Vulnérabilités et Alertes

Flash FBI 20250429 : alerte sur LabHost, plateforme de phishing-as-a-service démantelée

by  • 

Je vous propose mon analyse sur le fait que le FBI a publié le 29 avril 2025 un flash d’alerte (FLASH-20250429-001, TLP:CLEAR) concernant LabHost, une plateforme criminelle de phishing-as-a-service (PhaaS) récemment démantelée.

Ce flash divulgue 42 000 noms de domaine de phishing utilisés via LabHost entre novembre 2021 et avril 2024, et fournit aux équipes de cybersécurité des indicateurs de compromission ainsi que des recommandations pour se protéger.

Avant son démantèlement par les forces de l’ordre en avril 2024, LabHost était l’un des plus importants fournisseurs de PhaaS au monde, avec environ 10 000 utilisateurs criminels. Cette plateforme a permis à des cybercriminels d’usurper l’identité de plus de 200 organisations (banques, administrations, entreprises…) afin de dérober des informations personnelles et des identifiants bancaires à des victimes dans le monde entier.

Le présent article synthétise les faits clés de cette alerte à destination des CERT, CSIRT et analystes SOC, dans un souci de neutralité et de précision.

Contexte et ampleur de LabHost PhaaS

LabHost était une plateforme illégale fournissant des services complets d’hameçonnage clé en main (phishing-as-a-service). Active de fin 2021 jusqu’à son démantèlement en avril 2024, elle a compté parmi les plus grandes du secteur criminel PhaaS.

Le FBI indique que LabHost proposait une gamme étendue de services illégaux à ses clients, facilitant des campagnes de phishing sophistiquées à grande échelle. Environ 10 000 acteurs malveillants utilisaient ces services pour mener des attaques d’hameçonnage, ciblant un très large public de victimes.

Parmi les services offerts par LabHost figuraient notamment :

  • Infrastructure technique : prise en charge de la configuration et du support de l’infrastructure (hébergement, domaines, etc.) pour déployer des campagnes de phishing.
  • Pages de phishing sur mesure : fourniture de pages frauduleuses imitant des sites légitimes, avec possibilité de personnalisation poussée, voire de création de pages « sur commande » pour un coût additionnel.
  • Attaques Adversary-in-the-Middle : mise en place de proxys d’attaque de l’homme-du-milieu permettant d’intercepter en temps réel les codes d’authentification à deux facteurs (2FA) saisis par les victimes, afin de contourner la 2FA sur les vrais sites sécurisés.
  • Smishing : services d’envoi de SMS de phishing (smishing), élargissant le spectre d’attaque aux téléphones mobiles.
  • Gestion des identifiants volés : outils de stockage et d’organisation des données dérobées (informations de connexion, mots de passe, etc.) pour les cybercriminels clients de la plateforme.

Ce modèle clé en main a grandement facilité le travail des cybercriminels en leur offrant une logistique complète. LabHost fournissait non seulement les pages frauduleuses et l’infrastructure d’hébergement, mais aussi des mécanismes avancés pour maximiser le taux de réussite des vols de données (comme l’interception de codes 2FA).

Lorsque qu’une victime cliquait sur un lien de phishing et entrait ses identifiants ou informations, les serveurs de LabHost capturaient ces données en temps réel, puis les mettaient immédiatement à disposition du client malveillant à l’origine de l’attaque.

Données compromises et usurpations d’identité

Les infrastructures de LabHost ont stocké au fil du temps des volumes massifs de données volées. D’après le flash du FBI, plus d’un million d’identifiants (jeux de nom d’utilisateur et mot de passe) et près de 500 000 numéros de cartes bancaires compromis se trouvaient sur les serveurs de LabHost.

Ces informations dérobées étaient exploitées pour des vols financiers, des fraudes et du blanchiment d’argent par les utilisateurs de la plateforme. Les pages de phishing proposées visaient à collecter divers types de données sensibles, notamment des données personnelles identifiantes (PII), des identifiants de connexion et des informations de cartes de paiement.

LabHost a permis d’usurper l’identité de plus de 200 organisations de confiance à travers le monde. Les pages frauduleuses fournies imitaient une grande variété de cibles : banques et institutions financières, plateformes de streaming et services en ligne, agences gouvernementales, services postaux, etc.

En exploitant la réputation de ces entités légitimes, les attaquants poussaient les victimes à divulguer leurs informations confidentielles sans méfiance. Au total, l’infrastructure LabHost a été liée à plus de 42 000 noms de domaine de phishing uniques configurés pour ces usurpations d’organisations.

