500 domaines. Oui, tu as bien lu. Ce n’est pas un bug d’affichage ni une redite d’un vieux rapport de 2023. La joyeuse bande de Scattered Spider, connue pour ses attaques audacieuses contre des géants comme MGM ou Caesars, revient avec l’élégance d’un éléphant dans un magasin de porcelaine… mais version cyber.
Repérés par les chercheurs de Check Point, ces domaines sont tout sauf de simples coquilles vides. Ils sont léchés, bien pensés, ressemblent à s’y méprendre à des portails de confiance. Et surtout, ils ne ciblent pas un seul secteur : la santé, l’énergie, la finance, les services publics, la tech… C’est un festival. Plus qu’une campagne, on parle ici d’un déploiement industriel du phishing. On est à deux doigts de la franchise.
🎭 Une bande organisée… très organisée
Petit rappel pour les retardataires ou ceux qui vivent encore avec leur pare-feu Windows 7 : Scattered Spider n’est pas une équipe de skaters anarcho-punk, mais bien un collectif de cybercriminels anglophones, formés pour l’essentiel sur les forums underground nord-américains. Leur spécialité ? Le social engineering hardcore, avec MFA fatigue, phishing personnalisé, deepfake vocal si nécessaire, et tout l’attirail du parfait petit saboteur numérique.
🕷️ Scattered Spider : l’araignée qui tisse sa toile dans les MFA troués
🕷️ Scattered Spider attaque les assureurs : après le pentest des casinos, place au loto de l’assurance
Mais cette fois-ci, on monte encore d’un cran : selon Check Point, la structure des noms de domaine suggère un plan coordonné, segmenté par industrie, avec des pages dédiées à des cibles spécifiques. Ce n’est plus une toile d’araignée, c’est une carte routière du chaos.
💉 Le phishing 2.0 : esthétique, crédible et scalable
Si tu t’imagines encore qu’un site de phishing, c’est un formulaire mal aligné avec un logo flou de Microsoft, tu vis dans le passé. Ces sites sont industriellement beaux. Certificats SSL valides, design responsive, branding soigné, fautes d’orthographe quasi absentes (merci ChatGPT ?)… et surtout : ciblage finement ajusté. On n’appâte plus l’utilisateur lambda, on chasse le cadre, le technicien, l’admin, voire le RSSI lui-même. Et devine quoi ? Ça marche.
L’élément le plus cynique ? Ces domaines ont été achetés et configurés comme le ferait une start-up SaaS. Cela inclut hébergement distribué, redirections conditionnelles, intégration de services tiers pour tracker les clics. Bref, le phishing entre dans l’ère du Phishing-as-a-Service (PhaaS) de luxe.
🧨 Les entreprises ? Toujours aussi mal préparées
Tu crois que les entreprises ont appris de leurs erreurs passées ? Spoiler : non. L’authentification multifacteur ? Trop peu, trop tard. La sensibilisation des employés ? Une formation PowerPoint de 15 minutes par an, avec café tiède et viennoiserie industrielle. Les alertes SOC ? Étouffées dans 600 faux positifs par jour.
Pendant que Scattered Spider peaufine son arsenal, la majorité des DSI se demande encore s’il faut vraiment passer à un gestionnaire de mots de passe. Quant au top management, il clique encore sur des pièces jointes intitulées Facture_URGENTE.docx.
🧠 Ce qu’il faut retenir (et vite)
- 500 domaines actifs (et peut-être plus d’ici demain).
- Un ciblage multi-sectoriel, avec des outils dignes des plus grosses agences marketing.
- Des sites de phishing plus crédibles que certains intranets d’entreprise.
- Un retour de flamme assuré si aucune mesure de sécurité n’est mise en place rapidement.
🔐 Comment ne pas se faire manger par l’araignée
Si ton job, c’est de protéger ton organisation, voici quelques actions de base (oui, de base) à enclencher hier :
- ✅ Bloque et surveille les nouveaux domaines liés à ton organisation (avec un outil comme DomainTools, PhishLabs, ou même un script maison).
- ✅ Active une MFA robuste partout, avec des clés physiques ou des apps OTP sécurisées (exit le SMS).
- ✅ Déploie une campagne de sensibilisation digne de ce nom : quiz, phishing simulé, retours en direct.
- ✅ Mets en place une veille continue sur les domaines de phishing repérés et les IOC publiés.
- ✅ Et pour les plus sérieux : isole les accès sensibles derrière des bastions et un SIEM bien affûté.
🎯 Conclusion : les araignées sont dans la maison
Ce que Scattered Spider démontre avec cette nouvelle salve, c’est que l’industrie cybercriminelle n’a plus rien d’amateur. On est face à des groupes capables de structurer des campagnes massives, avec une efficacité redoutable, pendant que trop d’entreprises restent engluées dans des process poussiéreux et une cybersécurité de façade.
Le réveil risque d’être brutal pour certains. Mais après tout, quand on laisse les fenêtres ouvertes, il ne faut pas s’étonner qu’une araignée géante vienne tisser sa toile dans le salon.
