Les acteurs malveillants exploitent les causes sociales pour manipuler le comportement des utilisateurs
10 février 2026
Par l'équipe de recherche sur les menaces de Mimecast
- Des campagnes de Phishing exploitant les thèmes du Mois de la fierté pour susciter des réactions émotionnelles et contourner les mesures de sensibilisation à la sécurité
- La campagne s'est déroulée en deux vagues distinctes : en décembre 2025, avec 504 cibles, puis en janvier 2026, avec une intensification portant le nombre de cibles à 4 768, soit un total de 5 272 organisations aux États-Unis, au Royaume-Uni, en Allemagne, en Australie, en Afrique du Sud, au Canada et dans d'autres régions.
- Les techniques d'attaque correspondent aux méthodes utilisées par les acteurs malveillants Scattered Spider, CryptoChameleon et PoisonSeed
- La campagne de décembre visait les services financiers et le conseil ; celle de janvier s'est recentrée sur l'informatique, le SaaS et le commerce de détail, tout en conservant le ciblage des services financiers, ce qui laisse supposer soit une optimisation du ciblage, soit plusieurs opérations coordonnées.
Présentation de la campagne
L'équipe de recherche sur les menaces de Mimecast a identifié des acteurs malveillants qui exploitent des causes sociales, notamment le Mois des fiertés et les initiatives en faveur de la diversité, afin d'inciter les organisations à prendre des mesures précipitées. Ces campagnes exploitent délibérément à mauvais escient les valeurs légitimes de l'organisation afin de créer le sentiment d'urgence dont les attaquants ont besoin pour réussir à voler des identifiants.
Cette tactique est particulièrement efficace, car elle tire parti de l'engagement sincère de l'organisation en faveur de la diversité et de l'inclusion. Que les destinataires soient favorables ou opposés à cette initiative, les pirates comptent sur l’une ou l’autre de ces réactions pour les inciter à cliquer sur des liens malveillants sans les examiner suffisamment.
Il convient notamment de noter que cette campagne a été lancée à la mi-décembre, plusieurs mois avant le Mois de la fierté, qui a lieu en juin. Cela laisse penser que les auteurs de ces menaces planifient leurs actions à l'avance ou testent des messages susceptibles de trouver un écho dans le cadre de futures campagnes. Cette période coïncide également avec les congés de fin d'année, durant lesquels de nombreuses organisations fonctionnent avec des effectifs informatiques réduits et une surveillance de la sécurité allégée, des conditions qui favorisent le succès des attaques par Phishing.
Vagues de campagne et intensification
La campagne s'est déroulée en deux opérations distinctes. La vague de décembre 2025 a visé 504 organisations, principalement aux États-Unis (62%) et au Royaume-Uni (20%), en se concentrant notamment sur les services financiers, les services professionnels et les cabinets de conseil. Il semble qu'il s'agisse d'une phase de reconnaissance ou d'essai.
La vague de janvier 2026 a représenté une multiplication par 9,5, visant 4 768 organisations réparties sur une zone géographique élargie. Si les États-Unis et le Royaume-Uni sont restés les principales cibles (respectivement 57% et 21% ), la campagne a désormais touché de manière significative l'Allemagne, l'Australie, l'Afrique du Sud et le Canada. Les secteurs ciblés ont également évolué : les activités informatiques et SaaS sont passées de 6% à 13%, le commerce de détail de 4% à 7%, tandis que les services financiers sont restés une priorité absolue avec 13%. Cela laisse supposer soit la mise en œuvre de plusieurs opérations coordonnées, soit une optimisation active du ciblage sur la base des résultats obtenus en décembre.
La méthode d'attaque
Ces e-mails indiquent que des en-têtes et des pieds de page sur le thème de la Pride seront automatiquement appliqués aux comptes professionnels, conformément à une directive de la direction et dans le respect des valeurs de l'entreprise. Les destinataires se voient proposer une option de désinscription, ce qui leur donne un faux sentiment de contrôle tout en les redirigeant vers des liens malveillants.
