 d'un march\u00e9 d\u00e9di\u00e9 aux kits d'hame\u00e7onnage \u00e0 une communaut\u00e9 tr\u00e8s active qui rassemble divers acteurs de la menace au sein de l'\u00e9cosyst\u00e8me PhaaS.<\/p>\n<p>La Figure 1 montre des historiques de discussion de diff\u00e9rents participants au sein du canal. La plupart des messages font la publicit\u00e9 de divers services clandestins tels que l'enregistrement de domaines, la vente de donn\u00e9es et la livraison de messages. Soulignant la concurrence intense au sein de cet \u00e9cosyst\u00e8me, de multiples acteurs de la menace rivalisent pour offrir les m\u00eames services, en particulier la livraison de messages RCS (Rich Communication Services) et IM (Instant Message).<\/p>\n<figure id=\"attachment_162201\" aria-describedby=\"caption-attachment-162201\" style=\"width: 900px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162201 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-940837-162200-1.png\" alt=\"\" width=\"900\" height=\"675\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-940837-162200-1.png 960w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-940837-162200-1-587x440.png 587w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-940837-162200-1-933x700.png 933w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-940837-162200-1-768x576.png 768w\" sizes=\"(max-width: 900px) 100vw, 900px\" \/><figcaption id=\"caption-attachment-162201\" class=\"wp-caption-text\">Figure 1. Historique des discussions Telegram de diff\u00e9rents acteurs de la menace dans l'\u00e9cosyst\u00e8me PhaaS.<\/figcaption><\/figure>\n<p>La Figure 2 illustre ci-dessous les diff\u00e9rents r\u00f4les actifs sur le canal Telegram de la \"Smishing Triad\" et leurs interactions.<\/p>\n<figure id=\"attachment_162322\" aria-describedby=\"caption-attachment-162322\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162322 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/FR_Phaas-eco-458x440.png\" alt=\"\" width=\"1000\" height=\"961\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/FR_Phaas-eco-458x440.png 458w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/FR_Phaas-eco-728x700.png 728w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/FR_Phaas-eco-768x738.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/FR_Phaas-eco-1536x1476.png 1536w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/FR_Phaas-eco-2048x1969.png 2048w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-162322\" class=\"wp-caption-text\">Figure 2. L'\u00e9cosyst\u00e8me PhaaS de la \"Smishing Triad\".<\/figcaption><\/figure>\n<p>Les acteurs de la menace se sp\u00e9cialisent dans diff\u00e9rentes \u00e9tapes de la cha\u00eene d'approvisionnement (supply chain) du smishing, ce qui leur permet de lancer des attaques de mani\u00e8re plus efficace et \u00e0 plus grande \u00e9chelle :<\/p>\n<ul>\n<li>Amont\n<ul>\n<li>Courtier en donn\u00e9es (Data broker) : Vend des num\u00e9ros de t\u00e9l\u00e9phone cibles<\/li>\n<li>Vendeur de domaines : Enregistre des domaines jetables pour h\u00e9berger des sites web d'hame\u00e7onnage<\/li>\n<li>Fournisseur d'h\u00e9bergement : Fournit des serveurs pour ex\u00e9cuter les backends d'hame\u00e7onnage<\/li>\n<\/ul>\n<\/li>\n<li>Interm\u00e9diaire\n<ul>\n<li>D\u00e9veloppeur de kits d'hame\u00e7onnage : Construit les sites web d'hame\u00e7onnage (frontend et backend) et maintient la plateforme PhaaS, y compris les tableaux de bord pour r\u00e9colter et g\u00e9rer les identifiants vol\u00e9s<\/li>\n<\/ul>\n<\/li>\n<li>Aval\n<ul>\n<li>Spammeur SMS\/RCS\/IM : D\u00e9livre des messages d'hame\u00e7onnage \u00e0 grande \u00e9chelle pour diriger les victimes vers les sites d'hame\u00e7onnage<\/li>\n<\/ul>\n<\/li>\n<li>Support\n<ul>\n<li>Scanner de vivacit\u00e9 (Liveness scanner) : V\u00e9rifie quels num\u00e9ros de t\u00e9l\u00e9phone cibles sont valides et actifs<\/li>\n<li>Scanner de listes de blocage (Blocklist scanner) : V\u00e9rifie les domaines d'hame\u00e7onnage par rapport aux listes de blocage pour d\u00e9clencher la rotation des actifs<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h2><a id=\"post-162200-_h6n8ezo772y4\"><\/a>Domaines impliqu\u00e9s dans la campagne<\/h2>\n<p>Une majorit\u00e9 des domaines racine impliqu\u00e9s dans cette campagne a \u00e9t\u00e9 cr\u00e9\u00e9e avec une s\u00e9rie de cha\u00eenes de caract\u00e8res s\u00e9par\u00e9es par des tirets, suivie d'un domaine de premier niveau (TLD) (par exemple, <span style=\"font-family: 'courier new', courier, monospace;\">[string1]-[string2].[TLD]<\/span>)\u200b\u200bDans cette section, nous d\u00e9crivons la partie avant le premier tiret comme un pr\u00e9fixe. En conjonction avec un sous-domaine bien connu, ces pr\u00e9fixes pourraient potentiellement tromper les victimes. Par exemple, une inspection rapide du domaine <span style=\"font-family: 'courier new', courier, monospace;\">irs.gov-addpayment[.]info<\/span> pourrait faire croire aux gens qu'ils naviguent vers <span style=\"font-family: 'courier new', courier, monospace;\">irs[.]gov.