Rakuten, Carrefour, Intel, Unicef… Attention aux noms de domaines détournés par des pirates

Une groupe de pirates exploite actuellement les noms de domaines abandonnés d'entreprises et d'organisations légitimes, comme Carrefour, Intel, Michelin ou encore Rakuten, pour y monter des arnaques.
Avec toutes les arnaques dont nous sommes victimes, beaucoup d'entre nous ont pris le réflexe d'observer le nom de domaine des sites sur lesquels nous sommes invités à cliquer, que ce soit dans un e-mail ou dans les résultats fournis par les moteurs de recherche. Si un nom de domaine appartient à une grande marque, à une ONG connue ou encore à une institution publique, et qu'en plus il est bien référencé par Google, alors il n'y a rien à craindre. Enfin, en théorie. Parce que, parfois, il est possible de tomber nez à nez avec une vidéo coquine, une alerte antivirus ou une invitation à installer une application franchement douteuse.
Il se trouve qu'un groupe de cybercriminels qui se fait appeler Hazy Hawk détourne des sous-domaines abandonnés de grandes entreprises, comme Carrefour, Intel, Rakuten, Capgemini, Michelin et Panasonic, mais aussi de ministères, d'universités, d'agences gouvernementales ou encore d'organismes reconnus, comme Unicef ou l'Ademe, afin de distribuer des escroqueries et des logiciels malveillants.
Détournement de DNS : des sites fiables qui hébergent des arnaques
Actif depuis au moins décembre 2023, Hazy Hawk exploite les mauvaises configurations DNS pour prendre le contrôle des sous-domaines abandonnés, afin d'exploiter la confiance qui leur est associée. Les chercheurs d'Infoblox se sont intéressés au groupe après une alerte du journaliste Brian Krebs. Ils l'ont détecté en février 2025, lorsque les pirates ont détourné des sous-domaines des États-Unis, avant de les lier à un grand nombre d'attaques de ce genre.
Pour faire simple, le DNS est utilisé pour suivre, cataloguer et réguler les sites Internet du monde entier. Il permet aux utilisateurs d'accéder à des informations en convertissant un nom de domaine (comme commentcamarche.telechargertorrent.org) en adresse IP dont le navigateur de l'utilisateur a besoin pour charger des ressources Internet (comme une page Web). Hazy Hawk cible les enregistrements DNS qui redirigent vers les ressources cloud (Azure, AWS, GitHub…) qui ne sont plus utilisées. Car lorsque les entreprises ou les organisations décident de supprimer un service sans désactiver les entrées DNS correspondantes, les sous-domaines continuent d'exister, même s'ils ne pointent plus vers rien – c'est ce qu'on appelle un dangling record.
Hazy Hawk recherche ces sous-domaines abandonnés pour réserver à nouveau l'espace cloud avec le même nom que celui d'origine, de sorte que le sous-domaine légitime réactivé conduise désormais à une ressource active, cette fois-ci contrôlée par les cybercriminels. Les internautes sont donc renvoyés vers des pages frauduleuses sans s'en rendre compte. Ils sont loin de se méfier d'un lien commençant par carrefour.fr ou ademe.fr ! Il suffit que les pirates y hébergent un site clone et l'arnaque est indétectable !
Les pages contrôlées par les cybercriminels regorgent d'arnaques en tous genres, telles que des alertes au technique, de faux antivirus, des applications mobiles vérolées ou encore des messages de VPN.