Une attaque de Hazy Hawk a été repérée ciblant des actifs cloud abandonnés depuis 2023.

Infoblox révèle Hazy Hawk, une nouvelle menace exploitant les ressources cloud abandonnées (S3, Azure) et les failles DNS depuis décembre 2023. Découvrez leurs tactiques et comment protéger votre organisation et vos utilisateurs.

Les chercheurs en cybersécurité d'Infoblox Threat Intelligence ont publié des conclusions critiques sur une menace récemment identifiée, baptisée Hazy Hawk, qui détourne activement des ressources cloud oubliées depuis au moins décembre 2023.

Dans son rapport, partagé exclusivement avec Hackread.com, les chercheurs ont noté que ce groupe avancé est connu pour ses tactiques DNS et exploite les lacunes dans les enregistrements du système de noms de domaine (DNS) pour rediriger les utilisateurs Internet sans méfiance vers des sites Web frauduleux et des logiciels malveillants.

Cette révélation intervient alors que la Federal Trade Commission (FTC) signale une augmentation significative de 25 % des pertes liées aux escroqueries à partir de 2023, totalisant la somme colossale de 12,5 milliards de dollars.

Infoblox a détecté pour la première fois les activités de Hazy Hawk en février 2025, lorsque le groupe a réussi à prendre le contrôle de sous-domaines appartenant aux Centres américains pour le contrôle et la prévention des maladies (CDC). Le journaliste spécialisé en cybersécurité Brian Krebs a été le premier à remarquer une activité suspecte sur le domaine des CDC.

Une enquête plus approfondie a révélé que des agences gouvernementales mondiales, notamment alabama.gov et health.gov.au, de grandes universités comme berkeley.edu et ucl.ac.uk , ainsi que des sociétés internationales comme Deloitte.com et PwC.com , ont également été ciblées.

La méthode de Hazy Hawk consiste à détecter les enregistrements DNS non protégés, c'est-à-dire les enregistrements CNAME pointant vers des ressources cloud abandonnées telles que les buckets Amazon S3, les points de terminaison Azure, Akamai, Cloudflare CDN et GitHub. Ils enregistrent ces ressources, en prennent le contrôle et les utilisent pour héberger de nombreuses URL malveillantes. Infoblox a baptisé le groupe Hazy Hawk en raison de ses méthodes inhabituelles de localisation et de détournement de ressources cloud spécifiques.

Hazy Hawk utilise diverses tactiques pour tromper ses victimes, notamment de fausses notifications de navigateur et des applications frauduleuses, l' obscurcissement des URL pour masquer les destinations des liens et la réutilisation du code de sites web légitimes pour donner une apparence fiable à leurs pages initiales. Ils modifient également les URL des compartiments AWS S3 ou redirigent vers le site web de l'Université de Bristol.

Une fois qu'un utilisateur clique sur un lien malveillant, il est redirigé vers plusieurs sites de redirection comme Blogspot ou des raccourcisseurs de liens comme TinyURL, Bitly et des systèmes de distribution de trafic (TDS) avant d'atteindre viralclipnow.xyz .

Ces systèmes sont conçus pour maximiser les profits des escrocs et rendre difficile pour les experts en sécurité de retracer les attaques en modifiant dynamiquement le contenu, conduisant les victimes à des escroqueries telles que la fraude au support technique ou les systèmes de cartes-cadeaux.

L'étude révèle que les notifications push sont un élément clé des escroqueries, où l'acteur de la menace peut recevoir une part des revenus de 70 à 90 % de l'affilié qui a obtenu l'approbation de la victime, avec des services comme RollerAds, permettant un ciblage répété des victimes.

Pour prévenir ces piratages, les organisations doivent utiliser un DNS bien géré, notamment en supprimant les enregistrements DNS CNAME lors du retrait des ressources cloud. Les utilisateurs finaux peuvent se protéger grâce à des solutions DNS de protection qui bloquent l'accès aux domaines malveillants, même lorsque les acteurs malveillants modifient les noms de sites web, et être vigilants face aux demandes de notification des sites web.