<\/span><\/p>\n<p>La Figure 3 montre les pr\u00e9fixes les plus populaires des noms de domaine utilis\u00e9s dans les 136 933 domaines racine que nous avons trouv\u00e9s dans cette campagne.<\/p>\n<figure id=\"attachment_162223\" aria-describedby=\"caption-attachment-162223\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162223 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/chart-4.png\" alt=\"Chart\" width=\"1000\" height=\"673\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/chart-4.png 2048w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/chart-4-654x440.png 654w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/chart-4-1040x700.png 1040w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/chart-4-768x517.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/chart-4-1536x1034.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-162223\" class=\"wp-caption-text\">Figure 3. Les 10 pr\u00e9fixes les plus populaires des domaines racine trouv\u00e9s dans cette campagne.<\/figcaption><\/figure>\n<p>Bien que ces domaines soient enregistr\u00e9s via divers bureaux d'enregistrement, une majorit\u00e9 significative (68,06 % soit 93 197) des domaines racine est enregistr\u00e9e sous Dominet (HK) Limited, un bureau d'enregistrement bas\u00e9 \u00e0 Hong Kong. Les bureaux d'enregistrement suivants les plus populaires sont Namesilo avec 11,85 % (16 227) et Gname avec 7,94 % (10 873) des domaines racine.<\/p>\n<h3><a id=\"post-162200-_bjmf3b5x06va\"><\/a>Tendances d'enregistrement des domaines<\/h3>\n<p>Les dates de cr\u00e9ation WHOIS montr\u00e9es dans la Figure 4 r\u00e9v\u00e8lent un changement int\u00e9ressant. Nous avons s\u00e9lectionn\u00e9 les 10 pr\u00e9fixes de domaine les plus populaires de cette campagne. Les domaines avec le pr\u00e9fixe com- \u00e9taient les plus couramment enregistr\u00e9s dans cette campagne jusqu'en mai 2025. Cependant, au cours des trois derniers mois, nous avons observ\u00e9 une augmentation significative de l'enregistrement des domaines gov- par rapport aux domaines com-. Cela indique que la campagne \u00e9volue pour s'adapter aux types de services qu'elle usurpe.<\/p>\n<figure id=\"attachment_162234\" aria-describedby=\"caption-attachment-162234\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162234 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-952995-162200-4.png\" alt=\"\" width=\"1000\" height=\"422\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-952995-162200-4.png 1245w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-952995-162200-4-786x331.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-952995-162200-4-768x324.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-162234\" class=\"wp-caption-text\">Figure 4. Dates de cr\u00e9ation WHOIS pour les domaines appartenant \u00e0 cette campagne.<\/figcaption><\/figure>\n<h3><a id=\"post-162200-_6e4i1citjau\"><\/a>Dur\u00e9e de vie des domaines<\/h3>\n<p>Nous avons \u00e9galement \u00e9valu\u00e9 la dur\u00e9e de vie des domaines utilis\u00e9s dans cette campagne \u00e0 l'aide des donn\u00e9es pDNS. La dur\u00e9e de vie d'un domaine est la dur\u00e9e entre ses premiers (\"first seen\") et derniers (\"last seen\") horodatages.<\/p>\n<p>Comme d\u00e9taill\u00e9 dans la Figure 5, 39 964 (29,19 %) domaines ont \u00e9t\u00e9 actifs pendant deux jours ou moins. Nous avons vu que 71,3 % de ces domaines \u00e9taient actifs pendant moins d'une semaine et 82,6 % avaient une dur\u00e9e de vie de deux semaines ou moins.<\/p>\n<p>Moins de 6 % des domaines restent actifs au-del\u00e0 des trois premiers mois de leur enregistrement. Ce renouvellement (churn) rapide d\u00e9montre clairement que la strat\u00e9gie de la campagne repose sur un cycle continu de domaines nouvellement enregistr\u00e9s pour \u00e9chapper \u00e0 la d\u00e9tection.<\/p>\n<figure id=\"attachment_162245\" aria-describedby=\"caption-attachment-162245\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162245 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-955698-162200-5.png\" alt=\"\" width=\"1000\" height=\"500\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-955698-162200-5.png 1200w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-955698-162200-5-786x393.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-955698-162200-5-768x384.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-162245\" class=\"wp-caption-text\">Figure 5. Distribution de la dur\u00e9e de vie des domaines \u00e0 partir des donn\u00e9es pDNS.<\/figcaption><\/figure>\n<h2><a id=\"post-162200-_c0y35oucsv3y\"><\/a>Infrastructure r\u00e9seau<\/h2>\n<p>Comme mentionn\u00e9 pr\u00e9c\u00e9demment, les domaines impliqu\u00e9s dans ces campagnes sont hautement d\u00e9centralis\u00e9s. Dans cette section, nous examinons l'infrastructure r\u00e9seau de la campagne.