L’impact est mondial : on estime que ces campagnes malveillantes ont touché plus d’un million de victimes à travers différents pays.

Suite à une opération des forces de l’ordre en avril 2024, la plateforme LabHost a été neutralisée et mise hors ligne. Les enquêteurs ont pu récupérer depuis les serveurs de LabHost la liste complète des 42 000 domaines utilisés par ses clients, avec leurs dates de création.

Le FBI précise ne pas avoir vérifié individuellement chaque nom de domaine de cette liste, qui correspond aux enregistrements bruts saisis (il peut donc y figurer d’éventuelles coquilles ou variantes saisies par les fraudeurs).

Il est également souligné que ces domaines sont de nature historique : nombre d’entre eux ont pu être désactivés ou saisis depuis le démantèlement de LabHost, et ils ne sont pas nécessairement tous encore malveillants à l’heure actuelle.

Cette base d’indicateurs reste précieuse pour analyser les techniques adverses employées et identifier d’éventuelles compromissions passées.

Recommandations de détection et mitigation du FBI

Face à cette divulgation massive d’indicateurs, le FBI émet plusieurs recommandations à destination des organisations pour renforcer leur vigilance :

  • Analyse rétrospective des indicateurs : Les équipes de sécurité doivent examiner leurs journaux et données historiques (logs DNS, proxys, SIEM…) à la recherche de toute connexion ou tentative d’accès liée à l’un des 42 000 domaines de phishing fournis. La détection d’un tel indicateur dans son environnement doit être prise au sérieux et donner lieu à des investigations supplémentaires, en particulier pour identifier les utilisateurs ou systèmes potentiellement impactésfile-udh6vthutmmbnydysnfvd7file-udh6vthutmmbnydysnfvd7.
  • Réponse à incident : Si des traces d’activité associées à LabHost sont découvertes, il est recommandé de déclencher les procédures de réponse à incident appropriées. Cela inclut l’isolement des actifs compromis, l’analyse approfondie des systèmes touchés, la réinitialisation des identifiants exposés, et la notification des personnes concernées. L’objectif est de mitiger l’impact de la compromission et d’assainir l’environnement le plus rapidement possiblefile-udh6vthutmmbnydysnfvd7file-udh6vthutmmbnydysnfvd7. Des recherches complémentaires autour de ces domaines pourront également être menées afin d’identifier d’autres infrastructures malveillantes reliées à cette campagne.
  • Mesures proactives de protection : Le FBI conseille d’adopter une posture proactive vis-à-vis de ces indicateurs. En pratique, les organisations gagneraient à bloquer (« blacklister ») au niveau des passerelles et pare-feu les noms de domaine associés à LabHost, ou à configurer des alertes au sein de leurs outils de sécurité pour toute tentative de résolution DNS ou de connexion vers ces domainesfile-udh6vthutmmbnydysnfvd7. Ces mesures préventives, fondées sur la liste fournie, peuvent aider à prévenir toute réutilisation future de ces domaines ou à détecter immédiatement toute activité résiduelle liée à LabHost.
  • Partage d’information et coopération : Étant donné la portée internationale de cette menace, il est recommandé de partager toute information de compromission liée à LabHost avec les autorités compétentes ou via les circuits de renseignement cyber (par exemple, en France, à travers la plateforme de signalement gouvernementale ou en informant son CERT national). Le flash étant classé TLP:CLEAR, son contenu peut être diffusé sans restriction, ce qui vise à maximiser la sensibilisation de la communauté et la coordination de la réponse. Le FBI encourage d’ailleurs les organisations, notamment américaines, à signaler tout incident en lien avec ces indicateurs à leur antenne locale du FBI afin d’aider aux efforts d’enquête.

En synthèse, les indicateurs divulgués par le FBI offrent une opportunité aux défenseurs de rechercher d’éventuelles traces d’intrusion passées liées à LabHost et de renforcer leurs protections contre des attaques similaires.

Il convient de garder à l’esprit que la présence d’un indicateur seul (ex. un domaine apparaissant dans les logs) n’implique pas forcément une compromission avérée, mais doit être analysée dans le contexte global de la sécurité de l’organisation.

Une vigilance accrue, couplée au partage d’information, contribuera à limiter l’impact de ce vaste réseau de phishing démantelé.

Sources officielles