Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / FR / MOZ FAKE EXTENSIONS PAID MEDIA

Plus de 150 fausses extensions [REDACTED] : un seul backend, un seul réseau

The Enablers Registry·Editorial mirror·/fr/moz-fake-extensions-paid-media

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Enquête • 6 à 8 minutes de lecture

Plus de 150 fausses extensions [REDACTED] — Un seul backend et des publicités payantes

Les médias ont accusé les « ours russes » d’être à l’origine de plus de 150 fausses extensions [REDACTED]. Nos investigations ont mis en évidence une infrastructure nigériane (adresse IP 185.208.156.66), des kits de hameçonnage réutilisés, ainsi que la manière dont des articles rémunérés ont contribué à propager ce mythe.

Publié à l'origine le Moyen — THE ENABLERS REGISTRY

Le récit trompeur

Une histoire sur « Plus de 150 fausses extensions [REDACTED] » Cette histoire, liée à une prétendue « piste russe », a été largement relayée par les principaux médias spécialisés dans la cryptomonnaie et la sécurité. Cela peut sembler dramatique, mais notre analyse montre que ce récit est trompeur — et pire encore, cela protège les véritables coupables.

Plus de 150 extensions de mauvaise qualité sur un seul backend

Toutes les extensions de cette campagne étaient les suivantes :

  • Contenu non original, digne d'un simple copier-coller.
  • Seuls les logos et les noms changeaient.
  • Le tout relié à un backend unique.
Adresse IP du serveur : 185.208.156.66
Le domaine du backend était [REDACTED]/app.php. La plupart des domaines associés à cette adresse IP ne sont plus actifs, mais des archives ont conservé des instantanés grâce à Urlscan et WebArchive.

Nos actions face à cette campagne

En tant que groupe indépendant spécialisé dans la collecte de renseignements sur les menaces et dans les retraits des infrastructures utilisées pour le possibly phishing et les escroqueries, nous :

  • Nous avons transmis des rapports directement à [REDACTED] afin de signaler des extensions malveillantes.
  • Transmis à [REDACTED], en sollicitant l'aide de professionnels afin d'accélérer la mise en place de cette interdiction.
  • Publication d'un rapport sur Chainabuse afin d'assurer sa visibilité auprès de la communauté.
  • Des millions de phrases de récupération vides ont été injectées dans le système d'administration des attaquants afin de corrompre les données volées.

Pourquoi il ne s'agit pas d'une infrastructure « russe »

Les acteurs malveillants russophones ont généralement recours à :

  • Backends distribués (IANA #1910 Workers, Firebase, Amazon, liens uniques par campagne).
  • Obfuscation et redondance pour éviter les points de défaillance uniques.

Au contraire, cette campagne a montré que :

  • A Fournisseur d'hébergement nigérian.
  • Domaines voisins liés à des escroqueries bancaires, à de faux portefeuilles de cryptomonnaies et à des escroqueries par fausse livraison.
  • Un compte [REDACTED] recevant des données volées liées à un opérateur nigérian.
« Les groupes russes mettent en place des infrastructures sophistiquées. Celle-ci était peu coûteuse, centralisée et rudimentaire — exactement ce que nous avions déjà observé sur des serveurs nigérians. »

Le problème des médias payants

Les placements publicitaires payants ont de graves conséquences :

  1. Un article rémunéré est publié dans un média réputé.
  2. Des centaines de petits sites, de blogs et de chaînes [REDACTED] le reprennent ou le traduisent.
  3. En l'espace de quelques jours, cela se transforme en un récit mensonger à grande échelle qui donne l'illusion d'être crédible.
« Les victimes voient “la piste russe”, pensent que l’affaire est classée et cessent de signaler les faits aux autorités. Les véritables coupables restent impunis. »

Exemple : Angel Drainer

Tous les grands médias ont publié des titres sur « Angel Drainer a été mis hors service après l'identification de ses développeurs. » Mais était-ce vrai — ou simplement un autre placement publicitaire répété jusqu’à ce qu’il paraisse crédible ? Pour les criminels, acheter des articles ne représente qu’une somme dérisoire ; pour les victimes, cela change tout.

