La plate-forme phishing-as-a-service (PhaaS) de Darcula a volé 884 000 cartes de crédit à partir de 13 millions de clics sur des liens malveillants envoyés par SMS à des cibles dans le monde entier.
Le cyber-braquage a été effectué sur sept mois entre 2023 et 2024, il ne reflète donc pas le montant total que la plateforme de cybercriminalité a aidé à voler.
Ces chiffres proviennent de recherches coordonnées par des enquêteurs de NRK, Bayerischer Rundfunk, Le Monde et la société de sécurité norvégienne Mnemonic, qui ont identifié 600 opérateurs (clients de la cybercriminalité) et le principal créateur et vendeur de la plateforme.
L’ascension rapide de Darcula
Darcula est une plate-forme PhaaS qui cible les utilisateurs d’Android et d’iPhone dans plus de 100 pays en utilisant 20 000 domaines qui usurpent des marques bien connues, dans le but de voler les informations d’identification des comptes des gens.
Ces SMS de phishing prétendent généralement être des amendes de péage routier ou des notifications d’expédition de colis qui incluent des liens vers des sites de phishing.
Les chercheurs de Netcraft, qui ont été les premiers à mettre en évidence la menace croissante en mars 2024, ont noté que Darcula se distinguait des services de cybercriminalité similaires par sa capacité à utiliser RCS et iMessage au lieu de SMS, ce qui rendait ses attaques plus efficaces.
En février 2025, les mêmes chercheurs ont signalé que Darcula avait subi une évolution significative, permettant désormais aux opérateurs de générer automatiquement des kits de phishing pour n’importe quelle marque, tout en implémentant de nouvelles fonctionnalités furtives, un convertisseur de carte de crédit en carte virtuelle et un panneau d’administration simplifié.
En avril 2025, Netcraft a vu l’introduction de l’IA générative dans Darcula, permettant aux cybercriminels de créer des escroqueries personnalisées à l’aide d’outils LLM dans n’importe quelle langue et pour n’importe quel sujet.
Soulever le couvercle
L’enquête de Mnemonic, qui impliquait la rétro-ingénierie de l’infrastructure de phishing, a conduit à la découverte d’une puissante boîte à outils de phishing nommée « Magic Cat », qui est l’épine dorsale de l’opération Darcula.
Les chercheurs ont également infiltré le groupe Telegram associé à l’opération Darcula, découvrant des photos de fermes SIM, de modems et des preuves de modes de vie somptueux financés par les escroqueries.
Grâce au travail OSINT et à l’analyse passive du DNS, ils ont retracé les empreintes numériques de l’opération jusqu’à un individu chinois et un compte de développeur GitHub, entre autres.
NRK affirme que l’individu est un homme de 24 ans du Henan, en Chine, lié à une entreprise qui aurait créé Magic Cat.
Un porte-parole de l’entreprise a déclaré à la presse que Yucheng était un ancien employé et a nié toute implication dans une fraude, affirmant qu’il ne vendait que « des logiciels de création de sites Web. »
NRK note que, bien que la société ait reconnu que Magic Cat était utilisé pour le phishing et ait affirmé qu’elle l’arrêterait, une nouvelle version a été publiée.
Dans un autre article, NRK révèle qu’environ 600 escrocs individuels utilisent Darcula pour voler les informations de carte de paiement des victimes dans le monde, avec 884 000 cartes capturées dans le monde entier.
Les opérateurs sont organisés en groupes de télégrammes fermés, que NRK a surveillés pendant plus d’un an, constatant que la plupart communiquent en chinois et gèrent des fermes SIM et des configurations matérielles pour envoyer des messages texte en masse et traiter les cartes volées via des terminaux.
Le rapport du Cnrc met en évidence les opérateurs avec de très gros volumes de trafic malveillant facilité par Darcula, y compris un utilisateur basé en Thaïlande, « x66/Kris », qui semble figurer en haut de la hiérarchie.
Toutes les informations recueillies par les chercheurs et les enquêteurs ont été partagées avec les autorités chargées de l’application de la loi applicables.