© Image d'illustration, Shutterstock – Un pirate satisfait de son opération, sans savoir qu'il a laissé la porte grande ouverte.
Fin avril 2026, un scan de routine repère un répertoire ouvert sur un serveur hébergé à Budapest. Un attaquant y avait lancé un serveur HTTP Python avec l'indexation des fichiers activée.
La commande fautive, python3 -m http.server 8080, figurait encore dans l'historique du terminal, lisible par quiconque. Configurations de phishing, journaux de victimes, archives, outils de prise de contrôle à distance et même la session Telegram personnelle de l'opérateur : tout était en accès libre. L'équipe de renseignement cyber (CTI) de la société française Lexfo a saisi l'occasion pour remonter le fil et a publié ses conclusions le 13 juillet.
Capture du répertoire ouvert sur le serveur de l'attaquant. On y distingue l'historique du terminal, les dossiers des frameworks Evilginx et les archives de l'opérateur.© Lexfo
Capture du répertoire ouvert sur le serveur de l'attaquant. On y distingue l'historique du terminal, les dossiers des frameworks Evilginx et les archives de l'opérateur.
À partir de ce seul point d'entrée, Lexfo a identifié trois opérateurs indépendants.
Le deuxième, un Nigérian trahi par ses propres identifiants réutilisés dans des fuites d'infostealers, ciblait aussi bien des messageries d'entreprise que des plateformes de cryptomonnaies comme Kraken. Le troisième, demeuré anonyme, avait déployé une technique distincte : l'abus du flux OAuth Device Code, un mécanisme légitime de Microsoft que la victime complète sur le vrai portail d'authentification pendant que le pirate récupère silencieusement le jeton d'accès.
ca, imitant une alerte Microsoft Authenticator. La victime saisit un code réel sur le vrai portail Microsoft, tandis que l'attaquant récupère le jeton." align="center" copyright="
ca, imitant une alerte Microsoft Authenticator. La victime saisit un code réel sur le vrai portail Microsoft, tandis que l'attaquant récupère le jeton." align="center" copyright="
Cette troisième campagne, la plus volumineuse, tournait sans interruption apparente depuis juin 2025. Elle avait accumulé 218 comptes compromis dans 12 pays, dont 94 % de messageries professionnelles : PME, cabinets juridiques, entités du secteur public en Australie, au Royaume-Uni et en Europe continentale. Un fichier de jetons brièvement commité puis supprimé du dépôt Git, mais toujours lisible dans l'historique, contenait 97 sessions Microsoft actives configurées en rafraîchissement automatique. Certaines avaient été renouvelées jusqu'à 25 fois.
Le framework maintenait l'accès aux boîtes mail de ses cibles sans aucune intervention humaine.
La barrière technique pour monter une campagne de phishing AiTM fonctionnelle est tombée à un niveau proche de zéro.
L'enquête a aussi révélé le recours à des modèles génératifs dans la fabrication des outils. Deux commits du framework black-queen portent la co-signature de Claude, le modèle d'Anthropic. D'autres scripts contenaient des traces de CyberNeurova, une API d'IA non censurée commercialisée pour générer du code offensif sans restriction.
Les signes les plus nets d'utilisation de l'IA se trouvaient dans le code de liaison autour des frameworks, les scripts et les phishlets, dont plusieurs se lisaient comme la sortie directe d'un modèle.
Les trois opérateurs partageaient du code issu de dépôts GitHub publics, sans coordination avérée entre eux. L'un d'eux fournissait un outil d'envoi massif de courriels, MaDoO Blaster, à The Quarry, un écosystème de phishing-as-a-service documenté par SOCRadar en juin 2026 et vendu à près de 200 opérateurs. L'ensemble dessine un tissu criminel souple où les briques logicielles s'assemblent à la carte, accessibles pour quelques centaines de dollars sur Telegram, et où l'IA générative abaisse encore le seuil de compétence requis.
Suivez toute l'actualité des Numériques sur Google Actualités et sur la chaîne WhatsApp des Numériques
Envie de faire encore plus d'économies ? Découvrez nos codes promo sélectionnés pour vous.






