Un email m'a amené à enquêter sur l'une des plus grosses campagnes de PHISHING du moment !

Un email m'a amené à enquêter sur l'une des plus grosses campagnes de PHISHING du moment !

05/02/2026

Auteur : Juan Mathews Rebello Santos

1. RÉSUMÉ EXÉCUTIF

Ce rapport technique documente l'enquête médico-légale que j'ai menée à la réception d'un e-mail frauduleux contenant une prétendue notification de prix et un dépôt financier en attente. L’analyse a révélé une infrastructure cybercriminelle sophistiquée menant des campagnes de phishing, de scareware et de fraude par affiliation à l’échelle internationale.

Au cours de l'enquête, j'ai identifié une chaîne de redirections composée de :

  • spam électronique avec ingénierie sociale ;
  • abus de l'infrastructure Cloudflare Pages ;
  • engagement des fonctionnaires de la République Démocratique du Congo ;
  • Infrastructure de commandement et de contrôle (C2) ;
  • utilisation de l'algorithme de génération de domaine (DGA) ;
  • Certificats SSL Wildcard ;
  • et monétisation via les programmes d'affiliation Norton/Gen Digital via Impact Radius.

L’opération démontre un haut niveau de professionnalisme technique, d’évasion anti-analyse et d’automatisation des campagnes malveillantes.

2. ORIGINE DE L'ENQUÊTE

L'enquête a commencé après que j'ai reçu un e-mail clairement faux envoyé à l'adresse :

[email protected]

Le sujet du message était :

Code de prix

Le contenu de l'e-mail mélangeait du texte arabe avec des messages d'urgence financière, une stratégie utilisée pour entraver les filtres anti-spam et accroître l'apparence de légitimité.

Extrait identifié :

شكراً على مشاركتك في المسابقة
يرجى الاحتفاظ بالكود للمراجعة عند السحب

Traduction approximative :

« Merci d'avoir participé au concours.
Veuillez conserver le code pour vérification lors du tirage au sort.

Le message contenait également un supposé code promotionnel :

Code : 9132289937520370

Cependant, le véritable objectif de l’e-mail était d’inciter l’utilisateur à cliquer sur un lien malveillant inséré au milieu du message :

⚠️ Urgent : Votre dépôt de 3 639,00 $ est en attente. Confirmez maintenant :
https://obs.regideso.cd/?8nqrpm

Le contenu affichait également mon adresse e-mail pour ajouter un sentiment de personnalisation et de légitimité :

[email protected]

L'analyse a démontré que l'e-mail a été conçu pour combiner :

  • fausses récompenses ;
  • urgence financière ;
  • langue étrangère ;
  • ingénierie sociale ; *et dissimulation partielle de l'arnaque.

L'objectif était d'inciter la victime à cliquer immédiatement.

3. CHAÎNE DE REDIRECTION MALVEILLANTE

En accédant au lien :

https://obs.regideso.cd/?8nqrpm

J'ai identifié que le domaine ne fonctionnait que comme un relais intermédiaire au sein de l'opération.

Le flux complet observé au cours de l’enquête était :

Spam par courrier électronique
↓
obs.regideso.cd
↓
lin-wharf-river.pages.dev
↓
Sous-domaines aléatoires de yandehyto.com
↓
Domaines finaux de scareware/phishing

Parmi les destinations finales identifiées figuraient :

  • pelnoriva.shop
  • baleiddiste.com
  • phidatharacce.com

Cette architecture démontre une chaîne professionnelle d’obscurcissement de l’infrastructure, rendant difficile le suivi, le blocage automatisé et l’analyse médico-légale.

4. ANALYSE RELAIS ENGAGÉE

Le domaine :

obs.regideso.cd

résolu à l'IP :

161.35.30.54

hébergé sur l'infrastructure DigitalOcean.

Le bien semblait appartenir à la société publique d’approvisionnement en eau de la République Démocratique du Congo :

  • REGIDESO SA

Lors de l'analyse de l'environnement web, j'ai identifié :

  • fichiers PHP non autorisés ;
  • des scripts agissant comme des redirecteurs ;
  • Exposition à l'environnement Laravel ;
  • backend fonctionnant en mode Debug.

Fichiers observés :

  • info.php
  • index.php

Des chemins de serveur internes absolus ont également été exposés :

C:\api-factures\api-factures\

L'exposition de ces informations confirme de graves défauts de durcissement et une configuration non sécurisée du framework Laravel.

5. INFRASTRUCTURE DE COMMANDEMENT ET DE CONTRÔLE (C2)

Le cœur de l'opération était centralisé sur un serveur fonctionnant comme :

  • redirecteur central ;
  • suivi des clics ;
  • passerelle de monétisation ;
  • et contrôleur de campagne.

