La cellule de veille de l’Association des professionnels de la sécurité de l’information de Côte d’Ivoire (APSI-CI) lance une alerte concernant une nouvelle campagne d’hameçonnage particulièrement sophistiquée, qu’elle a nommée “Phishing en Cascade”. Cette attaque, détectée début décembre 2025, présente un haut niveau de complexité qui lui permet de contourner les dispositifs de sécurité les plus avancés, ciblant principalement des professionnels via des courriels usurpant des identités légitimes.

L’alerte, dont nous avons reçu copie, explique le mode opératoire de cette campagne qui débute par un courriel initial très crédible, prétendant porter sur un appel d’offre. Ce courriel provient d’une boîte mail véritable auparavant compromise et reprend la signature habituelle de son propriétaire, ce qui renforce la confiance et incite la victime à ouvrir un document PDF joint. Ce document, bien que totalement sain et dépourvu de malware, affiche un contenu personnalisé (logo, charte d’entreprise) et contient un lien apparemment légitime.

Ensuite, le lien dirige vers une page web qui semble authentique et ne déclenche pas d’alertes sur les systèmes de sécurité. Cette page de phishing est hébergée comme un sous-site sur le serveur d’une autre entreprise légitime, elle aussi compromise. Pour renforcer l’illusion, cette page intègre un re-Captcha Cloudflare, ce qui donne une apparence supplémentaire de légitimité. La victime est invitée à saisir ses identifiants en prétendant qu’ils sont nécessaires pour télécharger le dossier de l’appel d’offres.

L’infrastructure technique utilisée par les attaquants repose sur au moins trois serveurs virtuels privés (VPS) dans le cloud, qui jouent le rôle de serveurs de rebond. Ces serveurs masquent les adresses IP d’origine des pirates et sont configurés pour afficher un faux message d’erreur « Server Hangup » afin d’embrouiller les spécialistes de la cybersécurité dans leurs investigations. Derrière cette façade, ces serveurs restent pleinement fonctionnels et équipés d’outils d’accès à distance sophistiqués tels que Synology QuickConnect et OpenVPN.

Indicateurs de compromission

Pour détecter une compromission liée à cette campagne, plusieurs indicateurs ont été identifiés par la Cellule de veille : l’URL de phishing principale est https://artoasglobal.com/cloud/ et il est important aussi de surveiller le site compromis original https://artoasglobal.com/contact. Les adresses IP des serveurs de rebond à surveiller sont 194.110.13.12, 158.173.23.57, et 151.241.119.123. Un domaine associé avec une infrastructure Cloud Synology est également lié à cette campagne : http://donflix.direct.quickconnect.to/.

Mesures recommandées

Pour se protéger contre cette menace, l’APSI-CI recommande plusieurs mesures immédiates. D’abord, activer systématiquement l’authentification à double facteur (MFA/2FA) pour tous les utilisateurs afin de renforcer la sécurité des accès. Ensuite, sensibiliser particulièrement les collaborateurs susceptibles d’être ciblés, notamment ceux en charge des appels d’offres, en les formant à reconnaître les signes d’hameçonnage, comme la vérification des URL par simple survol du lien et la vigilance face aux courriels inattendus. Il est aussi conseillé de vérifier les logs des systèmes pour détecter toute connexion suspecte émanant des adresses IP mentionnées. Enfin, l’installation d’une solution robuste de filtrage des courriels professionnels est préconisée, afin de signaler ou bloquer les messages suspects.

En cas de suspicion de compromission, il est essentiel de changer immédiatement les mots de passe des comptes affectés, tout en activant le double facteur d’authentification si cette mesure n’était pas déjà en place. Ce dispositif limitera les risques d’usurpation d’identité ultérieure.

Anselme Akéko

(Source : CIO Mag, 4 décembre 2025)