Les entreprises de cybersécurité s'occupent elles-mêmes de leurs relations publiques

Les entreprises spécialisées dans la cybersécurité déboursent des dizaines de milliers de dollars pour des articles les concernant, traitant de leurs recherches et de leur impact. Cela soulève des questions fondamentales :

  • Pourquoi une véritable équipe de cybersécurité doit-elle payer pour bénéficier d'une couverture ?
  • Essaient-ils de faire disparaître les traces du véritable pirate informatique ?
  • Ou bien utiliser l'identité du pirate informatique à des fins de chantage ou pour en tirer un avantage concurrentiel ?
  • Le but est-il de renforcer la confiance — ou de manipuler la perception à des fins lucratives ?
« Si la cybersécurité devient un énième jeu de relations publiques, où les faits sont façonnés par celui qui paie le plus, alors la confiance dans ce domaine s'effondrera. »

Données relatives au marché

Cette pratique n'est pas un secret :

  • Sur Fiverr, Upwork et les plateformes spécialisées dans les relations publiques, vous pouvez acheter directement des « articles invités ».
  • Les fournisseurs envoient des feuilles de calcul Google Sheets contenant des dizaines de points de vente et de prix, y compris ceux de marques réputées dans le domaine de la cybersécurité.
  • Certains promettent : « moyennant un supplément, pas d'étiquette publicitaire ».

Parmi les objectifs déclarés pour l'achat d'articles, on peut citer :

  • Création de liens (référencement naturel).
  • Trafic et ventes.
  • Notoriété de la marque.
  • Gestion de la réputation (masquage des éléments négatifs).
  • Vérification sociale.
  • Listes de publications pour les demandes de visa.

Les coûts mentionnés comprennent notamment $20,000 pour des créneaux d'interview rémunérés auprès des principaux médias spécialisés dans les cryptomonnaies.

« Ce n'est pas du journalisme. C'est un marché — où la crédibilité s'achète et se vend. »

Les affaires contre les mensonges

La publication de contenus payants n'est pas illégale : c'est une activité commerciale. Mais lorsqu'elle franchit la ligne diffuser de fausses allégations, détourner le cours des enquêtes et faire passer des opérations de relations publiques pour des faits avérés, cela fait alors partie du problème.

Conclusion

THE ENABLERS REGISTRY est une initiative indépendante en matière de cybersécurité qui ne perçoit aucune rémunération, ne diffuse pas de publicités et ne réalise aucun bénéfice. Les faits sont clairs :

  • Plus de 150 extensions [REDACTED] redirigées vers un seul serveur backend hébergé au Nigeria.
  • Les données ont été transmises à un compte [REDACTED] nigérian.
  • Le récit de la « piste russe » est une invention.
  • La couverture médiatique payante a amplifié cette invention jusqu’à ce qu’elle passe pour la vérité.
  • Même les entreprises spécialisées dans la cybersécurité dépensent de l'argent pour faire leur propre promotion.
« Vendre des publicités, c'est du business. Vendre des mensonges comme s'il s'agissait de faits, c'est protéger les criminels. Et lorsque même le secteur de la cybersécurité se met à vendre des récits, ce sont les victimes — et la justice — qui en font les frais. »

Avertissement

Nous n'accusons aucun individu, aucune entreprise ni aucun média. Tous les faits proviennent de sources ouvertes et peuvent être vérifiés à l'aide d'archives publiques, de numérisations et de rapports. La vraie question est la suivante : Pourquoi ces récits sont-ils contrôlés et amplifiés ? À qui profite le fait qu’une société de sécurité inconnue publie une « méga-enquête » inexacte qui détourne l’attention des véritables responsables ?

#MozillaExtensions#PaidMedia#Disinformation#ThreatIntel#OSINT

Partager cette enquête

Enquêtes connexes

[REDACTED] TDS : 1 500 panneaux exposés, aucune utilisation légitime
ENQUÊTE
[REDACTED] TDS : 1 500 panneaux exposés, aucune utilisation légitime
Le logiciel malveillant « BlockBlasters » sur [REDACTED] : la négligence de la plateforme mise en évidence
ENQUÊTE
Le logiciel malveillant « BlockBlasters » sur [REDACTED] : la négligence de la plateforme mise en évidence
ENQUÊTE
Les escrocs démasqués : analyse de quatre infrastructures d'escroquerie

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings