Les chercheurs ont identifié des Poisonsed comme les mêmes acteurs de la menace derrière le Mailchimp de Troy Hunt et le phishing Sendgrid d’Akamai.
Une nouvelle campagne de phishing, Poisonseed, a ciblé le CRM et les fournisseurs de courriels pour obtenir des listes de courriels pour le spam de crypto-monnaie en vrac.
Silent Push, la société de cybersécurité qui a découvert la campagne élaborée, l’a liée à quelques incidents de phishing récents – l’attaque de MailChimp de Troy Hunt, et les astuces de courrier électronique de Coinbase – représentant deux jambes de la campagne résultant en crypto-thé.z.z
« Les acteurs des menaces de poison ciblent les organisations d’entreprises et les individus en dehors de l’industrie de la cypto-monnaie », a déclaré les analystes de Silent Push dans un article de blog. «Les fournisseurs de courriels semblent être principalement ciblés pour fournir des infrastructures pour les opérations de spam de cypto-monnaie.»
Des sociétés de crypto comme Coinbase et Ledger ont été ciblées, ainsi que les fournisseurs de CRM et de messagerie tels que MailChimp, SendGrid, HubSpot, Mailgun et Zoho.
Deux phisses menant à un vol cryptographique
L’attaque commence par le groupe d’acteurs de menace qui a mis en place des pages de phishing pour les fournisseurs de courriels, qui étaient des matchs «parfaits» pour la connexion réelle, ont déclaré les analystes.
Après avoir mis en place des pages de phishing, les attaquants ont envoyé des e-mails ciblés à des adresses spécifiques telles que «MailChimp @ Redaked» de Troy Hunt, qui a été uniquement utilisée pour sa connexion MailChimp. L’e-mail de phishing a utilisé un leurre «Envoi des privilèges restreints» qui semblait provenir de domaines légitimes comme le courrier électronique (.) Com, MailChimp-SSO (.) Com et MailChimp-Ssologin (.) Com.
Une fois les informations d’identification volées, Poisoned télécharge rapidement les listes de courriels, comme dans le cas de Troy Hunt. Les acteurs de la menace créent une nouvelle clé API pour maintenir la persistance au cas où la victime réinitialisera les titres de compétences, silencieux Push noté dans le billet de blog.
En mars 2025, le compte Sendgrid d’Akamai a également été compromis, ce qui a entraîné des e-mails de spam qui tentent une attaque d’empoisonnement à la phrase de graines sur le thème de la base. Les e-mails de phishing semblaient provenir d’une véritable adresse @akamamai (.) COM, pas usurpé, ajoutant une légitimité à l’arnaque.
La campagne a affirmé que Coinbase se déplaçait dans des portefeuilles auto-carliciques et a exhorté les victimes à créer de nouveaux comptes. Les attaquants ont fourni des phrases de semences, en espérant que les utilisateurs les réutiliseraient, permettant aux attaquants de récupérer et de voler des fonds plus tard.
Les activités s’alignent avec Cryptochameleon
Alors que de nombreux chercheurs de menaces ont lié les acteurs de la graine d’empoison à Spattered Spider, Silent Push pense que l’alignement est plus précis avec le kit de phishing avancé de Cryptochameleon à partir de 2024.
Le domaine COM MailChimp-SSO (.), Qui est la base de l’association faite avec Spattered Spider, a été enregistré sur Porkbun de l’attaque précédente jusqu’au 24 mars 2025, lorsqu’il a été réinscrit sur Nicenic, un registraire de choix pour Spider et Cryptochameleon, les analystes.
L’attaque d’empoisonnement des graines de crypto-monnaie de Poisonseed à l’aide d’une opération de spam de la chaîne d’approvisionnement ne s’aligne pas avec les TTP de Scatter Spider, qui silencieuse a suivi comme toujours active en 2025 avec des marques ciblées, notamment Credit Karma, Forbes, Nike, Louis Vuitton et Vodafone.
D’un autre côté, Cryptochameleon cible fortement Coinbase et Ledger, tout comme Poinsened, ainsi que d’autres marques de crypto. Silent Push a partagé une liste d’indicateurs des futures attaques (IOFA) associés à la campagne de poison et a promis une liste beaucoup plus grande et en temps réel exclusivement à ses clients.