<\/p>\n<h3><a id=\"post-162200-_regxn25nniyu\"><\/a>Infrastructure DNS<\/h3>\n<p>Les 194 345 FQDN de cette campagne se r\u00e9solvent en un ensemble vaste et diversifi\u00e9 d'environ 43 494 adresses IP uniques. La campagne utilise une majorit\u00e9 d'adresses IP am\u00e9ricaines h\u00e9berg\u00e9es sur le Syst\u00e8me Autonome AS13335, en particulier dans le sous-r\u00e9seau <span style=\"font-family: 'courier new', courier, monospace;\">104.21.0[.]0\/16<\/span>.<\/p>\n<p>En revanche, l'infrastructure des serveurs de noms (nameservers) est plus concentr\u00e9e, avec seulement 837 domaines racine de serveurs de noms uniques. Une grande majorit\u00e9 des FQDN utilise seulement deux fournisseurs : AliDNS (45,6 %) et Cloudflare (34,6 %). Cette centralisation sugg\u00e8re que si l'h\u00e9bergement web de la campagne est largement distribu\u00e9, sa gestion DNS est consolid\u00e9e sous quelques services cl\u00e9s.<\/p>\n<h3><a id=\"post-162200-_bu64zjg4dhiz\"><\/a>Graphe de l'infrastructure de la campagne<\/h3>\n<p>Dans la Figure 6, nous pr\u00e9sentons un exemple de graphe illustrant cette campagne. Nous voyons qu'il y a 90 domaines racine diff\u00e9rents pointant vers un ensemble d'adresses IP dans le sous-r\u00e9seau 104.21.0[.]0\/16 appartenant \u00e0 AS13335. Il existe plusieurs clusters localis\u00e9s de ce type pour chaque adresse IP et serveur de noms.<\/p>\n<p><figure id=\"attachment_162256\" aria-describedby=\"caption-attachment-162256\" style=\"width: 900px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162256 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-958346-162200-6.png\" alt=\"\" width=\"900\" height=\"963\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-958346-162200-6.png 1914w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-958346-162200-6-411x440.png 411w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-958346-162200-6-654x700.png 654w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-958346-162200-6-768x822.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-958346-162200-6-1436x1536.png 1436w\" sizes=\"(max-width: 900px) 100vw, 900px\" \/><figcaption id=\"caption-attachment-162256\" class=\"wp-caption-text\">Figure 6. Graphe de la campagne illustrant 90 domaines racine diff\u00e9rents pointant vers un ensemble d'adresses IP dans le sous-r\u00e9seau <span style=\"font-family: 'courier new', courier, monospace;\">104.21.0[.]0\/16<\/span>.<\/figcaption><\/figure>Le service postal des \u00c9tats-Unis (USPS) est le service le plus usurp\u00e9 avec 28 045 FQDN. La cat\u00e9gorie plus large des services de p\u00e9age est la cat\u00e9gorie la plus usurp\u00e9e dans cette campagne, avec pr\u00e8s de 90 000 FQDN d'hame\u00e7onnage d\u00e9di\u00e9s.<\/p>\n<p>Nous pr\u00e9sentons des exemples de domaines qui se font passer pour diff\u00e9rents types de services dans la section Marques et Services Usurp\u00e9s.<\/p>\n<h3><a id=\"post-162200-_fol8if8m0zbd\"><\/a>G\u00e9olocalisation de l'infrastructure des domaines d'attaque<\/h3>\n<p>Les domaines d'attaque sont h\u00e9berg\u00e9s sur diff\u00e9rentes adresses IP qui sont g\u00e9olocalis\u00e9es dans divers pays. Pour identifier les domaines g\u00e9n\u00e9rant le plus de trafic, nous avons analys\u00e9 la distribution des requ\u00eates pDNS pour trouver le volume de requ\u00eates DNS pour tous les domaines de la campagne.<\/p>\n<p>Nous avons agr\u00e9g\u00e9 le nombre de r\u00e9ponses DNS par domaine et g\u00e9olocalis\u00e9 les adresses IP dans ces r\u00e9ponses. Les requ\u00eates vers des domaines situ\u00e9s aux \u00c9tats-Unis repr\u00e9sentent plus de la moiti\u00e9 du volume des requ\u00eates, comme le montre la Figure 7. L'infrastructure d'attaque pour les domaines g\u00e9n\u00e9rant le plus grand volume de trafic \u00e9tait situ\u00e9e aux \u00c9tats-Unis, suivis de la Chine et de Singapour.<\/p>\n<figure id=\"attachment_162267\" aria-describedby=\"caption-attachment-162267\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162267 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/chart-5.png\" alt=\"Chart\" width=\"1000\" height=\"619\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/chart-5.png 2048w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/chart-5-711x440.png 711w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/chart-5-1131x700.png 1131w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/chart-5-768x475.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/chart-5-1536x950.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-162267\" class=\"wp-caption-text\">Figure 7. Distribution des requ\u00eates DNS vers les domaines d'attaque par g\u00e9olocalisation des adresses IP.