L'usurpation d'identité de Services Australia est à l'origine d'une opération de vol d'identifiants menée tout au long de l'année
17 octobre 2025
Par Ankit Gupta, Hiwot Mendahun et l'équipe de recherche sur les menaces de Mimecast
- MCTO3001 - Opération malveillante impliquant des campagnes d'usurpation d'identité visant Services Australia et Centrelink dans plusieurs secteurs
- Utilisation abusive de l'infrastructure de services de messagerie légitimes (SendGrid, Mailgun, Office 365) avec un nom d'affichage « Australian Gov »
- Objectif de la campagne : collecte d'identifiants et vol de données par usurpation d'identité d'une autorité publique
Présentation de la campagne
L'équipe Mimecast Threat Research continue de suivre MCTO3001, une opération de collecte d'identifiants menée de manière continue qui cible spécifiquement des organisations australiennes depuis 2023. Le MCTO3001 fonctionne toute l'année en proposant des thèmes d'appât en constante évolution, tirant parti de l'autorité et de la confiance associées aux communications gouvernementales. Les auteurs de la menace derrière MCTO3001 adoptent une approche tactique cohérente, en recourant principalement à des comptes de messagerie piratés ainsi qu'à des services légitimes d'envoi massif d'e-mails, notamment SendGrid, Mailgun et l'infrastructure Office 365.
L'une des caractéristiques distinctives du MCTO3001 réside dans l'utilisation systématique de l'extension .gov.au ou de noms d'affichage faisant référence à « gov », associés à une infrastructure d'envoi non gouvernementale. Les en-têtes des e-mails présentent systématiquement des champs de destinataire falsifiés ou totalement absents dans les en-têtes « "» et « À :" », ce qui indique une manipulation des en-têtes visant à échapper à la détection tout en conservant l'apparence d'une correspondance officielle du gouvernement. Cette opération consiste à se faire passer stratégiquement pour Services Australia, en tirant parti d'une connaissance approfondie des systèmes de prestations australiens, notamment la retraite (Superannuation), Medicare, les allocations de recherche d'emploi (JobSeeker) et les allocations familiales (Family Tax Benefits).
Dernière analyse de campagne
La dernière campagne de Phishing MCTO3001 cible les utilisateurs australiens, en particulier ceux qui possèdent un compte Centrelink. Le principal appât utilisé dans cette campagne est un e-mail affirmant qu’une connexion "a été détectée" ou qu’une tentative de connexion suspecte a eu lieu sur le compte Centrelink du destinataire.
Cet e-mail, conçu pour ressembler étroitement aux communications officielles de Centrelink ou de myGov, invite le destinataire à vérifier son compte en cliquant sur un lien fourni. Cette technique d'ingénierie sociale joue sur le sentiment d'urgence et la peur, incitant les utilisateurs à agir rapidement et sans faire preuve de la prudence nécessaire.
Dès que la victime clique sur le lien, elle est redirigée vers une fausse page de connexion à MyGov conçue pour récupérer ses identifiants
L'une des principales caractéristiques techniques de cette campagne réside dans l'utilisation abusive de Portmap.io, un service légitime de tunneling inversé. Portmap.io permet aux utilisateurs de rendre leurs serveurs locaux accessibles depuis Internet en créant des URL publiques qui redirigent le trafic vers une machine située derrière un NAT ou des pare-feu.
Des acteurs malveillants tels que MCTO3001 exploitent ce service pour déployer rapidement des sites de Phishing sans avoir à enregistrer de nouveaux domaines ni à acheter d'hébergement. Chaque Phishing peut utiliser un sous-domaine et un port uniques, générés de manière aléatoire (par exemple, hxxps://michdev-44475[.]portmap[.]io:44475/wett/tat/), ce qui complique la tâche des défenseurs qui souhaitent bloquer ou mettre sur liste noire cette infrastructure. L'utilisation de Portmap.io complique également l'attribution, car la véritable origine du serveur de Phishing est dissimulée derrière l'infrastructure du service, et ces tunnels permettent aux attaquants de modifier rapidement la configuration de leur infrastructure ou de la démanteler afin d'échapper aux mesures de détection et de neutralisation.
Protection Mimecast
Mimecast a mis en place des capacités de détection ciblant spécifiquement les schémas d'usurpation d'identité du gouvernement australien utilisés par MCTO3001, notamment l'analyse des styles de communication de Services Australia et de la terminologie relative à la suspension des prestations.
Objectifs
Un ciblage étendu couvrant de nombreux secteurs et branches d'activité en Australie
CIO
URL malveillantes :
- hxxps://myatoclaimc[.]replit[.]app/
- hxxps://gqr[.]sh/Tbdf
- hxxps://theuniversaldynamic[.]com/shared/
- hxxps://primeraeventsmanagementcompany[.]com/ads
- hxxps://myatoclaima[.]replit[.]app/
- hxxps://nwenwi[.]replit[.]app
- hxxps://digitalpath[.]co[.]in/ads
- hxxps://myaunamend[.]replit[.]app
- hxxps://aunewclmmmm[.]replit[.]app
- hxxps://tirini[.]net/pqoieer/
- hxxps://luyret[.]replit[.]app
- hxxps://auclaimnow[.]replit[.]app
- hxxps://aunewmyclmm[.]replit[.]app
Modèles courants d'objet d'e-mail :
- Vous avez reçu un avis concernant la déclaration fiscale pour l'année 2024-2025
- Une mise à jour importante est disponible sur myGov
- Équipe chargée de la fiscalité australienne
- Nouvelle mise à jour de Centralink pour 2025
- Votre remboursement par virement électronique est prêt
- Nouveau message dans la boîte de réception
- Mise à jour concernant l'avis de remboursement !!!
- Nouveau message
- myGov : Alerte de paiement en attente
- Une nouvelle notification dans votre compte myGov
- Nouveau message de paiement
- Nouveau message pour 2025
- Nous vous avons envoyé un avis fiscal
- Nouvelle évaluation des revenus pour 2025
- Accédez à votre relevé mis à jour via myGov
Recommandations
Recherche proactive des menaces :
- Recherchez dans les journaux des e-mails de confirmation et les journaux d'URL les indicateurs techniques associés à ces campagnes
Sensibilisation à la sécurité :
- Sensibilisez les utilisateurs aux techniques d'usurpation d'identité utilisées par « Services Australia » et « Centrelink »,
- Réaliser des simulations de Phishing intégrant des scénarios de suspension urgente de compte de Services Australia ciblant spécifiquement les employés du secteur de l'éducation
- Insistez sur le fait que les communications officielles émanant des pouvoirs publics sont généralement transmises par le biais de portails gouvernementaux sécurisés
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!