UNZenoX, une startup de cybersécurité deGroupe de défensespécialisée en intelligence artificielle contre les menaces numériques, a mené une enquête approfondie sur la fuite de 3,4 millions de cartes de crédit, appelée « JOKER ». L'incident, qui a été classé comme la plus grande fuite de données financières jusqu'à présent en 2025, a été attribué au groupe de cybercriminels B1ACK’S STASH, connu pour commercialiser des données financières sur le dark web. L'analyse a révélé que des acteurs malveillants améliorent leur jeu en combinant du phishing avancé, la compromission de commerce électronique et la génération artificielle de données pour maximiser l'impact et le retour financier.
Stratégie et méthodes de fuite
Les campagnes identifiées ne semblent pas avoir ciblé des banques spécifiques, mais visaient plutôt la collecte massive de données de cartes de crédit par différentes méthodes, telles que :
- Fausses passerelles de paiement ;
- Sites Web frauduleux;
- Hameçonnage par courrier électronique ;
- Scripts Man-in-the-Middle sur les boutiques en ligne légitimes.
Le mode d'action montre que B1ack cherche à maximiser ses gains en revendant ou en utilisant les données volées. Pour cela, explorez les marchés de ladark web, forums decardageet des transactions directes, renforçant son influence grâce à une stratégie marketing efficace dans le monde criminel cybernétique », explique Ana Cerqueira, CRO chez ZenoX
Impact et risques identifiés
Bien que le total initialement annoncé soit de 3,4 millions de cartes, l'enquête de ZenoX suggère que entre 1,4 et 2 millions d'enregistrements sont authentiques. Au total, 93,96 % restaient actifs au moment de l'enquête, représentant un risque important pour les consommateurs et les institutions financières, en particulier dans la région de l'Asie du Sud-Est.
Il est également souligné qu'une part importante des 3,4 millions d'enregistrements de cartes divulgués par B1ack pourrait avoir été générée artificiellement, et non obtenue exclusivement par le biais de compromissions légitimes. Des anomalies ont été identifiées dans les codes CVV, les dates d'expiration et les données démographiques, indiquant une génération artificielle significative d'une partie des données.
« Nous estimons qu'entre 40 et 60 % des enregistrements pourraient avoir été créés artificiellement. Cet artifice vise à amplifier l'impact de la fuite, renforçant ainsi la réputation du groupe criminel sur le marché noir », souligne Cerqueira.
Les implications de cette fuite dépassent l'impact économique immédiat et mettent en évidence des changements structurels dans la manière dont les données compromises sont collectées, manipulées et exploitées commercialement. De cette manière, des actions rapides de mitigation sont requises
L'exposition du Brésil à la fuite
Le Brésil occupe la 40e position parmi les pays les plus touchés, avec 3 367 cartes compromises, représentant 0,10 % du total. Malgré une exposition modérée, la présence d'enregistrements brésiliens est la plus importante d'Amérique latine, dépassant l'Argentine (712), le Chili (459), la Colombie (139) et le Mexique (2 791).
L'analyse des adresses IP associées aux cartes nationales révèle un schéma diversifié, indiquant plusieurs campagnes de phishing et de potentielles compromissions de sites de commerce électronique, et non pas une attaque centralisée. São Paulo lidera em volume de dados vazados, refletindo sua relevância como centro financeiro.
L'exposition relativement moindre du Brésil, en contraste avec la forte concentration en Asie du Sud-Est, peut être attribuée à des facteurs tels que des différences dans les technologies de sécurité des institutions financières locales, un moindre intérêt de l'attaquant pour la région ou la distance géographique des opérations principales de B1ack. Bien que ce ne soit pas l'un des pays les plus touchés, la présence de plus de 3 000 cartes compromises au Brésil met en évidence des vulnérabilités spécifiques qui nécessitent l'attention des institutions financières et des organismes de régulation, conclut Cerqueira.
L'étude complète réalisée par ZenoX est accessibleici.