<\/figcaption><\/figure>\n<h2><a id=\"post-162200-_gtp1ypqdk8ay\"><\/a>Marques et services usurp\u00e9s<\/h2>\n<p>Une grande partie de l'infrastructure d'attaque que nous avons observ\u00e9e \u00e9tait bas\u00e9e aux \u00c9tats-Unis, et les services usurp\u00e9s refl\u00e9taient cela. Cependant, nous avons \u00e9galement identifi\u00e9 des attaquants usurpant des services dans d'autres pays.<\/p>\n<h3><a id=\"post-162200-_3c4xcoe0hels\"><\/a>Forte concentration sur les \u00c9tats-Unis<\/h3>\n<p>La campagne cible les individus. Elle envoie des messages qui se font passer pour diverses organisations commerciales ainsi que des bureaux gouvernementaux \u00e9tatiques et f\u00e9d\u00e9raux am\u00e9ricains, tels que :<\/p>\n<ul>\n<li>Services postaux et de livraison de colis commerciaux et \u00e9tatiques<\/li>\n<li>Agences nationales des v\u00e9hicules et des permis de conduire<\/li>\n<li>Services ou agences fiscales \u00e9tatiques et f\u00e9d\u00e9rales<\/li>\n<\/ul>\n<p>Nous avons \u00e9galement trouv\u00e9 des mentions de noms d'\u00c9tats am\u00e9ricains et de leurs abr\u00e9viations \u00e0 deux lettres dans les FQDN.<\/p>\n<h3><a id=\"post-162200-_u8rx0t924ily\"><\/a>Marques et services mondiaux<\/h3>\n<ul>\n<li>Services critiques : Cette campagne comprend souvent des messages qui imitent ceux qui pourraient provenir de services critiques tels que les services postaux, les services de paiement de p\u00e9age, les forces de l'ordre et les banques dans plusieurs pays :<\/li>\n<li>Les \u00c9tats-Unis (banques, services postaux et de livraison, p\u00e9ages)\n<ul>\n<li>L'Allemagne (services postaux et de livraison, banques d'investissement et caisses d'\u00e9pargne)<\/li>\n<li>Les \u00c9mirats arabes unis (forces de police de plusieurs villes)<\/li>\n<li>Le Royaume-Uni (services publics)<\/li>\n<li>La Malaisie, le Mexique (banques)<\/li>\n<li>L'Argentine, l'Australie, le Canada, la France, l'Irlande, Isra\u00ebl, la Russie (p\u00e9ages \u00e9lectroniques, ainsi que services postaux et de livraison).<\/li>\n<\/ul>\n<\/li>\n<li>Services g\u00e9n\u00e9raux : La campagne implique l'usurpation de messages provenant de nombreux services g\u00e9n\u00e9raux tels que :<\/li>\n<li>Applications de covoiturage\n<ul>\n<li>Plateformes en ligne de partage de logements et de services d'hospitalit\u00e9<\/li>\n<li>Sites de m\u00e9dias sociaux populaires<\/li>\n<\/ul>\n<\/li>\n<li>Typosquatting : Nous avons observ\u00e9 plusieurs FQDN utilis\u00e9s dans cette campagne qui font du typosquatting de services populaires, y compris des applications de technologie financi\u00e8re et des services de cloud personnel.\n<ul>\n<li>Plateformes d'e-commerce et de paiement en ligne : Cette campagne usurpe \u00e9galement plusieurs grandes plateformes d'e-commerce en :<\/li>\n<\/ul>\n<\/li>\n<li>Russie\n<ul>\n<li>Pologne<\/li>\n<li>Lituanie<\/li>\n<li>Autres pays \u00e0 l'international<\/li>\n<\/ul>\n<\/li>\n<li>Plateformes d'\u00e9change de cryptomonnaies : Nous avons d\u00e9couvert que la campagne usurpe \u00e9galement des plateformes d'\u00e9change de cryptomonnaies, des portefeuilles (wallets) et des plateformes Web3.\n<ul>\n<li>Li\u00e9 aux jeux vid\u00e9o : Nous avons trouv\u00e9 des FQDN utilis\u00e9s dans cette campagne li\u00e9s \u00e0 des jeux en ligne et \u00e0 de faux march\u00e9s pour des skins de jeu (in-game skins).<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h2><a id=\"post-162200-_whvvubgzn0es\"><\/a>Quel contenu est h\u00e9berg\u00e9 ?<\/h2>\n<h3><a id=\"post-162200-_20abh5mrz0h3\"><\/a>Hame\u00e7onnage usurpant des banques et des services populaires<\/h3>\n<p>La page de destination (landing page) la plus courante que nous avons observ\u00e9e contenait du contenu d'hame\u00e7onnage usurpant le service indiqu\u00e9 par le FQDN. La Figure 8 pr\u00e9sente des exemples de pages d'hame\u00e7onnage con\u00e7ues pour ressembler \u00e0 la connexion et \u00e0 la v\u00e9rification d'identit\u00e9 d'une entreprise d'\u00e9lectronique grand public (5 078 FQDN) et d'une importante soci\u00e9t\u00e9 de services financiers (769 FQDN). Celles-ci visent potentiellement \u00e0 extraire les informations de connexion des victimes et d'autres informations sensibles telles que les num\u00e9ros de s\u00e9curit\u00e9 sociale.<\/p>\n<figure id=\"attachment_162278\" aria-describedby=\"caption-attachment-162278\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162278 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-969388-162200-8.jpeg\" alt=\"\" width=\"1000\" height=\"535\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-969388-162200-8.jpeg 2048w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-969388-162200-8-786x421.jpeg 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-969388-162200-8-1308x700.jpeg 1308w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-969388-162200-8-768x411.jpeg 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-969388-162200-8-1536x822.jpeg 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-162278\" class=\"wp-caption-text\">Figure 8. Pages de destination pour les domaines usurpant des banques et des fournisseurs de services populaires.