Barracuda full logo

Threat Spotlight : l’évolution des kits d’hameçonnage en 2025

Thèmes:
7 janv. 2026
|

Les principaux thèmes, équipes et tactiques d’hameçonnage des 12 derniers mois

Ce qu’il faut retenir

  • Le nombre de kits d’hameçonnage connus a doublé en 2025
  • Les nouvelles menaces sont sophistiquées, évasives et furtives.
  • La moitié des attaques impliquent le contournement du MFA, l'obfuscation d'URL et l'exploitation abusive des CAPTCHA
  • Les scams et les kits d’hameçonnage traditionnels prospèrent grâce à une innovation constante ; on dénombrait 10 millions d’attaques Mamba 2FA fin 2025.

En 2025, 90 % des campagnes d’hameçonnage de masse ont exploité l’hameçonnage en tant que service (PhaaS). Ces kits ont transformé le panorama de l’hameçonnage, notamment en permettant à des cybercriminels moins expérimentés d’accéder à des outils de pointe et à l’automatisation pour lancer des campagnes ciblées à grande échelle, souvent en usurpant l’identité de services et d’institutions légitimes.

Cet article offre un aperçu de l’activité et de l’évolution des kits d’hameçonnage au cours de l’année 2025. Il complète nos prédictions pour l’hameçonnage en 2026, publiées en décembre 2025. 

Principaux thèmes des attaques PhaaS

Les thèmes d’hameçonnage les plus courants observés par les analystes des menaces de Barracuda en 2025 étaient tristement familiers. Citons notamment les faux messages (de paiement, financiers et juridiques ainsi que ceux liés à la signature numérique et aux ressources humaines), tous conçus pour tromper l’utilisateur en l’incitant à cliquer sur un lien, à scanner un code QR ou à ouvrir une pièce jointe et à partager des renseignements personnels avec les pirates.

Il s’agit de méthodes éprouvées qui existent depuis des années, basées sur l’usurpation de marques de confiance comme Microsoft, DocuSign, SharePoint et bien d’autres. Elles continuent de réussir malgré la sensibilisation croissante du public et des mesures de sécurité toujours plus performantes.

Ce succès est porté par une innovation constante en matière d’outils et de tactiques, laquelle contribue à rendre les e-mails plus crédibles et plus convaincants. Les cyberattaquants exploitent l’IA ainsi que de nouvelles techniques d’obfuscation et de contournement de la sécurité, et détournent une gamme élargie de plateformes de confiance pour héberger et distribuer des contenus.

Les innovations par thème observées en 2025 incluent les suivantes :

Escroqueries aux paiements et aux factures

  • Les cyberattaquants ont utilisé l’IA générative pour produire des e-mails et des demandes de paiement de « factures impayées » très convaincants, qui correspondaient étroitement au ton, au style et à l’image de marque du service légitime usurpé.
  • Des codes QR ont été intégrés aux factures afin d’inciter les victimes à quitter leurs environnements de bureau sécurisés pour utiliser des appareils mobiles moins protégés, ce qui augmente les chances de réussite d’une attaque.

Escroqueries par messagerie vocale (« vishing »)

  • Les e-mails incluaient des liens vers des portails de « messagerie vocale sécurisée » qui collectaient les identifiants.
  • Les pirates ont également utilisé l’IA générative pour créer de multiples variantes d’e-mails et de scripts d’hameçonnage, ce qui a facilité le contournement des mesures de détection et rehaussé la crédibilité des contenus.
  • Des adresses e-mail de confiance ont été usurpées pour donner aux attaques une apparence légitime. Les e-mails ont même reproduit la conception et les modèles familiers utilisés par des services reconnus pour gérer les notifications de messagerie vocale.

Escroqueries aux documents financiers et juridiques

  • Les pirates ont utilisé des techniques d’ingénierie sociale ainsi que l’IA générative pour éliminer toute erreur évidente susceptible d’alerter les victimes. Les victimes ont eu beaucoup plus de mal à distinguer les e-mails malveillants des vrais e-mails en raison de la personnalisation des messages et de l’adaptation constante des tactiques.
  • Les pirates ont utilisé des techniques de spear phishing pour analyser minutieusement chaque organisation, obtenir des informations sur leurs dirigeants clés et imiter ces derniers de manière convaincante. Dans certains cas, ils ont détourné des comptes ou utilisé des comptes compromis pour tromper les employés et les inciter à approuver des transferts frauduleux.

Escroqueries à la signature et à la révision de documents

  • Les pirates ont usurpé l’identité d’un nombre croissant de plateformes de confiance, en s’appuyant sur un branding de haute qualité et des demandes « urgentes » pour examiner et signer des documents.
  • L’intégration de codes QR malveillants dans des demandes de signature d’apparence authentique a permis de déplacer l’attaque vers des appareils mobiles situés hors du périmètre de sécurité de l’entreprise.

Escroqueries liées aux RH (avantages sociaux, paie, guide de l’employé)

  • Les attaques ont été alignées sur les échéances fiscales et les cycles de paie pour justifier le caractère urgent des demandes.
  • Des QR Codes étaient intégrés aux « mises à jour de politique » pour contourner les filtres de messagerie.

