Kali365 et Mutant Spider : les cyberattaques qui contournent l'authentification multifacteur dominent le secteur financier

Une attaque qui ne passe plus par le vol de mot de passe

L'acteur malveillant qui a ciblé le plus grand nombre d'organisations de services financiers au cours des douze derniers mois n'a pas cherché à dérober des mots de passe par hameçonnage. Au lieu de cela, ses opérateurs ont appelé une ligne d'assistance informatique, convaincu un employé de réinitialiser son authentification multifacteur (MFA) et enregistré leur propre appareil sur le réseau. Cette technique, connue sous le nom de vishing (hameçonnage vocal) via Microsoft Teams, est la signature du groupe désigné sous le nom de Mutant Spider, selon le rapport CrowdStrike 2026 Financial Services Threat Landscape, publié ce mois-ci et couvrant la période d'avril 2025 à mars 2026.

Mutant Spider : l'attaquant le plus actif du secteur

Le rapport de CrowdStrike révèle que Mutant Spider est la menace la plus active pour le secteur financier. Ses opérateurs se font passer pour le service d'assistance informatique interne de la cible. « Qui a besoin d'une faille zero day quand il suffit d'appeler le help desk et de dire 'J'ai oublié mon mot de passe' ? » a commenté Adam Meyers, vice-président senior des opérations de contre-adversaire chez CrowdStrike, cité par VentureBeat. Cette phrase résume le changement structurel mis en évidence par l'équipe au cours de douze mois d'intrusions dans les services financiers. Une fois la MFA réinitialisée et leur appareil enregistré, les attaquants déploient des outils post-compromis personnalisés, notamment PrionFlaire, SocksLoader et SleepyMutagen. CrowdStrike estime que le groupe revend ensuite cet accès à des opérateurs de ransomware.

Kali365 : le vol de jetons comme service

Parallèlement, le FBI a publié le 21 mai une mise en garde publique concernant Kali365, une plateforme de phishing-as-a-service vendue sur Telegram pour seulement 250 dollars par mois. Kali365 capture les jetons OAuth de Microsoft 365 en exploitant le flux légitime d'authentification par code d'appareil (OAuth 2.0 device authorization grant flow). Ce mécanisme est conçu pour les appareils comme les téléviseurs connectés qui ne peuvent pas prendre en charge une connexion interactive. Les courriels de phishing Kali365 usurpent des services légitimes tels que DocuSign ou SharePoint. La victime reçoit un code d'appareil et des instructions pour visiter une page de vérification Microsoft légitime. Elle s'authentifie normalement ; la MFA se déclenche sur son appareil, pas sur celui de l'attaquant. Le jeton ainsi obtenu offre un accès persistant à Outlook, Teams et OneDrive sans nécessiter une nouvelle invite MFA. La sécurité fonctionne exactement comme prévu, mais c'est là le problème : l'attaque contourne le mécanisme de protection.

Trois rapports indépendants confirment une tendance structurelle

Le rapport Verizon 2026 Data Breach Investigations Report, également publié en mai, confirme cette évolution : le vol d'identifiants a chuté à 13 % des vecteurs d'accès initial lors des violations, tandis que l'exploitation de vulnérabilités a pris la première place à 31 %. Les trois sources indépendantes (CrowdStrike, FBI, Verizon) convergent vers le même constat : la MFA protège l'authentification par mot de passe, mais les attaques qui dominent le secteur financier contournent désormais le vol de mots de passe par des réinitialisations, des octrois de jetons et l'exploitation de failles.

Des chiffres qui illustrent la pression sur le secteur

Le rapport CrowdStrike montre que les services financiers ont été le quatrième secteur le plus ciblé au premier trimestre 2026, représentant 12 % de toute l'activité adverse observée. Les institutions financières ont subi 43 % d'intrusions manuelles supplémentaires en 2025 par rapport à deux ans plus tôt ; en Amérique du Nord, cette augmentation atteint 48 %. Les opérateurs de « big game hunting » ont nommé 423 entités de services financiers sur des sites de fuite dédiés, soit une hausse de 27 % par rapport aux 334 entités mentionnées au cours des douze mois précédents. Le groupe REVENANT SPIDER, qui exploite le programme de ransomware en tant que service Qilin, a affiché le plus grand nombre de victimes dans les services financiers, avec un bond de 14 à 97 victimes sur la période.

Les intrusions : écrasante majorité criminelle, ampleur étatique

Les acteurs cybercriminels (e-crime) sont à l'origine de 75 % des intrusions manuelles dans les services financiers, tandis que les adversaires parrainés par des États représentent les 25 % restants. Ce ratio est stable depuis 2023, mais le volume total et la sophistication des techniques d'accès ont augmenté. Du côté étatique, les groupes liés à la Corée du Nord ont volé 2,02 milliards de dollars d'actifs numériques en 2025, soit une hausse de 51 %. En février 2025, Pressure Chollima a exécuté le plus grand vol jamais signalé, s'emparant de 1,46 milliard de dollars en cryptomonnaie en compromettant la plateforme Safe{Wallet}. Les groupes chinois (Hollow Panda, Vault Panda) ont mené des campagnes durables contre des institutions financières en Asie, en Amérique du Sud et sur plusieurs continents. Dans chaque cas, la première action de l'adversaire visait une identité, un identifiant ou une voie d'accès de confiance.

Retour du Scattered Spider et implications

Le groupe Scattered Spider, connu pour sa technique d'ingénierie sociale via le help desk, est revenu à des opérations de ransomware agressives contre des compagnies d'assurance d'avril à juillet 2025, après une pause opérationnelle. En septembre 2025, l'Agence nationale de lutte contre la criminalité du Royaume-Uni a arrêté et inculpé deux de ses membres pour des attaques présumées contre Transport for London. Le département de la Justice américain a inculpé l'un d'eux pour de multiples cyberattaques contre des infrastructures critiques américaines.

Que faire ?

Elia Zaitsev, directeur technique de CrowdStrike, a souligné que les approches traditionnelles ne sont pas conçues pour ce type de comportement. Les experts recommandent de réviser les processus de réinitialisation de la MFA, de renforcer la vérification d'identité lors des appels au help desk, et de surveiller l'utilisation anormale des flux d'authentification par code d'appareil. La MFA reste un outil essentiel, mais elle ne suffit plus face à des attaques qui ciblent son propre processus de gestion.