
Les premiers mois de l’année 2025 ont été marqués par une recrudescence des attaques d’hameçonnage en tant que service (PhaaS) ciblant des entreprises du monde entier, plus d’un million d’attaques ayant été détectées par les systèmes Barracuda en janvier et février.
Les attaques ont été alimentées par plusieurs plateformes PhaaS de premier plan, notamment Tycoon 2FA, EvilProxy et Sneaky 2FA. À elles trois, ces plateformes montrent comment le PhaaS évolue pour devenir de plus en plus complexe et évasif.
Tycoon 2FA était la plateforme PhaaS la plus connue et la plus sophistiquée active début 2025. Elle représentait 89 % des incidents PhaaS observés en janvier 2025. Elle était suivie par EvilProxy (8 % des attaques) et par un nouveau concurrent, Sneaky 2FA (3 % des attaques).

L’évolution future de Tycoon 2FA
À la mi-février 2025, les analystes des menaces de Barracuda ont remarqué une recrudescence d’attaques utilisant Tycoon 2FA. L’enquête a révélé que la plateforme a continué à développer et à améliorer ses mécanismes de contournement, devenant ainsi encore plus difficile à détecter.
Détails techniques
Dans un précédent article de blog sur Tycoon 2FA, des analystes évoquaient les scripts malveillants utilisés pour empêcher les défenseurs d’analyser les pages d’hameçonnage, par exemple en bloquant les raccourcis clavier.
Les développeurs ont maintenant abandonné cette approche et l’ont remplacée par quelque chose d’encore plus évasif.
- Le script mis à jour est chiffré à l’aide d’un chiffre de César (un chiffrement de substitution par décalage) au lieu d’être en texte clair. Ce script est responsable de plusieurs processus, tels que le vol des identifiants de l’utilisateur et leur exfiltration vers un serveur contrôlé par des pirates.
- Parmi les exemples de script, citons Hangul Filler (ou Unicode 3164), qui est un caractère invisible (mais pas un espace) issu du script Hangul. Ces caractères sont souvent utilisés pour remplir des espaces sans afficher de contenu et sont couramment utilisés dans les techniques d’obscurcissement de l’hameçonnage.
- Le script mis à jour identifie le type de navigateur de la victime, probablement à des fins de piratage ou de personnalisation de l’attaque. Il comprend également des liens vers Telegram, souvent utilisés pour envoyer secrètement des données volées à des pirates. Ce script contient également des liens d’intercommunication tels que des requêtes Ajax, qui permettent de mettre à jour des parties d’une page Web indépendamment du reste de la page. Il utilise également le chiffrement AES pour déguiser les identifiants avant de les exfiltrer vers un serveur distant, ce qui rend la détection plus difficile.

Gauche : script chiffré César - Droite : après le déchiffrement
EvilProxy — un outil dangereusement accessible
EvilProxy est un PhaaS particulièrement dangereux, car il ne nécessite qu’une expertise technique minimale, ce qui rend les attaques par hameçonnage sophistiquées accessibles à un plus grand nombre de cybercriminels.
EvilProxy permet aux pirates de cibler des services largement utilisés tels que Microsoft 365, Google et d’autres plateformes cloud. Au moyen d’e-mails de phishing et de liens malveillants, EvilProxy incite les victimes à saisir leurs identifiants sur des pages de connexion qui paraissent légitimes.
Détails techniques
- Les attaques par hameçonnage EvilProxy utilisent une configuration de proxy inverse. Un proxy inverse est un serveur placé devant les serveurs Web qui transmet les requêtes des clients (par exemple, un navigateur Web) à ces serveurs Web. Ce proxy inverse sert de pont entre les pirates, les victimes et le service cible.
- Lorsque les victimes saisissent leurs identifiants sur la fausse page de connexion, ceux-ci sont transmis au site Web légitime. Cela permet aux pirates d’accéder en direct au compte de l’utilisateur sans éveiller les soupçons.
- Le code source utilisé par EvilProxy pour sa page Web d’hameçonnage correspond étroitement au code source de la page de connexion originale et légitime. Il est donc difficile de le distinguer du site Web original et légitime.
Dans le graphique ci-dessous, le code source de la page Web légitime de connexion à Microsoft se trouve à gauche, tandis que celui de la page Web d’hameçonnage d’EvilProxy se trouve à droite.

