En l’espace de sept mois, un kit de phishing a permis de récolter les coordonnées bancaires de 884 000 personnes. Derrière ces campagnes, déployées dans plus d’une centaine de pays, on retrouve environ 600 opérateurs réunis dans des groupes Telegram, où circulent listes de numéros, tutos… et parfois photos de montres de luxe ou de liasse de billets pour faire bonne mesure.
- Le kit Magic Cat a permis de piéger 884 000 cartes bancaires à l'échelle mondiale en seulement sept mois.
- Disponible sur Telegram, ce kit de phishing-as-a-service fonctionne comme un SaaS, facilitant les campagnes massives.
- En France, malgré l’ampleur du phénomène, aucune enquête judiciaire n’était ouverte au moment des révélations, laissant le système tourner à plein régime.
Si l’on vous alerte régulièrement sur les arnaques aux faux colis, c’est qu’il y a de bonnes raisons, et ce même si vous pensez être suffisamment vigilant pour y échapper. Car en marge des scams amateurs repérables à des kilomètres à la ronde, certaines tentatives de phishing bien plus élaborées parviennent encore à atteindre des centaines de milliers d’individus, y compris des victimes pourtant sensibilisées sur le sujet.
La dernière campagne d’envergure en date a été révélée dans une enquête menée de concert par NRK, Le Monde et l’entreprise de cybersécurité Mnemonic. Elle met en lumière un kit de phishing-as-a-service (PhaaS) commercialisé sous le nom de Magic Cat, utilisé entre 2023 et 2024 par plus de 600 opérateurs malveillants dans une centaine de pays. Ou comment une plateforme cybercriminelle est parvenue à transformer le vol d’informations sensibles en business à la chaîne.
13 millions de clics, 884 000 CB dérobées en temps réel
Développé dans l’écosystème cybercriminel chinois, Magic Cat est un kit d’hameçonnage prêt à l’emploi, vendu sur Telegram à prix d’ami – quelques centaines d’euros par semaine suffisent pour lancer sa campagne. Dans les grandes lignes, l'outil permet d’automatiser l’envoi de dizaines de milliers de messages frauduleux en quelques clics, et de générer automatiquement de faux sites web aux couleurs de La Poste, Chronopost, Amazon ou de la Royal Mail britannique.
Entre 2023 et 2024, plus de 13 millions de personnes ont ainsi cliqué sur ces liens, et 884 000 ont saisi leurs informations de CB, dont près de 9 000 en France. Dans la majorité des cas, les victimes ont saisi leurs coordonnées pour régler un petit montant – un euro ou deux. Bien mal leur en a pris.
Car les données saisies sont affichées en temps réel, caractère par caractère, sur le tableau de bord de l’attaquant : nom, adresse, numéro de carte, cryptogramme, mais aussi codes d’authentification à usage unique pour activer les cartes dans Apple Pay ou Google Pay.
Évidemment, pour que la magouille fonctionne, tout est pensé pour maximiser le taux de clics. Les messages sont envoyés par SMS, iMessage ou RCS, ce qui permet de contourner certains filtres antispam, et les pages de phishing s’affichent exclusivement sur mobile, via des connexions 4G, pour échapper aux antivirus desktop et aux chercheurs en cybersécurité.
Jusqu’à 30 000 tentatives de smishing automatisées par jour
Derrière cette arnaque d’ampleur, pas de réseau hiérarchisé, mais une myriade d’acteurs qui exploitent chacun la même plateforme. Magic Cat fonctionne comme un outil SaaS : chacun paie sa licence, l’installe localement, configure ses campagnes et gère ses victimes. Le support est assuré via Telegram, les mises à jour sont régulières. C’est d’ailleurs cette modularité et cette opacité qui rendent la machine si difficile à enrayer.
Côté client, chaque opérateur choisit son angle d’attaque : certains investissent dans des SIM farms capables d’envoyer jusqu’à 30 000 SMS par jour, d’autres achètent des bases de numéros ou personnalisent les pages de phishing. Ces activités s’organisent de manière informelle dans des groupes Telegram fermés, où s’échangent en chinois templates, packs de numéros, retours d’expérience, bonnes pratiques, et parfois même terminaux de paiement ou sociétés-écrans pour faire passer les transactions.
Au pic de son activité, Magic Cat était lié à plus de 20 000 noms de domaine actifs, permettant de brouiller les pistes et de renouveler facilement les campagnes. Le kit donne accès à plus de 300 modèles de sites web contrefaits – Autopass en Norvège, La Poste ou Chronopost en France, USPS aux États-Unis –, ajustés localement pour renforcer la crédibilité de l’arnaque en fonction des pays ciblés, et intégrant un éditeur pour y ajouter ses propres templates.
04 mars 2025 à 13h04
Des profils bien identifiés, mais toujours pas d’enquête ouverte en France
En creusant, les journalistes de NRK ont fini par remonter jusqu’à deux figures clés de l’écosystème. D’un côté, « Darcula », pseudonyme du développeur principal, identifié comme Yucheng C., 24 ans, originaire de la province du Henan en Chine. De l’autre, « X667788X », alias Kris, utilisateur régulier et revendeur de licences Magic Cat, dont il assure la promo à coups de vidéos de téléphones alignés par dizaines et de soirées arrosées sur Instagram.
Son portefeuille crypto laisse d’ailleurs peu de doute concernant la rentabilité du business : plus de 300 000 dollars reçus en un an, notamment issus de nombreuses transactions comprises entre 250 et 900 dollars, qui semblent correspondre à des abonnements au logiciel Magic Cat. Sur Telegram, il propose aussi des offres groupées incluant support et tutoriels pour les débutants.
Selon Le Monde, en France, aucune enquête judiciaire n’avait encore été ouverte sur Magic Cat au moment des révélations. Les autorités recommandent quand même de porter plainte systématiquement et de ne jamais cliquer sur un lien reçu par SMS prétendant venir d’un service public ou d’une société de livraison. Restez également vigilant après avoir fait opposition : certaines victimes sont recontactées par de faux conseillers bancaires pour de nouvelles tentatives d’arnaque.
