Ces dernières semaines, des chercheurs en sécurité ont détecté une campagne d'hameçonnage qui prend un coin inhabituel d'Internet pour cacher leurs pièges : le domaine spécial harpa, utilisé historiquement pour l'infrastructure réseau et les recherches DNS inverses. Loin d'être un site web commun, .harpa n'est pas conçu pour accueillir le contenu visible de l'utilisateur Cependant, les attaquants ont trouvé des moyens créatifs d'exploiter cette fonctionnalité pour éviter les contrôles et passer inaperçus.
Pour comprendre pourquoi cela est assez problématique pour se rappeler comment fonctionne la recherche inversée: alors qu'une requête régulière résout un nom de domaine vers une IP, la recherche inversée - à travers des zones commeEn-addr.arpapour IPv4 etip6.arpapour IPv6 - transforme une adresse IP en une chaîne d'étiquettes qui pointe vers un PTR qui indique normalement le nom d'hôte associé. La documentation officielle sur l'objet de l'espace .arpa est disponible sur l'IANA, qui décrit son rôle dans l'infrastructure Internet: https: / / www.iana.org / domaines / arpa. En outre, les fournisseurs de contenu et les opérateurs DNS expliquent comment les recherches inversées fonctionnent en termes pratiques, par exemple dans le guide Cloudflare sur les DNS inversés: https: / / www.cloud.
Le piège observé par les chercheurs comme Infoblox est de fournir des blocs d'adresse IPv6 - souvent par des services de réglage comme Courroie électrique de l'ouragan- puis prendre le contrôle de la zone DNS inverse pour cette partie de l'espace. Une fois que l'acteur malveillant gère cette zone, certains panneaux de gestion DNS permettent de créer différents types d'enregistrement que le PTR classique; les attaquants utilisent précisément cette permissivité pour définir les enregistrements Ils pointent sur l'infrastructure d'hameçonnage.
L'effet pratique est inquiétant: au lieu d'un domaine enregistré dans un registre public avec WHOIS, l'antiquité et les métriques que les passerelles antiphishing analysent habituellement, le lien intégré dans un courrier peut pointer vers un nom dérivé de l'adresse IPv6 dans leip6.arpa. Lorsque l'URL est cachée dans une image ou dans un élément visuel du courriel, de nombreuses victimes ne voient pas l'adresse complète; en cliquant, le navigateur résout le nom dans la zone inverse contrôlée par l'attaquant et redirige à travers une plate-forme de distribution du trafic (TDS). Si le visiteur répond à certains critères - par exemple, le type d'appareil, le pays ou la référence - il est envoyé au site d'hameçonnage; sinon, il est renvoyé à un contenu ou à des erreurs légitimes, ce qui complique encore la surveillance et la détection médico-légales.
Les attaquants ont également utilisé des fournisseurs bien connus abriter les zones autoritaires, ce qui leur confère une plus grande légitimité contre les systèmes automatisés qui dépendent de la réputation du fournisseur. Infoblox documente les cas où les services ont été utilisés par des opérateurs respectés comme Hurricane Electric ou même Cloudflare pour publier des documents faisant autorité qui ont fini par résoudre l'infrastructure intermédiaire et cacher l'emplacement réel du moteur.
Un autre morceau du puzzle est la courte durée de vie des liens malveillants : ils sont généralement actifs seulement quelques jours avant de tomber ou de rediriger vers des sites sûrs. Ce comportement réduit les fenêtres d'observation et rend difficile pour les chercheurs et les outils de blocage de construire des signatures efficaces. En parallèle, les attaquants ont combiné cette technique à d'autres techniques connues, comme l'enlèvement de CNAME oublié - ce qu'Infoblox a décrit dans les enquêtes précédentes - et le phénomène connu comme sous-domaine Ombre, qui permet de pousser le contenu malveillant dans des sous-domaines liés à des organisations légitimes.
Du point de vue des défenseurs, il y a deux raisons qui rendent cet abus particulièrement inquiétant. Premièrement, les domaines .arpa ne contient pas les métadonnées habituelles du journal (WHOIS, ancienneté ou contacts), de sorte que les passerelles de courrier qui fondent une partie de leur évaluation dans cette information ont moins de leviers d'identification. Deuxièmement, la mécanique de délégation inverse elle-même et les règles de certains panels DNS permettent la publication de types inattendus de documents dans les zones d'infrastructure, ce que les acteurs malveillants exploitent.
Tout n'est pas perdu : il existe des mesures tant au niveau des utilisateurs qu'au niveau opérationnel qui réduisent les risques. Pour les individus, la règle de base reste valable et urgente : ne cliquez pas sur des liens inattendus dans les courriels et, lorsqu'il est nécessaire d'accéder à un service, tapez l'URL officielle ou utilisez des favoris et des applications officielles. Pour les équipes de sécurité et les administrateurs, il convient d'examiner les délégations DNS inversées dans les blocs qu'elles contrôlent, d'exiger des fournisseurs de tunnel et de DNS qu'ils restreignent les types de documents autorisés dans les zones inversées et de surveiller les modes de résolution inhabituels dans les zones .arpa. Il est également recommandé que les solutions de filtrage et les passerelles de courrier comprennent des contrôles spécifiques pour détecter et analyser les liaisons à faible liaison.ip6.arpaet la coordination avec les fournisseurs de DNS lorsque des abus sont observés.
La communauté de la sécurité a déjà commencé à alerter les fournisseurs et les exploitants et à leur faire part de leurs constatations afin de combler les lacunes opérationnelles. Les articles d'Infoblox sur cet abus et ses recherches antérieures sur la suspension des CNAmes sont un bon point de départ pour quiconque veut approfondir : Abus de .arpa (Infoblox) et Nuageux avec une chance de détournement (Infoblox). Pour comprendre les risques connexes comme l'ombre sous-domaine, l'analyse de Proofpoint éclaire : L'Ombre sait (Proofpoint).
En fin de compte, la leçon est claire: les pièces les plus techniques d'Internet - qui ont toujours été prises pour acquis - peuvent devenir des vecteurs d'attaque lorsque la visibilité et les règles d'exploitation ne sont pas adéquates. Les attaquants cherchent les espaces "toujours" sur le réseau où les règles de confiance travaillent pour eux. et la défense exigent à la fois des pratiques d'hygiène numérique de la part des utilisateurs et une politique et une surveillance plus sophistiquées de la part des opérateurs et des fournisseurs.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...