Point final identifié :

/cliquez.php

6. TECHNIQUES D'ÉVASION

6.1 Dissimulation contre l'analyse

J'ai identifié que le serveur implémentait un masquage actif contre :

  • chercheurs ;
  • scanners automatisés ;
  • IP du centre de données ;
  • des outils comme curl et Nmap.

Lorsqu'il détectait un environnement suspect, le serveur répondait par :

HTTP/1.1 302Trouvé
Emplacement : http://yahoo.com/

ou :

Emplacement : http://google.com/

Cette technique réduit considérablement l’exposition de la page de destination malveillante aux systèmes de sécurité.

6.2 DGA et DNS générique

Au cours de l'enquête, j'ai identifié une utilisation intensive du DNS Wildcard dans le domaine :

yandehyto.com

Tout sous-domaine aléatoire est correctement résolu sur le serveur C2.

Exemples identifiés :

  • q5tzrz.yandehyto.com
  • sj9k9f.yandehyto.com
  • whonou.yandehyto.com

Cette technique permet une rotation infinie des URL sans avoir besoin d'enregistrer de nouveaux domaines.

6.3 Certificats SSL Wildcard

L'opérateur a utilisé des certificats Wildcard valides émis par Let's Encrypt :

*.yandehyto.com

Cela a permis un HTTPS valide pour tous les sous-domaines générés dynamiquement, augmentant ainsi la crédibilité de l'arnaque.

7. ANALYSE DES SCAREWARE DE CHARGE UTILE

Après les redirections, la victime a été redirigée vers des pages hébergées sur :

  • pelnoriva.shop
  • baleiddiste.com
  • phidatharacce.com

Ces pages exécutaient du JavaScript malveillant simulant l'interface de :

  • Protection totale McAfee

Le code contenait des fonctions telles que :

start_circleProgress()

qui simulait de fausses analyses antivirus et affichait des menaces inexistantes :

  • Win32/Hoax.Renos.HX
  • Cheval de Troie IRC/Backdor.Sd.FRV

J'ai également identifié :

  • utilisation de l'API FullScreen ;
  • blocage de la navigation ;
  • Capture de mise au point par onglet ;
  • interception de onbeforeunload.

L'objectif était de générer une pression psychologique pour inciter la victime à acheter immédiatement un antivirus.

8. FRAUDE D'AFFILIATION

La monétisation finale s'est produite via des redirections vers des pages légitimes à partir de :

NortonLifeLock Génération Numérique

La campagne a abusé de la plateforme d'affiliation :

  • Rayon d'impact

Identifiants trouvés :

Numéro de partenaire : 3076190
ID de campagne : 4405

Le modèle opérationnel a converti la peur induite par les scarewares en commission financière.

9. PREUVE MÉDICALE

Redirection HTTP

HTTP/1.1 302 trouvé
Serveur : nginx/1.28.0
Date : vendredi 1er mai 2026 20:12:37 GMT
Emplacement : https://sj9k9f.yandehyto.com/click.php?lp=1&uclick=d7qg...

Détection de masquage :

[Détection déclenchée] -> Redirection vers http://yahoo.com/

Certificat SSL

profondeur = 0 CN = yandehyto.com

X509v3 Nom alternatif du sujet :
DNS :*.yandehyto.com
DNS:yandehyto.com

Émetteur :
C = États-Unis
O = Chiffrons
CN = E7

10. INDICATEURS D'ENGAGEMENT (IOC)

IP

  • '161.35.30.54'

Domaines

  • smilingtooth.com.sa
  • obs.regideso.cd
  • linen-wharf-river.pages.dev
  • yandehyto.com
  • baleiddiste.com
  • phidatharacce.com
  • pelnoriva.shop
  • pelnoriva.pelnoriva.shop

Sous-domaines DGA

  • q5tzrz.yandehyto.com
  • sj9k9f.yandehyto.com
  • whonou.yandehyto.com

ID d'affiliation

ID partenaire Impact Radius : 3076190
ID de campagne : 4405

11. CONCLUSION

Sur la base de l'ensemble de l'enquête menée, j'ai conclu que la campagne analysée représente une opération cybercriminelle hautement professionnelle, utilisant :

hameçonnage ; * les logiciels effrayants ; * masquage ; DGA ; * abus d'infrastructures légitimes ; * fraude d'affiliation ; * et serveurs tiers compromis.

L’opération démontre une forte capacité technique dans :

  • évasion anti-analyse ;
  • ingénierie sociale ;
  • monétisation frauduleuse ;
  • automatisation des campagnes ;
  • et dissimulation des infrastructures.

12. RÉFÉRENCES FIABLES ET ANALYSE DES URLS

Vous trouverez ci-dessous les liens qui prouvent l’analyse des domaines et des URL sur les plateformes de renseignement sur les menaces.

VirusTotal

AlienVault OTX

AbusIPDB

Censys

Sentiers de sécurité

urlscan.io

Shodan

Remarque : Les activités malveillantes et les indicateurs de compromission ont déjà été signalés aux autorités compétentes.