UNZenoX, startup de cybersécurité deGroupe de défense le spécialiste en intelligence artificielle contre les menaces numériques, a mené une enquête détaillée sur la fuite de 3,4 millions de cartes de crédit, appelé "JOKER". L'incident, qui a été classé comme la plus grande fuite de données financières jusqu'à présent en 2025, a été attribué au groupe de cybercriminels B1ACK’S STASH, connu pour commercialiser des données financières sur le dark web. L'analyse a révélé que des acteurs malveillants élèvent leur jeu en combinant le phishing avancé, engagement de e-commerce et génération artificielle de données pour maximiser l'impact et le retour financier
Stratégie et méthodes de fuite
Les campagnes identifiées ne semblent pas avoir été dirigées vers des banques spécifiques, mais axées sur la collecte massive de données de cartes de crédit par différentes méthodes, comme
- Passerelles de paiement frauduleuses
- Sites frauduleux
- Phishing par e-mail
- Scripts Man-in-the-Middle dans des magasins en ligne légitimes
Le modèle d'action montre que B1ack cherche à maximiser ses gains en revendant ou en utilisant les données volées. Pour cela, explore les marchés dedark web, forums decardageet les transactions directes, renforcer son influence grâce à une stratégie de marketing efficace dans le sous-monde cybercriminel, affirme Ana Cerqueira, CRO de ZenoX
Impact et risques identifiés
Bien que le total initialement annoncé soit de 3,4 millions de cartes, l'enquête de ZenoX suggère qu'entre 1,4 et 2 millions d'enregistrements sont authentiques. De ce total, 93,96% restaient actifs au moment de l'enquête, représentant un risque significatif pour les consommateurs et les institutions financières, surtout dans la région de l'Asie du Sud-Est
Il est indiqué, aussi, qu'une part significative des 3,4 millions d'enregistrements de cartes divulgués par B1ack pourraient avoir été générés artificiellement, et non obtenue exclusivement par le biais d'engagements légitimes. Des anomalies de codes CVV ont été identifiées, dates d'expiration et données démographiques, indiquant une génération artificielle significative d'une partie des données
Nous estimons que entre 40 % et 60 % des enregistrements peuvent avoir été créés artificiellement. Cet artifice vise à accroître l'impact de la fuite, augmentant la réputation du groupe criminel sur le marché clandestin, met en avant Cerqueira
Les implications de cette fuite transcendent l'impact économique immédiat et mettent en évidence des changements structurels dans la manière dont les données compromises sont collectées, manipulés et exploités commercialement. De cette manière, des actions rapides de mitigation sont requises
L'exposition du Brésil à la fuite
Le Brésil occupe la 40e position parmi les pays les plus touchés, avec 3.367 cartes compromis, représentant 0,10 % du total. Malgré l'exposition modérée, la présence de dossiers brésiliens est la plus importante d'Amérique latine, surpassant l'Argentine (712), Chili (459), Colombie (139) et Mexique (2.791)
L'analyse des adresses IP liées à des cartes nationales révèle un modèle diversifié, indiquant de multiples campagnes de phishing et de possibles compromissions de e-commerces, et non par une attaque centralisée. São Paulo est en tête en volume de données divulguées, réflétant sa pertinence en tant que centre financier.
L'exposition relativement moindre du Brésil, en contraste avec la forte concentration en Asie du Sud-Est, peut être attribuée à des facteurs tels que les différences dans les technologies de sécurité des institutions financières locales, moindre concentration de l'attaquant dans la région ou la distance géographique des opérations principales du B1ack. Bien qu'il ne soit pas l'un des pays les plus touchés, la présence de plus de 3.000 cartes compromis au Brésil met en évidence des vulnérabilités spécifiques qui nécessitent l'attention des institutions financières et des organismes de réglementation, conclut Cerqueira.
L'étude complète réalisée par ZenoX est accessibleici.
