Plus de 150 fausses extensions [REDACTED] — Un seul backend et des publicités payantes
Les médias ont accusé les « ours russes » d’être à l’origine de plus de 150 fausses extensions [REDACTED]. Nos investigations ont mis en évidence une infrastructure nigériane (adresse IP 185.208.156.66), des kits de hameçonnage réutilisés, ainsi que la manière dont des articles rémunérés ont contribué à propager ce mythe.
Le récit trompeur
Une histoire sur « Plus de 150 fausses extensions [REDACTED] » Cette histoire, liée à une prétendue « piste russe », a été largement relayée par les principaux médias spécialisés dans la cryptomonnaie et la sécurité. Cela peut sembler dramatique, mais notre analyse montre que ce récit est trompeur — et pire encore, cela protège les véritables coupables.
Plus de 150 extensions de mauvaise qualité sur un seul backend
Toutes les extensions de cette campagne étaient les suivantes :
- Contenu non original, digne d'un simple copier-coller.
- Seuls les logos et les noms changeaient.
- Le tout relié à un backend unique.
185.208.156.66Le domaine du backend était
[REDACTED]/app.php. La plupart des domaines associés à cette adresse IP ne sont plus actifs, mais des archives ont conservé des instantanés grâce à Urlscan et WebArchive. Nos actions face à cette campagne
En tant que groupe indépendant spécialisé dans la collecte de renseignements sur les menaces et dans les retraits des infrastructures utilisées pour le possibly phishing et les escroqueries, nous :
- Nous avons transmis des rapports directement à [REDACTED] afin de signaler des extensions malveillantes.
- Transmis à [REDACTED], en sollicitant l'aide de professionnels afin d'accélérer la mise en place de cette interdiction.
- Publication d'un rapport sur Chainabuse afin d'assurer sa visibilité auprès de la communauté.
- Des millions de phrases de récupération vides ont été injectées dans le système d'administration des attaquants afin de corrompre les données volées.
Pourquoi il ne s'agit pas d'une infrastructure « russe »
Les acteurs malveillants russophones ont généralement recours à :
- Backends distribués (IANA #1910 Workers, Firebase, Amazon, liens uniques par campagne).
- Obfuscation et redondance pour éviter les points de défaillance uniques.
Au contraire, cette campagne a montré que :
- A Fournisseur d'hébergement nigérian.
- Domaines voisins liés à des escroqueries bancaires, à de faux portefeuilles de cryptomonnaies et à des escroqueries par fausse livraison.
- Un compte [REDACTED] recevant des données volées liées à un opérateur nigérian.
Le problème des médias payants
Les placements publicitaires payants ont de graves conséquences :
- Un article rémunéré est publié dans un média réputé.
- Des centaines de petits sites, de blogs et de chaînes [REDACTED] le reprennent ou le traduisent.
- En l'espace de quelques jours, cela se transforme en un récit mensonger à grande échelle qui donne l'illusion d'être crédible.
Exemple : Angel Drainer
Tous les grands médias ont publié des titres sur « Angel Drainer a été mis hors service après l'identification de ses développeurs. » Mais était-ce vrai — ou simplement un autre placement publicitaire répété jusqu’à ce qu’il paraisse crédible ? Pour les criminels, acheter des articles ne représente qu’une somme dérisoire ; pour les victimes, cela change tout.
Les entreprises de cybersécurité s'occupent elles-mêmes de leurs relations publiques
Les entreprises spécialisées dans la cybersécurité déboursent des dizaines de milliers de dollars pour des articles les concernant, traitant de leurs recherches et de leur impact. Cela soulève des questions fondamentales :
- Pourquoi une véritable équipe de cybersécurité doit-elle payer pour bénéficier d'une couverture ?
- Essaient-ils de faire disparaître les traces du véritable pirate informatique ?
- Ou bien utiliser l'identité du pirate informatique à des fins de chantage ou pour en tirer un avantage concurrentiel ?
- Le but est-il de renforcer la confiance — ou de manipuler la perception à des fins lucratives ?
Données relatives au marché
Cette pratique n'est pas un secret :
- Sur Fiverr, Upwork et les plateformes spécialisées dans les relations publiques, vous pouvez acheter directement des « articles invités ».
- Les fournisseurs envoient des feuilles de calcul Google Sheets contenant des dizaines de points de vente et de prix, y compris ceux de marques réputées dans le domaine de la cybersécurité.
- Certains promettent : « moyennant un supplément, pas d'étiquette publicitaire ».
Parmi les objectifs déclarés pour l'achat d'articles, on peut citer :
- Création de liens (référencement naturel).
- Trafic et ventes.
- Notoriété de la marque.
- Gestion de la réputation (masquage des éléments négatifs).
- Vérification sociale.
- Listes de publications pour les demandes de visa.
Les coûts mentionnés comprennent notamment $20,000 pour des créneaux d'interview rémunérés auprès des principaux médias spécialisés dans les cryptomonnaies.
Les affaires contre les mensonges
La publication de contenus payants n'est pas illégale : c'est une activité commerciale. Mais lorsqu'elle franchit la ligne diffuser de fausses allégations, détourner le cours des enquêtes et faire passer des opérations de relations publiques pour des faits avérés, cela fait alors partie du problème.
Conclusion
THE ENABLERS REGISTRY est une initiative indépendante en matière de cybersécurité qui ne perçoit aucune rémunération, ne diffuse pas de publicités et ne réalise aucun bénéfice. Les faits sont clairs :
- Plus de 150 extensions [REDACTED] redirigées vers un seul serveur backend hébergé au Nigeria.
- Les données ont été transmises à un compte [REDACTED] nigérian.
- Le récit de la « piste russe » est une invention.
- La couverture médiatique payante a amplifié cette invention jusqu’à ce qu’elle passe pour la vérité.
- Même les entreprises spécialisées dans la cybersécurité dépensent de l'argent pour faire leur propre promotion.
Avertissement
Nous n'accusons aucun individu, aucune entreprise ni aucun média. Tous les faits proviennent de sources ouvertes et peuvent être vérifiés à l'aide d'archives publiques, de numérisations et de rapports. La vraie question est la suivante : Pourquoi ces récits sont-ils contrôlés et amplifiés ? À qui profite le fait qu’une société de sécurité inconnue publie une « méga-enquête » inexacte qui détourne l’attention des véritables responsables ?
