Netcrook Logo
👤 LOGICFALCON
🗓️ 27 Apr 2026   🌍 Asia

Piège de la saison fiscale : les cybercriminels déchaînent des malwares sophistiqués avec de fausses notifications fiscales indiennes

Une nouvelle vague d’attaques de phishing utilise des emails convaincants de violation fiscale pour infecter des organisations mondiales avec de puissants chevaux de Troie d’accès à distance.

Alors que la saison fiscale annuelle s’installe en Inde, une campagne cybercriminelle obscure cible des contribuables et des entreprises sans méfiance avec une arnaque numérique mêlant pression psychologique et ruse technique. Les criminels envoient de fausses notifications du Département des impôts sur le revenu qui menacent non seulement de lourdes sanctions, mais livrent également une charge utile bien plus dommageable qu’une amende : un malware avancé capable de voler des données sensibles et de prendre le contrôle total des systèmes.

Anatomie d’une arnaque fiscale

La campagne, détectée pour la première fois en octobre 2025 par les chercheurs de Mimecast, est un véritable cours magistral d’ingénierie sociale. Les victimes reçoivent des emails les accusant d’infractions à la section 271(1)(c) de la loi indienne sur l’impôt sur le revenu - une accusation alarmante de dissimulation de revenus ou de fausse déclaration. Les emails accentuent la pression, exigeant une réponse sous 72 heures et fournissant un lien « officiel » pour consulter les prétendues infractions.

En cliquant sur le lien, les utilisateurs sont redirigés vers un site web au design professionnel, disponible en hindi et en anglais, qui imite parfaitement l’identité visuelle du Département des impôts sur le revenu. Ici, un bouton « Télécharger les documents » dissimule un script Visual Basic se faisant passer pour une notification fiscale légitime. Ce script s’installe silencieusement, crée des dossiers cachés et télécharge d’autres malwares, souvent emballés dans des fichiers protégés par mot de passe pour contourner les antivirus.

Décryptage de XRed : le malware derrière le masque

Au cœur de ce stratagème se trouve le cheval de Troie XRed - une porte dérobée puissante en circulation depuis 2019. Une fois installé, XRed donne aux attaquants les clés du royaume : il enregistre les frappes clavier pour voler les mots de passe, capture des captures d’écran et peut télécharger, supprimer ou exfiltrer des fichiers à volonté. Le malware collecte également des informations système et les transmet à des serveurs contrôlés par les attaquants, tout en utilisant des techniques de persistance ingénieuses pour survivre aux redémarrages et aux analyses de sécurité.

XRed ne s’arrête pas à un seul ordinateur. Il peut se propager via des clés USB, transformant les supports portables en vecteurs silencieux d’infection au sein d’une organisation. L’infrastructure soutenant cette campagne repose sur plusieurs domaines ressemblants - tels que zyisykm[.]shop et googlevip[.]shop - chacun hébergeant des portails frauduleux presque indiscernables des sites gouvernementaux officiels.

Rester une longueur d’avance

Les experts en sécurité et les autorités indiennes rappellent régulièrement que les agences gouvernementales ne demandent jamais d’informations sensibles ni n’incitent à télécharger des documents via des emails non sollicités. Les ordres d’évaluation officiels ne sont disponibles que via le portail sécurisé de télédéclaration sur incometax.gov.in. Les contribuables et les organisations sont invités à vérifier attentivement les adresses des expéditeurs, à éviter de cliquer sur des liens suspects et à déployer une protection robuste des postes de travail. Une formation régulière à la sensibilisation à la sécurité, en particulier pendant la saison fiscale, est essentielle pour contrer ces menaces en constante évolution.

À l’ère du numérique, la saison fiscale n’est pas seulement un moment de contrôle financier, mais aussi de vigilance face aux tromperies cybernétiques. En apprenant à repérer les signes de ces arnaques, particuliers et organisations peuvent éviter de tomber dans le piège de criminels qui transforment la peur et l’urgence en armes redoutables.

WIKICROOK

  • Phishing : Le phishing est une cybercriminalité où les attaquants envoient de faux messages pour inciter les utilisateurs à révéler des données sensibles ou à cliquer sur des liens malveillants.
  • Cheval de Troie d’accès à distance (RAT) : Un cheval de Troie d’accès à distance (RAT) est un malware qui permet aux attaquants de contrôler secrètement l’ordinateur d’une victime à distance, facilitant le vol et l’espionnage.
  • Mécanisme de persistance : Un mécanisme de persistance est une méthode utilisée par les malwares pour rester actifs sur un système, survivant aux redémarrages et aux tentatives de suppression par les utilisateurs ou les outils de sécurité.
  • Enregistrement des frappes clavier (Keylogging) : L’enregistrement des frappes clavier capture secrètement les saisies au clavier pour voler des données sensibles, comme des mots de passe, posant de graves risques pour la vie privée et la cybersécurité.
  • Commandement et contrôle (C2) : Le commandement et contrôle (C2) est le système que les hackers utilisent pour contrôler à distance des appareils infectés et coordonner des cyberattaques malveillantes.
Cybercrime Tax Scam XRed Trojan
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news