<\/figcaption><\/figure>\n<h3><a id=\"post-162200-_76d8rig7ycrf\"><\/a>Hame\u00e7onnage usurpant des agences gouvernementales<\/h3>\n<p>Nous avons observ\u00e9 des pages d'hame\u00e7onnage usurpant des services gouvernementaux tels que l'IRS (Internal Revenue Service) et les d\u00e9partements des v\u00e9hicules des \u00c9tats am\u00e9ricains, ainsi que d'autres agences li\u00e9es aux transports.<\/p>\n<p>Ces pages de destination mentionnent souvent des frais de p\u00e9age impay\u00e9s et d'autres frais de service. Elles visent potentiellement \u00e0 extraire des identifiants de connexion, des d\u00e9tails personnels et des informations de paiement.<\/p>\n<p>La Figure 9 montre des exemples de pages de destination de domaines usurpant des services de p\u00e9age \u00e9lectronique sp\u00e9cifiques \u00e0 certains \u00c9tats. Ils utilisent les noms des \u00c9tats et de leurs services dans les noms de sous-domaines et utilisent les logos et embl\u00e8mes des \u00c9tats dans les pages d'hame\u00e7onnage.<\/p>\n<figure id=\"attachment_162289\" aria-describedby=\"caption-attachment-162289\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162289 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-972461-162200-9.jpeg\" alt=\"\" width=\"1000\" height=\"537\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-972461-162200-9.jpeg 2048w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-972461-162200-9-786x422.jpeg 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-972461-162200-9-1304x700.jpeg 1304w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-972461-162200-9-768x412.jpeg 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-972461-162200-9-1536x824.jpeg 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-162289\" class=\"wp-caption-text\">Figure 9. Pages de destination pour les domaines usurpant des services de p\u00e9age \u00e9lectronique sp\u00e9cifiques \u00e0 certains \u00c9tats.<\/figcaption><\/figure>\n<p>La Figure 10 montre des exemples de pages de destination usurpant des agences gouvernementales am\u00e9ricaines telles que l'IRS (128 FQDN). La page contient une fausse page CAPTCHA con\u00e7ue pour manipuler les utilisateurs afin qu'ils ex\u00e9cutent des scripts malveillants sur leur machine.<\/p>\n<figure id=\"attachment_162300\" aria-describedby=\"caption-attachment-162300\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162300 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-975625-162200-10.png\" alt=\"\" width=\"1000\" height=\"387\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-975625-162200-10.png 2048w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-975625-162200-10-786x304.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-975625-162200-10-1810x700.png 1810w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-975625-162200-10-768x297.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-975625-162200-10-1536x594.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-162300\" class=\"wp-caption-text\">Figure 10. Pages de destination pour les domaines usurpant des agences gouvernementales.<\/figcaption><\/figure>\n<h3><a id=\"post-162200-_ofy3u8asz435\"><\/a>\u00c9checs de livraison et faux frais de douane<\/h3>\n<p>La Figure 11 montre plusieurs exemples de pages de destination contenant de faux avis d'\u00e9chec de livraison, d'infraction de p\u00e9age, de frais de douane internationaux associ\u00e9s \u00e0 des services postaux et de livraison de colis populaires, et des services de p\u00e9age. Celles-ci visent potentiellement \u00e0 extraire des informations personnelles telles que les adresses postales, les coordonn\u00e9es et les informations de paiement des victimes.<\/p>\n<figure id=\"attachment_162311\" aria-describedby=\"caption-attachment-162311\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162311 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-979509-162200-11.jpeg\" alt=\"\" width=\"1000\" height=\"1039\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-979509-162200-11.jpeg 1971w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-979509-162200-11-423x440.jpeg 423w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-979509-162200-11-674x700.jpeg 674w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-979509-162200-11-768x798.jpeg 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-979509-162200-11-1478x1536.jpeg 1478w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-162311\" class=\"wp-caption-text\">Figure 11. Pages de destination montrant de faux \u00e9checs de livraison et de faux frais de douane.<\/figcaption><\/figure>\n<h2><a id=\"post-162200-_3oq0v4iok9bc\"><\/a>Conclusion<\/h2>\n<p>Nous avons d\u00e9couvert que la campagne de smishing usurpant les services de p\u00e9age am\u00e9ricains n'est pas isol\u00e9e. Il s'agit au contraire d'une campagne \u00e0 grande \u00e9chelle, de port\u00e9e mondiale, usurpant de nombreux services dans diff\u00e9rents secteurs. La menace est hautement d\u00e9centralis\u00e9e. Les attaquants enregistrent et renouvellent (churning) des milliers de domaines quotidiennement.