Gauche : code source de connexion Microsoft légitime - Droite : code source EvilProxy
Sneaky 2FA remplit le formulaire d’hameçonnage pour les victimes
Le troisième PHaaS le plus actif au début de l’année 2025 était Sneaky 2FA, la plateforme d’attaques de type « adversary-in-the-middle » ciblant des comptes Microsoft 365 à la recherche d’identifiants et d’accès.
Les cibles reçoivent un e-mail contenant un lien. Si elles cliquent sur le lien, elles sont redirigées vers une fausse page de connexion Microsoft malveillante. Les pirates vérifient que l’utilisateur est une cible légitime et non un outil de sécurité avant de préremplir la fausse page d’hameçonnage avec l’adresse e-mail de la victime en exploitant la fonctionnalité « autograb » de Microsoft 365.
Le kit d’attaque est vendu en tant que service par l’organisation de cybercriminalité Sneaky Log. Il est connu sous le nom de Sneaky 2FA, car il permet de contourner l’authentification à deux facteurs. Sneaky 2FA exploite le service de messagerie Telegram et fonctionne comme un bot.
Détails techniques
- L’URL d’hameçonnage des pirates comprend l’adresse e-mail de la cible comme paramètre, soit en texte clair, soit encodée en Base64 (qui permet de transformer des données binaires telles que des images ou des fichiers en format texte et de les transmettre sur des supports qui ne prennent en charge que le texte, comme les e-mails ou les URL). Par exemple : hxxps://hameçonnage_url/00/#email_id
- Les URL d’hameçonnage Sneaky 2FA comprennent généralement 150 caractères alphanumériques, suivis du chemin /index, /verify et /validate.

Ce modèle permet aux pirates de suivre les visiteurs de leurs fausses pages de connexion Microsoft et de filtrer les cibles qu’ils ne souhaitent pas, car il est peu probable qu’elles soient des utilisatrices légitimes et des victimes potentielles.
- Les pirates de Sneaky 2FA tentent de déterminer si l’adresse IP d’un visiteur provient d’un centre de données, d’un fournisseur Cloud, d’un bot, d’un proxy ou d’un VPN, ou si elle est associée à un abus connu. Si le serveur considère que le trafic du visiteur ne correspond pas à celui généré par les victimes ciblées, le kit d’hameçonnage redirige le visiteur vers une page Wikipédia liée à Microsoft ou Windows en utilisant le service de redirection href[.]li. Nous pouvons voir ce script de redirection dans l’élément <noscript> du code source.

Redirection vers Wikipédia
Comment repérer une attaque PhaaS
Évitez de saisir vos identifiants si :
- Une page de connexion comprend un domaine de premier niveau « .ru » (la dernière partie d’une URL) et l’adresse e-mail de la victime est intégrée dans l’URL d’hameçonnage, soit sous forme de texte brut, soit encodée en Base64. Ces indices peuvent indiquer une attaque Tycoon 2FA.
- Les attaques EvilProxy sont plus difficiles à détecter, car elles utilisent une URL aléatoire. Toutefois, si vous pensez que l’URL de la page de connexion Microsoft/Google est différente de la page de connexion habituelle, évitez de saisir vos identifiants. Autre indice : les invites MFA inhabituelles, telles que la réception d’invites MFA alors que n’êtes pas en train de vous connecter.
- Pour détecter Sneaky 2FA, vérifiez si l’URL de la page Web contient une chaîne alphanumérique de 150 caractères suivie de /verify, /index ou /validate à la fin de l’URL.
Renforcer la sécurité des e-mails
Les e-mails de phishing sont la porte d’entrée de nombreuses attaques, du vol d’identifiant à la fraude financière, en passant par les ransomwares. Les plateformes qui alimentent l’hameçonnage en tant que service sont de plus en plus complexes et évasives, ce qui rend les attaques à la fois plus difficiles à détecter pour les outils de sécurité traditionnels et plus dévastatrices.
Une solution de sécurisation des e-mails avancée et axée sur la défense en profondeur, comme Barracuda Email Security, est vitale, et doit être équipée d’une détection IA/ML multicouche pour protéger les entreprises et les employés des attaques PhaaS.
Il est également important que les employés suivent une formation de sensibilisation à la sécurité qui les aide à comprendre les signes et les comportements des menaces les plus récentes. Encouragez les employés à signaler les pages de connexion Microsoft/Google suspectes. Si vous en trouvez, effectuez une analyse approfondie du journal et vérifiez les anomalies MFA.
Ces éléments doivent être complétés par des politiques d’accès et d’authentification robustes et cohérentes, ainsi qu’une solution MFA résistante à l’hameçonnage, comme les clés de sécurité FIDO2.
Ashitosh Deshnur, analyste adjoint des menaces chez Barracuda, a contribué aux recherches pour cet article de blog.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter