500 domaines. Oui, tu as bien lu. Ce nâest pas un bug dâaffichage ni une redite dâun vieux rapport de 2023. La joyeuse bande de Scattered Spider, connue pour ses attaques audacieuses contre des gĂ©ants comme MGM ou Caesars, revient avec lâĂ©lĂ©gance dâun Ă©lĂ©phant dans un magasin de porcelaine⊠mais version cyber.
RepĂ©rĂ©s par les chercheurs de Check Point, ces domaines sont tout sauf de simples coquilles vides. Ils sont lĂ©chĂ©s, bien pensĂ©s, ressemblent Ă sây mĂ©prendre Ă des portails de confiance. Et surtout, ils ne ciblent pas un seul secteur : la santĂ©, lâĂ©nergie, la finance, les services publics, la tech⊠Câest un festival. Plus quâune campagne, on parle ici dâun dĂ©ploiement industriel du phishing. On est Ă deux doigts de la franchise.
đ Une bande organisĂ©e⊠trĂšs organisĂ©e
Petit rappel pour les retardataires ou ceux qui vivent encore avec leur pare-feu Windows 7 : Scattered Spider nâest pas une Ă©quipe de skaters anarcho-punk, mais bien un collectif de cybercriminels anglophones, formĂ©s pour lâessentiel sur les forums underground nord-amĂ©ricains. Leur spĂ©cialitĂ© ? Le social engineering hardcore, avec MFA fatigue, phishing personnalisĂ©, deepfake vocal si nĂ©cessaire, et tout lâattirail du parfait petit saboteur numĂ©rique.
đ·ïž Scattered Spider : lâaraignĂ©e qui tisse sa toile dans les MFA trouĂ©s
đ·ïž Scattered Spider attaque les assureurs : aprĂšs le pentest des casinos, place au loto de lâassurance
Mais cette fois-ci, on monte encore dâun cran : selon Check Point, la structure des noms de domaine suggĂšre un plan coordonnĂ©, segmentĂ© par industrie, avec des pages dĂ©diĂ©es Ă des cibles spĂ©cifiques. Ce nâest plus une toile dâaraignĂ©e, câest une carte routiĂšre du chaos.
đ Le phishing 2.0 : esthĂ©tique, crĂ©dible et scalable
Si tu tâimagines encore quâun site de phishing, câest un formulaire mal alignĂ© avec un logo flou de Microsoft, tu vis dans le passĂ©. Ces sites sont industriellement beaux. Certificats SSL valides, design responsive, branding soignĂ©, fautes dâorthographe quasi absentes (merci ChatGPT ?)⊠et surtout : ciblage finement ajustĂ©. On nâappĂąte plus lâutilisateur lambda, on chasse le cadre, le technicien, lâadmin, voire le RSSI lui-mĂȘme. Et devine quoi ? Ăa marche.
LâĂ©lĂ©ment le plus cynique ? Ces domaines ont Ă©tĂ© achetĂ©s et configurĂ©s comme le ferait une start-up SaaS. Cela inclut hĂ©bergement distribuĂ©, redirections conditionnelles, intĂ©gration de services tiers pour tracker les clics. Bref, le phishing entre dans lâĂšre du Phishing-as-a-Service (PhaaS) de luxe.
𧚠Les entreprises ? Toujours aussi mal préparées
Tu crois que les entreprises ont appris de leurs erreurs passĂ©es ? Spoiler : non. Lâauthentification multifacteur ? Trop peu, trop tard. La sensibilisation des employĂ©s ? Une formation PowerPoint de 15 minutes par an, avec cafĂ© tiĂšde et viennoiserie industrielle. Les alertes SOC ? ĂtouffĂ©es dans 600 faux positifs par jour.
Pendant que Scattered Spider peaufine son arsenal, la majoritĂ© des DSI se demande encore sâil faut vraiment passer Ă un gestionnaire de mots de passe. Quant au top management, il clique encore sur des piĂšces jointes intitulĂ©es Facture_URGENTE.docx.
đ§ Ce quâil faut retenir (et vite)
- 500 domaines actifs (et peut-ĂȘtre plus dâici demain).
- Un ciblage multi-sectoriel, avec des outils dignes des plus grosses agences marketing.
- Des sites de phishing plus crĂ©dibles que certains intranets dâentreprise.
- Un retour de flamme assurĂ©Â si aucune mesure de sĂ©curitĂ© nâest mise en place rapidement.
đ Comment ne pas se faire manger par lâaraignĂ©e
Si ton job, câest de protĂ©ger ton organisation, voici quelques actions de base (oui, de base) Ă enclencher hier :
- â Bloque et surveille les nouveaux domaines liĂ©s Ă ton organisation (avec un outil comme DomainTools, PhishLabs, ou mĂȘme un script maison).
- â Active une MFA robuste partout, avec des clĂ©s physiques ou des apps OTP sĂ©curisĂ©es (exit le SMS).
- â DĂ©ploie une campagne de sensibilisation digne de ce nom : quiz, phishing simulĂ©, retours en direct.
- â Mets en place une veille continue sur les domaines de phishing repĂ©rĂ©s et les IOC publiĂ©s.
- â Et pour les plus sĂ©rieux : isole les accĂšs sensibles derriĂšre des bastions et un SIEM bien affĂ»tĂ©.
đŻ Conclusion : les araignĂ©es sont dans la maison
Ce que Scattered Spider dĂ©montre avec cette nouvelle salve, câest que lâindustrie cybercriminelle nâa plus rien dâamateur. On est face Ă des groupes capables de structurer des campagnes massives, avec une efficacitĂ© redoutable, pendant que trop dâentreprises restent engluĂ©es dans des process poussiĂ©reux et une cybersĂ©curitĂ© de façade.
Le rĂ©veil risque dâĂȘtre brutal pour certains. Mais aprĂšs tout, quand on laisse les fenĂȘtres ouvertes, il ne faut pas sâĂ©tonner quâune araignĂ©e gĂ©ante vienne tisser sa toile dans le salon.