Il s'agit là d'une manœuvre d'ingénierie sociale délibérée. Les bénéficiaires qui soutiennent cette initiative peuvent cliquer ici pour en savoir plus. Si vous n'êtes pas d'accord, cliquez ici pour vous désinscrire. Ces deux réactions jouent en faveur de l'attaquant : l'utilisateur clique sur le lien avant de l'examiner attentivement.
Les e-mails envoyés en janvier ont évolué pour inclure des préfixes dans l'objet basés sur des profils types, ce qui laisse penser que les pirates usurpent l'identité de personnes spécifiques afin de renforcer leur crédibilité et de contourner les filtres basés sur l'expéditeur.
Une fois qu'ils ont cliqué, les utilisateurs sont redirigés vers une page de vérification CAPTCHA (une tactique couramment utilisée par les pirates pour échapper à la détection et filtrer les utilisateurs) avant d'être redirigés vers des pages destinées à récupérer leurs identifiants, qui imitent les interfaces de connexion de SendGrid.
Exploitation des infrastructures et de la chaîne d'approvisionnement
Les pirates exploitent des comptes SendGrid compromis, une plateforme légitime d'envoi d'e-mails en masse, pour diffuser des messages à l'échelle de l'entreprise. Des URL malveillantes redirigent, via l'infrastructure de SendGrid, vers des domaines contrôlés par les pirates, notamment lgbtsendgrid[.]com et lgbt-sg[.]com.
Cette approche illustre un modèle d'attaque de la chaîne d'approvisionnement plus général, observé dans le cadre de plusieurs campagnes malveillantes. En piratant des fournisseurs de services CRM et de messagerie électronique tels que SendGrid, Mailchimp, HubSpot et d'autres, les cybercriminels accèdent à des infrastructures existantes et à des listes de contacts qui confèrent une crédibilité à leurs messages de Phishing. Cette tactique est particulièrement efficace, car les destinataires reçoivent des e-mails provenant de services de confiance ou de comptes internes à l'entreprise, ce qui leur permet de contourner les premières barrières de confiance. Les organisations exercent souvent un contrôle moins rigoureux sur les comptes de services tiers que sur leur infrastructure native, ce qui offre aux attaquants davantage d'occasions d'agir sans être détectés.
Une fois les identifiants volés et les clés API créées pour assurer la persistance, ces comptes compromis servent alors de vecteur pour diffuser des attaques de Phishing à grande échelle. D'autres campagnes malveillantes ont utilisé cette même infrastructure pour cibler des plateformes de cryptomonnaies, collecter des listes de diffusion et mener des opérations de spam à grande échelle, ce qui démontre que les fournisseurs de services de messagerie électronique constituent désormais une cible privilégiée dans les stratégies des acteurs malveillants.
Attribution des campagnes
Bien qu'il soit difficile d'en établir l'origine avec certitude, les techniques observées présentent des similitudes avec les opérations malveillantes « Scattered Spider », « CryptoChameleon » et « PoisonSeed » :
- Exploitation de l'infrastructure d'un fournisseur de services de messagerie électronique légitime
- Conventions de nommage de domaines imitant celles de services de confiance
- Mettre l'accent sur la collecte d'identifiants afin de permettre des attaques en aval
- Destiné aux entreprises de divers secteurs
Le paysage plus large des menaces
Ces campagnes s'inscrivent dans le cadre d'un schéma d'attaque plus large, dans lequel des acteurs malveillants compromettent des systèmes CRM et des fournisseurs de messagerie électronique afin de diffuser des attaques de Phishing à grande échelle. En dérobant des identifiants sur des plateformes telles que Mailchimp, SendGrid et HubSpot, les pirates envoient des messages frauduleux qui semblent provenir de sources internes ou partenaires de confiance.
