Netcrook Logo
👤 TRUSTBREAKER
🗓️ 05 Mar 2026   🌍 Asia

« Fraud Cloud » Reloaded : comment les acteurs de la menace RingH23 transforment les plateformes vidéo et les CDN en autoroutes de l’arnaque

Une campagne de cybercriminalité audacieuse détourne des sites de streaming et des réseaux CDN mondiaux, canalisant des millions vers les jeux d’argent et la fraude avec une furtivité digne de l’armée.

À première vue, votre site de films préféré semble inchangé. Mais sous la surface, une nouvelle vague de cybercriminels détourne les artères de l’internet - les réseaux de diffusion de contenu (CDN) et les plateformes vidéo populaires - pour en faire des canaux lucratifs d’arnaques, de pornographie et de vols numériques. Les cerveaux derrière tout cela ? Un groupe d’Asie du Sud-Est ressurgi, connu sous le nom de Funnull, désormais équipé d’un kit d’outils maison appelé RingH23. Leur opération entraîne des millions de visiteurs innocents dans une toile de tromperie, tout en restant étrangement invisible aux yeux des défenseurs.

En bref

  • RingH23 est un kit cybercriminel basé sur Linux ciblant les sites vidéo MacCMS et l’infrastructure CDN propulsée par GoEdge.
  • Funnull, précédemment sanctionné par le Trésor américain, est passé du détournement de CDN publics à leur compromission et contrôle directs.
  • À son apogée, un seul domaine piégé a redirigé 6,8 millions d’utilisateurs en une journée.
  • Les attaquants déploient des malwares modulaires, incluant rootkits et injecteurs JavaScript, pour maximiser le détournement et la monétisation du trafic.
  • La mitigation est compliquée par des méthodes d’infection persistantes et des tactiques d’évasion agressives.

Au cœur de l’attaque : des sites vidéo à la prise de contrôle des CDN

La dernière campagne de Funnull allie sophistication technique et efficacité implacable. Leur stratégie à deux volets commence par l’empoisonnement du canal de mise à jour logicielle de MacCMS, un backend populaire pour les portails de streaming et vidéo. Lorsque les administrateurs installent ou mettent à jour MacCMS, ils récupèrent à leur insu une archive ZIP truffée de portes dérobées. Ces charges injectent du JavaScript malveillant dans chaque page - ciblant principalement les utilisateurs mobiles du fuseau horaire chinois - et les redirigent vers des sites d’arnaque et de jeux d’argent à forte valeur.

Simultanément, Funnull s’attaque à l’infrastructure CDN, en particulier celles utilisant GoEdge. En compromettant un nœud central de gestion, les attaquants déploient un composant privilégié (« infectinit ») qui récolte les identifiants et propage d’autres malwares sur tous les nœuds périphériques du CDN. L’infection est profondément ancrée - utilisant une règle udev rare pour la persistance et un rootkit (Badhide2s) qui dissimule fichiers, processus et activités réseau. Un module filtre Nginx (Badnginx2s) permet l’injection dynamique de JavaScript, le détournement de téléchargements et même le vol d’adresses de portefeuilles de cryptomonnaies.

L’ampleur est stupéfiante : la télémétrie révèle des centaines de milliers de victimes uniques chaque jour, avec du JavaScript injecté découvert sur des milliers de sites de streaming. L’infrastructure des attaquants, désormais hébergée sur le suspect CDN1.ai, suggère un passage à un contrôle opérationnel total, abandonnant la dépendance précédente à l’abus de CDN publics.

Les défenseurs font face à une tâche ardue. La conception modulaire du malware, l’utilisation de charges à durée limitée et des techniques anti-forensiques agressives rendent l’éradication difficile. Malgré tout, les chercheurs recommandent d’auditer les déploiements MacCMS, de supprimer les fichiers PHP malveillants et de migrer depuis les fournisseurs compromis. Les opérateurs de CDN sont invités à rechercher des signes révélateurs - règles udev inconnues, bibliothèques suspectes, modules cachés - pour débusquer la présence furtive de RingH23.

Conclusion

La réinvention de Funnull avec RingH23 marque une escalade glaçante dans la course à l’armement cybercriminel. En transformant l’infrastructure légitime de l’internet en arme, ces acteurs brouillent la frontière entre diffusion de contenu et entreprise criminelle. Pour les opérateurs de sites, les fournisseurs de CDN et les millions d’utilisateurs pris entre deux feux, la vigilance et la réactivité n’ont jamais été aussi cruciales.

WIKICROOK

  • CDN (Content Delivery Network) : Un CDN est un réseau de serveurs qui stocke le contenu de sites web à plusieurs endroits pour le livrer plus rapidement et de façon plus sécurisée aux utilisateurs.
  • Rootkit : Un rootkit est un logiciel malveillant furtif qui se cache sur un appareil, permettant aux attaquants de contrôler secrètement le système et d’échapper à la détection.
  • Injection JavaScript : L’injection JavaScript est une méthode de piratage où les attaquants insèrent du code malveillant dans des applications web pour voler des données, détourner des sessions ou altérer le contenu.
  • Persistance : La persistance regroupe les techniques utilisées par les malwares pour survivre aux redémarrages et rester cachés sur les systèmes, souvent en imitant des processus ou mises à jour légitimes.
  • Porte dérobée : Une porte dérobée est un accès caché à un ordinateur ou serveur, contournant les contrôles de sécurité habituels, souvent utilisé par les attaquants pour prendre le contrôle en secret.
Cybercrime RingH23 CDN
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news