<\/p>\n<p>Pour suivre cette activit\u00e9 en \u00e9volution rapide, nous avons d\u00e9velopp\u00e9 un cadre de renseignement \u00e0 multiples facettes qui synth\u00e9tise les donn\u00e9es des enregistrements WHOIS, du pDNS, des sch\u00e9mas de domaines en \u00e9volution, du regroupement visuel (visual clustering) des pages de destination et de l'analyse d'infrastructure bas\u00e9e sur les graphes.<\/p>\n<p>Nous conseillons au public de faire preuve de vigilance et de prudence. Les gens doivent traiter avec suspicion tout message non sollicit\u00e9 provenant d'exp\u00e9diteurs inconnus. Nous recommandons de v\u00e9rifier toute demande exigeant une action urgente en utilisant le site web ou l'application officielle du fournisseur de services. Cela doit \u00eatre fait sans cliquer sur aucun lien ni appeler aucun num\u00e9ro de t\u00e9l\u00e9phone inclus dans le message suspect.<\/p>\n<h3><a id=\"post-162200-_22umc57bv5mt\"><\/a>Protection et att\u00e9nuation par Palo Alto Networks<\/h3>\n<p>Les clients de Palo Alto Networks b\u00e9n\u00e9ficient d'une protection renforc\u00e9e contre les menaces discut\u00e9es ci-dessus gr\u00e2ce aux produits suivants :<\/p>\n<p><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> et<a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\"> Advanced DNS Security<\/a> identifient les domaines et URL connus associ\u00e9s \u00e0 cette activit\u00e9 comme malveillants.<\/p>\n<p>Si vous pensez avoir \u00e9t\u00e9 compromis ou si vous avez une question urgente, contactez<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\"> l'\u00e9quipe d'Intervention sur Incident de Unit 42<\/a> ou appelez :<\/p>\n<ul>\n<li>Am\u00e9rique du Nord : Num\u00e9ro gratuit : +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Royaume-Uni : +44.20.3743.3660<\/li>\n<li>Europe et Moyen-Orient : +31.20.299.3130<\/li>\n<li>Asie : +65.6983.8730<\/li>\n<li>Japon : +81.50.1790.0200<\/li>\n<li>Australie : +61.2.4062.7950<\/li>\n<li>Inde : 00080005045107<\/li>\n<\/ul>\n<p>Palo Alto Networks a partag\u00e9 ces d\u00e9couvertes avec les autres membres de la Cyber Threat Alliance (CTA). Les membres de la CTA utilisent ces renseignements pour d\u00e9ployer rapidement des protections \u00e0 leurs clients et pour perturber syst\u00e9matiquement les cyberacteurs malveillants. En savoir plus sur la<a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\"> Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-162200-_v956la86z4o\"><\/a>Indicateurs de compromission (IoC)<\/h2>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">icloud.com-remove-device[.]top<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">flde-lity.com-lg[.]icu<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">michigan.gov-etczhh[.]cc<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">utah.gov-etcfr[.]win<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">irs.gov-tax[.]cfd<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">irs.org.gov-tax[.]icu<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">anpost.com-pay[.]online<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">kveesh6.il-363[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">dhl.de-yiore[.]store<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">usps.com-posewxts[.]top<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e-zpass.com-etcha[.]win<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">usps.com-isjjz[.]top<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">flde-lity.com-jw[.]icu<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e-zpass.com-tollbiler[.]icu<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e-zpassny.com-pvbfd[.]win<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e-zpass.com-statementzz[.]world<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e-zpass.com-emea[.]top<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">pikepass.com-chargedae[.]world<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e-zpass.com-etcoz[.]win<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e-zpassny.com-kien[.]top<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e-zpassny.com-xxai[.]vip<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">sunpass.com-hbg[.]vip<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">usps.com-hzasr[.]bid<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e-zpassny.gov-tosz[.]live<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">michigan.gov-imky[.]win<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e-zpass.org-yga[.]xin<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e-zpass.org-qac[.]xin<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ezpass.org-pvwh[.]xin<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ezpassnj.gov-mhmt[.]xin<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e-zpassny.gov-hzwy[.]live<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">irs.gov-addpayment[.]info<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">irs.gov-mo[.]net<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">israeipost.co-ykk[.]vip<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">canpost.id-89b98[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">anpost.id-39732[.]info<\/span><\/li>\n<\/ul>\n<h2><a