Techniques d’hameçonnage populaires en 2025

Les techniques utilisées par les kits d’hameçonnage en 2025 étaient variées et inventives. En voici quelques-unes :

  • Des obfuscations visant à empêcher la détection et l’inspection des URL, constatées dans 48 % des attaques. Les pirates ont également ajouté des redirections ouvertes et des étapes pour la vérification humaine, ce qui donnait l’impression d’avoir affaire à une URL authentique plutôt qu’à une URL d’hameçonnage et a rendu le blocage plus difficile.
  • Des attaques par contournement de l’authentification multifacteur (MFA), par exemple en volant les cookies de session (également observées dans 48 % des cas).
  • Des attaques qui exploitaient le CAPTCHA pour plus d’authenticité et en vue de dissimuler des destinations suspectes (43 % des cas).
  • Des QR codes malveillants (observés dans 19 % des attaques). Les pirates ont commencé à fractionner les QR codes en plusieurs images ou à intégrer des codes malveillants dans ou autour de codes légitimes afin d’échapper à la détection des outils de sécurité des e-mails.
  • Des attaques « polymorphes » qui modifiaient l'en-tête, le corps et la destination de l'e-mail afin de brouiller ou de retarder la détection (20 % des cas).
  • Des pièces jointes malveillantes (18 % des cas).
  • L’utilisation abusive de plateformes en ligne fiables et légitimes, telles que celles utilisées pour la collaboration ou la conception (10 % des cas).
  • Des attaques basées sur l’IA générative, avec par exemple l’utilisation de plateformes sans code, de CAPTCHA générés par l’IA, de commentaires et de code (10 %).
  • L’utilisation des « URL Blob », un type d’adresse web utilisé pour stocker des données localement dans la mémoire, ce qui rend les attaques difficiles à détecter par des moyens traditionnels (2 % des cas).
  • L’utilisation des techniques d’ingénierie sociale « ClickFix » , qui incitent un utilisateur à exécuter manuellement une commande malveillante (1 % des cas).

Le nombre de kits d’hameçonnage a doublé avec l’arrivée de nouvelles variantes

Les analystes des menaces de Barracuda ont constaté un doublement du nombre de kits PhaaS activement utilisés en 2025, avec des kits persistants et adaptables tels que Tycoon 2FA et Mamba 2FA, concurrencés par des nouveaux venus agressifs comme Cephas, Whisper 2FA et GhostFrame. L’équipe a régulièrement publié des rapports sur certains des kits d’hameçonnage les plus répandus tout au long de l’année.

Les nouveaux kits d’hameçonnage sont sophistiqués ; ils privilégient des mesures anti-analyse avancées, le contournement de l’authentification multifacteur (MFA) et le déploiement furtif.

Voici cinq nouveaux acteurs notables et leurs principales caractéristiques :

Sneaky 2FA

Sneaky 2FA est un kit d'hameçonnage avancé qui utilise des techniques de type « adversary-in-the-middle » (AiTM) pour contourner l'authentification à deux facteurs.

Caractéristiques distinctives :

  • Interaction avec les API de Microsoft : le kit communique directement avec les API légitimes de Microsoft pour valider les identifiants capturés et les jetons de session, ce qui garantit le succès du piratage des comptes.
  • Fonctions anti-bots/anti-analyse : elles incluent des techniques de contournement conçues pour bloquer les outils automatisés et les environnements bac à sable (sandbox).
  • Fonctionnalité BitB (navigateur dans le navigateur) : le kit génère de fausses fenêtres de navigateur qui imitent parfaitement les fenêtres contextuelles de connexion légitimes, ce qui dissimule aux victimes la véritable URL malveillante.
  • Redirection : le kit redirige également les victimes vers une page Wikipédia liée à Microsoft après la capture des identifiants afin de maintenir l’authenticité et d’atténuer les soupçons, y compris dans les cas où toute forme d’analyse, d’automatisation ou d’activité de type bac à sable est détectée.

CoGUI

Doté de capacités avancées de contournement et de lutte contre la détection, ce kit sophistiqué est couramment utilisé par les acteurs malveillants de langue chinoise.

Caractéristiques distinctives :

  • Techniques d’évitement : mise en place d’un géorepérage (pour limiter l’accès en fonction de la localisation), d’un filtrage d’en-tête (pour filtrer les en-têtes d’e-mails) et d’un pistage numérique (pour obtenir les caractéristiques de l’appareil) en vue d’éviter toute détection au moyen de systèmes automatisés.
  • Pas de capture MFA : contrairement à de nombreux kits d’hameçonnage modernes, les campagnes CoGUI observées à ce jour ne permettent pas de saisir des identifiants MFA.
  • Similitudes avec Darcula : partage certaines caractéristiques du kit d'hameçonnage Darcula, notamment le chevauchement d'infrastructures et les schémas de ciblage.
  • Usurpation d’identité de cibles : imite fréquemment des grandes plateformes comme Amazon, PayPal, Rakuten et Apple.