Des études récentes sur les menaces ont mis en évidence plusieurs campagnes coordonnées visant la même infrastructure de messagerie, ce qui indique qu'il s'agit désormais d'une stratégie d'attaque bien établie plutôt que d'un incident isolé. Les organisations semblent être ciblées de manière systématique, tant pour leur rôle d'infrastructure d'attaque que pour leurs listes de contacts permettant d'atteindre des cibles de grande valeur. Cela signifie que la protection de SendGrid, Mailchimp et des plateformes similaires constitue désormais un élément essentiel de la stratégie de sécurité des e-mails de l'entreprise, et ne se limite plus à la gestion des infrastructures sur site ou directement dans le cloud.
Cette approche répond à un défi récurrent pour les pirates : amener les destinataires au sein des organisations à interagir avec des messages de Phishing. Le recours à des services légitimes et à des causes sociales d'actualité permet d'accroître la crédibilité et les taux d'engagement par rapport au Phishing de masse traditionnel.
Protection Mimecast
Mimecast a mis en place des fonctionnalités de détection permettant d'identifier les campagnes qui exploitent l'infrastructure de services de messagerie légitimes à des fins malveillantes. Notre équipe de recherche sur les menaces continue de surveiller l'évolution des tactiques et des variantes de domaines utilisées par ces opérations malveillantes.
Cibles principales
Des organisations réparties dans 8 pays d'Amérique du Nord, d'Europe et d'Afrique australe. Principales cibles par région : États-Unis (58% du total), Royaume-Uni (21%), Australie, Allemagne, Afrique du Sud, Canada et autres.
Indicateurs de compromission (IOC)
Les domaines malveillants ciblant la communauté LGBTQ
- lgbtsendgrid[.]com
- gbt-sg[.]com
Thèmes liés à la communauté LGBT
- Mise à jour sur le thème du mois de la fierté
- Un message de notre équipe
- Le point sur la personnalisation des e-mails
Campagnes similaires Domaines malveillants
- https-sendgrid[.]info
- https-sglogin[.]com
- https-sgpartners[.]info
- https-sgportal[.]com
- id-unlink[.]com
- internal-ssologin[.]com
- legalcompliance-login[.]com
- login-enterprisesso[.]com
- login-request[.]com
- login-sgdashboard[.]com
- loginportalsg[.]com
- manage-sgdashboard[.]com
- myhubservices[.]com
- mysandgrid[.]com
- navigate-sendgrid[.]com
- network-sendgrid[.]com
- open-sglogin[.]com
- >partnerdashboard-sglogin[.]com
- portal-sendgrld[.]com
- establish-sendgrid[.]com
Thèmes de campagnes similaires
- Le point de terminaison de l'API ne répond pas
- Le point de terminaison de l'API ne répond pas
- Clé API générée
- Problème de transmission des requêtes API
- Mise à jour de la politique relative aux requêtes API
- Les requêtes API ne sont pas transmises
- Échec de l'URL de rappel
- Expiration des enregistrements d'authentification de domaine
- Problème de connexion au terminal détecté
- Détection d'une défaillance du point d'accès de la passerelle
- Nouvelle connexion détectée
- Seuil de limitation de l'API SendGrid atteint
- Capacité d'envoi atteinte
- Alerte de service
- Problème de configuration du modèle
- Le point de terminaison du webhook ne répond pas
- Point de terminaison du webhook renvoyant des erreurs
Recommandations
Formation à la sensibilisation à la sécurité destinée aux utilisateurs
- Sensibilisez vos collaborateurs aux techniques d'ingénierie sociale qui exploitent les réactions émotionnelles suscitées par des sujets sociaux ou politiques.
- Insistez sur le fait que les changements de politique légitimes émanant de la direction suivent généralement les canaux de communication internes établis, et non des liens vers des e-mails externes.
- Formez les utilisateurs à vérifier les notifications inattendues relatives aux politiques en communiquant directement avec les services des ressources humaines ou informatiques
- Réalisez des simulations de Phishing abordant des thèmes sociaux suscitant des émotions afin de renforcer la capacité de reconnaissance
Recherche proactive des menaces
- Recherchez dans les journaux des e-mails reçus les messages provenant de Sendgrid et dont l'objet correspond à ceux indiqués
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!