id=\"post-162200-_h78gzq9jw3gk\"><\/a>Ressources suppl\u00e9mentaires<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.ic3.gov\/PSA\/2024\/PSA240412\" target=\"_blank\" rel=\"noopener\">Internet Crime Complaint Center (IC3) | Escroquerie par smishing concernant une dette pour services de p\u00e9age routier<\/a> \u2013 Annonce de service public du FBI, Num\u00e9ro d'alerte : I-041224-PSA<\/li>\n<li><a href=\"https:\/\/github.com\/PaloAltoNetworks\/Unit42-timely-threat-intel\/blob\/main\/2025-03-06-IOCs-for-smishing-activity.txt\" target=\"_blank\" rel=\"noopener\">Plus de 10 000 domaines enregistr\u00e9s pour du smishing usurpant des services de p\u00e9age et de livraison de colis<\/a> \u2013 Unit 42 Timely Threat Intelligence, GitHub<\/li>\n<li><a href=\"https:\/\/github.com\/PaloAltoNetworks\/Unit42-timely-threat-intel\/blob\/main\/2025-04-23-IOCs-for-smishing-activity-update.txt\" target=\"_blank\" rel=\"noopener\">Mise \u00e0 jour sur l'activit\u00e9 de smishing<\/a> \u2013 Unit 42 Timely Threat Intelligence, GitHub<\/li>\n<li><a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/actor\/smishing_triad\" target=\"_blank\" rel=\"noopener\">Smishing Triad (Acteur de la menace)<\/a> \u2013 Malpedia<\/li>\n<li><a href=\"https:\/\/blog.talosintelligence.com\/unraveling-the-us-toll-road-smishing-scams\/\" target=\"_blank\" rel=\"noopener\">D\u00e9m\u00ealer les arnaques par smishing des p\u00e9ages routiers am\u00e9ricains<\/a> \u2013 Blog, Cisco Talos<\/li>\n<li><a href=\"https:\/\/www.silentpush.com\/blog\/smishing-triad\/\" target=\"_blank\" rel=\"noopener\">Smishing Triad : Un groupe d'eCrime chinois cible plus de 121 pays, introduit un nouveau kit d'hame\u00e7onnage bancaire<\/a> \u2013 Silent Push<\/li>\n<li><a href=\"https:\/\/www.fox9.com\/news\/scam-texts-mn-agencies-increasing-june-2025\" target=\"_blank\" rel=\"noopener\">Des arnaques par SMS ciblant le DMV (Department of Motor Vehicles) avec de faux avertissements de contravention : Ce que vous devez faire<\/a> \u2013 FOX 9 KMSP<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>L'activit\u00e9 mondiale de smishing suivie par Unit 42 inclut l'usurpation de nombreux services critiques. Son \u00e9cosyst\u00e8me unique permet aux attaquants de s'adapter et de changer d'\u00e9chelle rapidement.<\/p>\n","protected":false},"author":321,"featured_media":166128,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8787,8832],"tags":[9266,9708,9187],"product_categories":[8956,8973,8955],"coauthors":[8366,1434,2645,8582,3854,8544],"class_list":["post-162200","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-malware-fr","category-threat-research-fr","tag-phishing-fr","tag-smishing-fr","tag-social-engineering-fr","product_categories-advanced-dns-security-fr","product_categories-advanced-url-filtering-fr","product_categories-cloud-delivered-security-services-fr"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Un d\u00e9luge de smishing : Une campagne chinoise inonde le monde de SMS frauduleux<\/title>\n<meta name=\"description\" content=\"L&#039;activit\u00e9 mondiale de smishing suivie par Unit 42 inclut l&#039;usurpation de nombreux services critiques. Son \u00e9cosyst\u00e8me unique permet aux attaquants de s&#039;adapter et de changer d&#039;\u00e9chelle rapidement.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/global-smishing-campaign\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Un d\u00e9luge de smishing : Une campagne chinoise inonde le monde de SMS frauduleux\" \/>\n<meta property=\"og:description\" content=\"L&#039;activit\u00e9 mondiale de smishing suivie par Unit 42 inclut l&#039;usurpation de nombreux services critiques. Son \u00e9cosyst\u00e8me unique permet aux attaquants de s&#039;adapter et de changer d&#039;\u00e9chelle rapidement.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/fr\/global-smishing-campaign\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-10-23T10:00:50+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2024\/08\/01_Vulnerabilities_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Reethika Ramesh, Zhanhao Chen, Daiping Liu, Chi-Wei Liu, Shehroze Farooqi, Moe Ghasemisharif\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Un d\u00e9luge de smishing : Une campagne chinoise inonde le monde de SMS frauduleux","description":"L'activit\u00e9 mondiale de smishing suivie par Unit 42 inclut l'usurpation de nombreux services critiques. Son \u00e9cosyst\u00e8me unique permet aux attaquants de s'adapter et de changer d'\u00e9chelle rapidement.