Cephas

Cephas est un kit d’hameçonnage qui utilise l’obfuscation de code, des techniques avancées anti-bots et anti-analyse et qui bénéficie d’une robuste intégration avec l’API de Microsoft.

Caractéristiques distinctives :

  • Intégration avec l’API Microsoft : garantit que les identifiants et les jetons de session capturés sont valides et immédiatement utilisables.
  • Obfuscation de code : utilise un code JavaScript dense et hautement brouillé.
  • Anomalies thématiques des pages : inclut des commentaires insolites sur les pages (p. ex., « dégustation de vin sur Riverside Avenue », « Quasar spectral »), peut-être dans le cadre de techniques d’évitement du fingerprinting ou de diversification des contenus.

Whisper 2FA

Whisper 2FA est un kit d’hameçonnage léger et furtif, optimisé pour la simplicité, la vitesse et le contournement du MFA.

Caractéristiques distinctives :

  • Exfiltration simplifiée : utilise le vol d’identifiants et de jetons MFA basé sur AJAX, ce qui évite les techniques lourdes de proxy inverse et réduit la complexité du déploiement.
  • Anti-analyse agressive : le code utilise l’obfuscation avec Base64 + XOR, renforcée par de multiples couches d’obfuscation, des pièges anti-débogage et des blocs d’inspection au niveau du script.
  • Capacité de contournement du MFA : le kit inclut une liste codée en Base64 de méthodes MFA (notifications push, SMS, appels vocaux, codes d’application) pour gérer divers scénarios d’authentification.

GhostFrame

Observé pour la première fois par Barracuda en septembre 2025, GhostFrame est un kit inventif, axé sur le contournement et ultra-discret qui privilégie l’obfuscation du code et la dissimulation des URL.

Caractéristiques distinctives :

  • Exploitation abusive des iframes : une tactique d’attaque en deux temps, avec un fichier HTML externe d’apparence inoffensive qui mène à des iframes intégrés dissimulant le contenu d’hameçonnage.
  • Mesures anti-analyse : emploie des techniques similaires à celles d'autres kits avancés pour échapper à la détection automatique.
  • Création et validation dynamiques de sous-domaines : le kit d’hameçonnage génère un sous-domaine différent et aléatoire à chaque visite du site et exécute des vérifications avant d’afficher le contenu d’hameçonnage.
  • Utilisation du streaming d’images Blob (Binary Large Object) pour les formulaires d’hameçonnage afin d’éviter toute inspection des liens statiques.

Conclusion

L’année 2025 a été marquée par une explosion du nombre de kits d’hameçonnage. De nouveaux kits apparaissent et évoluent rapidement ; ils créent un paysage des menaces dense et varié, qui offre de nouveaux défis aux cyberdéfenseurs.

Néanmoins, en ce début d’année 2026, il est important de se rappeler que les kits traditionnels demeurent extrêmement dangereux. Fin 2025, les analystes de Barracuda ont constaté une recrudescence de l’activité du célèbre kit d’hameçonnage Mamba 2FA, responsable de près de 10 millions d’attaques. 

Les kits éprouvés ne sont ni hors service, ni hors jeu. Cela signifie simplement que les équipes de sécurité ont davantage d’éléments à comprendre et à contrer.

Protection contre l’évolution des techniques

Une attaque par hameçonnage réussie peut avoir des conséquences considérables pour les victimes, de la perte d’identifiants et de données sensibles aux ransomwares, aux extorsions, aux interruptions opérationnelles, aux pertes de productivité et aux atteintes à la réputation.

Les approches traditionnelles ne suffisent plus à déjouer cette menace en constante évolution et de plus en plus sophistiquée. Les organisations ont besoin d’une plateforme de sécurité intégrée optimisée par l’IA telle que BarracudaONE, qui offre une surveillance 24/7.

Ce choix doit s’accompagner d’une culture de la sécurité robuste, de formations de sensibilisation à la cybersécurité régulièrement mises à jour pour le personnel, ainsi que d’une attention particulière portée à l’authentification et aux accès, aux mises à jour logicielles et aux autres principes fondamentaux de la cybersécurité.

Obtenez le rapport 2025 sur les violations de la sécurité des e-mails
Billets associés :
Survey surfaces growing awareness of AI security risks
Survey surfaces growing awareness of AI security risks
 Une intégration réussie : donner aux nouveaux employés les moyens de gagner en assurance en matière de sécurité
Une intégration réussie : donner aux nouveaux employés les moyens de gagner en assurance en matière de sécurité
 Email Threat Radar – Janvier 2026
Email Threat Radar – Janvier 2026
 Le FBI met en garde contre une campagne de spear-phishing nord-coréenne
Le FBI met en garde contre une campagne de spear-phishing nord-coréenne
Rechercher dans le blog

Rapport 2025 sur les violations de la sécurité des e-mails

Principales conclusions concernant l’expérience et l’impact des failles de sécurité des e-mails sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Rapport d’informations de 2025 sur les clients des fournisseurs de services managés 

Panorama mondial sur les besoins et attentes des organisations vis-à-vis de leurs fournissuers de services managés en cybersécurité

Recevez le rapport d'enquête

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.