CyberVeille.ch📢 Évolution des services PhaaS en langue chinoise : interception temps réel et tokenisation
📝 ## 🌐 Contexte
Publié le 25 mai 2026 par le **Goo...
📖 cyberveille : https://cyberveille.ch/posts/2026-05-31-evolution-des-services-phaas-en-langue-chinoise-interception-temps-reel-et-tokenisation/
🌐 source : https://cloud.google.com/blog/topics/threat-intelligence/chinese-language-phishing-services/?utm_source=substack&utm_medium=email&hl=en
#Chinese_cybercrime #Darcula #Cyberveille
Évolution des services PhaaS en langue chinoise : interception temps réel et tokenisation
🌐 Contexte Publié le 25 mai 2026 par le Google Threat Intelligence Group (GTIG), cet article présente une analyse approfondie de l’écosystème Phishing-as-a-Service (PhaaS) en langue chinoise, en pleine expansion face à l’écosystème russophone historiquement dominant. GTIG a analysé une douzaine de plateformes actives, toutes considérées comme matures. 🎯 Caractéristiques distinctives de l’écosystème PhaaS chinois Cibles quasi exclusivement non-chinoises : les organisations imitées sont étrangères, suggérant que la Chine elle-même est rarement visée Ciblage opportuniste du grand public, contrairement aux PhaaS russophones qui visent les clients de grandes organisations Opérations ouvertes : faible souci de l’OPSEC, publications de photos de style de vie luxueux sur Telegram Publicité via Telegram plutôt que WeChat ou QQ Offre étendue : PII, enregistrement de domaines, hébergement VPS, location de serveurs, blanchiment d’argent, IMSI catchers, services de spam, données de cartes bancaires volées ⚙️ TTPs notables Livraison via RCS et iMessage : exploitation du chiffrement de bout en bout pour contourner les filtres de sécurité des opérateurs SMS ; messages enrichis (accusés de lecture, indicateurs de frappe, images HD) pour maximiser la crédibilité des leurres Interception en temps réel : panneau d’administration live permettant à l’attaquant de capturer les OTP en quelques secondes, contournant ainsi le MFA Exploitation des wallets numériques : provisionnement de la carte de la victime dans un wallet numérique sur un appareil contrôlé par l’attaquant via les credentials et OTP volés, permettant paiements sans contact, transactions de haute valeur et retraits ATM Automatisation par IA : génération de pages de phishing uniques par clonage de sites légitimes (HTML, CSS, JavaScript) via des outils comme Puppeteer, rendant la détection par signature inefficace 🔍 Cas d’étude : YY Lai Yu (YY来鱼) Première publicité en août 2024, géré par « YY Lai Yu », « Jeffrey Carrie » et « Very casual » Supporte le phishing dans 119 pays, avec focus principal sur le Japon Depuis novembre 2025 : plus de 400 templates de phishing ciblant des marques japonaises (Amazon, Apple, DMM, Epos Card, JA Bank, JCB Card, JR, Matsui Securities, Mercari, Monex, Nintendo, Nomura Securities, Orico Card, PayPay, Rakuten Securities, Sagawa Express) Leurres culturellement adaptés : expiration de points de fidélité, subvention hivernale d’électricité au Japon Anti-bot via vérification humaine (clic manuel requis avant la page de phishing) pour contrer l’analyse automatisée Utilisation du service d’enregistrement de domaines Alibaba Panel permettant : requête des données phishées, blocklist par numéro BIN, blocklist par pays/territoire, gestion de domaines et d’utilisateurs opérateurs 📊 Type d’article Il s’agit d’une publication de recherche produite par GTIG, visant à documenter l’évolution structurelle et technique de l’écosystème PhaaS sinophone, ses TTPs émergents et ses capacités de localisation à l’échelle mondiale.
UNWIRE.HK
The DefendOps Diaries
Marcel SIneM(S)US
Peter Krefting
The Threat Codex
BR Data
WDR (inoffiziell)
tagesschau
Tino Eberl