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/fr\/global-smishing-campaign\/","og_locale":"fr_FR","og_type":"article","og_title":"Un d\u00e9luge de smishing : Une campagne chinoise inonde le monde de SMS frauduleux","og_description":"L'activit\u00e9 mondiale de smishing suivie par Unit 42 inclut l'usurpation de nombreux services critiques. Son \u00e9cosyst\u00e8me unique permet aux attaquants de s'adapter et de changer d'\u00e9chelle rapidement.","og_url":"https:\/\/unit42.paloaltonetworks.com\/fr\/global-smishing-campaign\/","og_site_name":"Unit 42","article_published_time":"2025-10-23T10:00:50+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2024\/08\/01_Vulnerabilities_1920x900.jpg","type":"image\/jpeg"}],"author":"Reethika Ramesh, Zhanhao Chen, Daiping Liu, Chi-Wei Liu, Shehroze Farooqi, Moe Ghasemisharif","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/global-smishing-campaign\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/global-smishing-campaign\/"},"author":{"name":"Zhanhao Chen","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/8e5c042f619e2a696954ed80ac057ac5"},"headline":"Un d\u00e9luge de smishing : Une campagne chinoise inonde le monde de SMS frauduleux","datePublished":"2025-10-23T10:00:50+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/global-smishing-campaign\/"},"wordCount":3955,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/global-smishing-campaign\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2024\/08\/01_Vulnerabilities_1920x900.jpg","keywords":["phishing","smishing","social engineering"],"articleSection":["Malware","Recherche sur les menaces"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/global-smishing-campaign\/","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/global-smishing-campaign\/","name":"Un d\u00e9luge de smishing : Une campagne chinoise inonde le monde de SMS frauduleux","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/global-smishing-campaign\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/global-smishing-campaign\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2024\/08\/01_Vulnerabilities_1920x900.jpg","datePublished":"2025-10-23T10:00:50+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/8e5c042f619e2a696954ed80ac057ac5"},"description":"L'activit\u00e9 mondiale de smishing suivie par Unit 42 inclut l'usurpation de nombreux services critiques. Son \u00e9cosyst\u00e8me unique permet aux attaquants de s'adapter et de changer d'\u00e9chelle rapidement.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/global-smishing-campaign\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/global-smishing-campaign\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/global-smishing-campaign\/#primaryimage","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2024\/08\/01_Vulnerabilities_1920x900.jpg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2024\/08\/01_Vulnerabilities_1920x900.jpg","width":1920,"height":900,"caption":"Graphic representation of BOLA vulnerabilities. A smartphone displaying graphics of advanced digital technology and data analysis with vibrant red and blue lights, featuring a central icon labeled that looks like an envelope."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/global-smishing-campaign\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Un d\u00e9luge de smishing : Une campagne chinoise inonde le monde de SMS frauduleux"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/8e5c042f619e2a696954ed80ac057ac5","name":"Zhanhao Chen","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/9213e49ea48b7676660bac40d05c9e3e","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Zhanhao Chen"},"url":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/author\/zhachenpaloaltonetworks-com\/"}]}},"_links":{"self":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/162200","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/321"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=162200"}],"version-history":[{"count":2,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/162200\/revisions"}],"predecessor-version":[{"id":162470,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/162200\/revisions\/162470"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/166128"}],"wp:attachment":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=162200"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=162200"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=162200"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=162200"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=162200"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}