Les cybercriminels frappent le Japon avec une nouvelle vague massive de phishing. Des chercheurs de ont identifié le kit « CoGUI », capable d'inonder les organisations japonaises de messages trompeurs destinés à dérober des identifiants et données bancaires.
Avec plus de 172 millions de messages envoyés en un seul mois au Japon, le kit de phishing CoGUI s'est imposé comme la principale menace dans les données de Proofpoint, l'acteur spécialisé dans la cybersécurité. Des campagnes massives, orchestrées par des acteurs qui parlent le chinois, exploitent des techniques d'évasion avancées et l'actualité économique, les tarifs douaniers en particulier, pour piéger leurs victimes. L'ombre de la cybercriminalité chinoise s'étend sur l'archipel nippon.
CoGUI, un kit de phishing très avancé qui le rend presque indétectable
CoGUI n'est pas un kit de phishing ordinaire. Il est observé depuis octobre 2024 en tant que dispositif frauduleux et emploie des méthodes perfectionnées comme le geofencing (bloque ou autorise l'accès selon la localisation géographique), le header fencing (cache les infos techniques envoyées par votre navigateur) et le fingerprinting (identifie un appareil grâce à ses caractéristiques uniques).
Ces technologies permettent aux cybercriminels d'éviter la détection par les systèmes de sécurité automatisés, en filtrant intelligemment leur cible selon sa géolocalisation. Ici, les messages trompeurs se cachent derrière des identités empruntées à des marques reconnues.
Amazon arrive par exemple en tête des usurpations (61% des campagnes), suivi par PayPay, MyJCB et Apple. Cela crée une vraie illusion de légitimité, qui augmente considérablement les chances que les victimes mordent à l'hameçon numérique.
L'impact est en tout cas considérable puisque selon Proofpoint, le Japon est devenu l'un des pays les plus ciblés. Et les campagnes s'intensifient, avec des pics d'activité impressionnants, comme en janvier 2025 où les chercheurs ont recensé 54 campagnes distinctes totalisant plus de 172 millions de messages malveillants.
L'actualité économique détournée pour piéger les utilisateurs japonais
Les cybercriminels derrière CoGUI connaissent bien leur cible. Ils adaptent leurs leurres à l'actualité économique, notamment les récentes annonces sur les tarifs douaniers américains, pour créer un contexte d'urgence qui pousse à l'action.
Un exemple frappant : une campagne usurpant l'identité de Rakuten utilisait le sujet «【Réponse d'urgence】Stratégie d'investissement AI pour la crise des tarifs douaniers ». Ici, les hackers exploitent l'anxiété économique des utilisateurs japonais, en les incitant à cliquer sur des liens frauduleux pour supposément protéger leurs intérêts financiers.
Ces attaques coïncident avec les rapports de l'Agence des Services financiers japonais, qui a récemment alerté sur une hausse des activités d'hameçonnage ciblant les institutions financières. Une fois les identifiants volés, les malfaiteurs les utiliseraient notamment pour acheter des actions chinoises, ce qui établit un lien troublant avec l'origine présumée des attaquants.
Une menace évolutive qui requiert vigilance et contre-mesures adaptées
Pour aller plus loin, les experts de Proofpoint ont identifié des similarités entre CoGUI et un autre kit nommé Darcula, également utilisé par des acteurs sinophones. Cette ressemblance semble nourrir l'augmentation de la cybercriminalité chinoise observée depuis 2023.
Fait notable, CoGUI ne dispose pas encore de capacités pour collecter les informations d'authentification multifactorielle (MFA), contrairement à de nombreux kits de phishing aperçus ces derniers temps. Pour l'aspect défensif, c'est une excellente chose puisque cela rend l'activation de la MFA, l'authentification à multiples facteurs, particulièrement efficace.
Pour se protéger, les spécialistes de la cyber recommandent comme toujours de ne jamais cliquer immédiatement sur les liens reçus par e-mail. Mieux vaut visiter directement le site officiel du service concerné et s'y connecter, pour vérifier les notifications. Les organisations japonaises devraient, elles, renforcer la sensibilisation de leurs employés, en insistant sur l'identification des usurpations d'identité de marques populaires.
