Les cybercriminels présentent les escroqueries à l’épargne décentralisée comme des opportunités d’investissement passif similaires aux comptes du marché monétaire. Il suffit en effet aux victimes de connecter leur portefeuille de cryptomonnaies à un « compte de courtage » pour que l’investissement leur rapporte des intérêts élevés. Dans la réalité, les victimes ajoutent leur crypto portefeuille à un pool d’échange de cryptomonnaies que les fraudeurs pourront ensuite vider tranquillement.

« Lorsqu’elles ont fait leur apparition pendant la pandémie de COVID, les escroqueries de type « pig butchering » étaient encore techniquement peu évoluées et nécessitaient une bonne dose d’efforts et d’accompagnement pour tromper les proies. Aujourd’hui, alors que les méthodes employées sont de plus en plus performantes et que les fraudeurs ont peaufiné leurs techniques, nous assistons à une évolution similaire à celle qui a précédemment touché les ransomwares et d’autres types de cybercriminalité avec la création d’un modèle « as-a-service ». Les groupes de pig butchering créent des kits d’applications décentralisées prêts à l’emploi que d’autres cybercriminels peuvent acquérir sur le dark web. Résultat, de nouveaux réseaux indépendants des groupes criminels chinois voient le jour dans des régions telles que la Thaïlande ou l’Afrique de l’Ouest, jusqu’aux États-Unis. », explique Sean Gallagher, responsable de recherches spécialisé dans les menaces chez Sophos.

« À l’image d’autres types de cybercriminalité commerciale, ces kits permettent aux cybercriminels séduits par le pig butchering d’accéder plus facilement aux outils dont ils ont besoin, augmentant sensiblement le nombre de victimes. L’année dernière, ce phénomène atteignait déjà plusieurs milliards de dollars, et ce phénomène risque malheureusement de s’aggraver de façon exponentielle cette année. »

L’équipe Sophos X-Ops suit l’évolution des systèmes du pig butchering depuis deux ans. Qualifiées par Sophos d’arnaques « CryptoRom », les premières itérations consistaient à entrer en contact avec des victimes potentielles sur des sites de rencontre afin de les amener à télécharger des applications frauduleuses de trading de cryptomonnaies à partir de sources tierces. Pour les utilisateurs d’iOS, ces arnaques exigeaient des victimes qu’elles téléchargent une solution sophistiquée conçue pour permettre aux escrocs de contourner les fonctions de protection des appareils avant d’accéder au crypto portefeuille de leurs victimes.

En 2022, les escrocs ont continué à affiner leurs techniques, cette fois en trouvant des moyens de contourner le processus d’évaluation de la sécurité des boutiques d’applications pour introduire leurs applis frauduleuses dans les plateformes officielles que sont l’App Store d’Apple et le Play Store de Google. La même année, un nouveau mécanisme d’escroquerie est apparu sous la forme de faux pools d’échange de cryptomonnaies (minage de liquidités)

En 2023, Sophos X-Ops a découvert deux vastes réseaux de pig butchering, l’un basé à Hong Kong, l’autre au Cambodge. Tous deux s’appuyaient sur des applications de trading de cryptomonnaies tout à fait légitimes et créaient de fausses identités sophistiquées pour tromper les victimes et leur voler des millions. Une enquête plus approfondie a révélé que les adeptes du pig butchering commençaient à ajouter l’IA à leur arsenal.

À la fin de l’année dernière, Sophos X-Ops a mis au jour une vaste opération de minage de liquidités impliquant trois réseaux criminels organisés chinois ayant ciblé une centaine de victimes. Au cours de son enquête, l’équipe Sophos X-Ops a pour la première fois remarqué l’existence de kits d’escroquerie au pig butchering.

Dans le cadre des dernières opérations sur lesquelles Sophos X-Ops a enquêté, les escrocs ont éliminé la totalité des obstacles technologiques existants et sensiblement minimisé les efforts d’ingénierie sociale nécessaires pour piller le portefeuille de leurs cibles. S’agissant des systèmes d’épargne DeFi, les victimes effectuent à présent des opérations frauduleuses de trading de cryptomonnaies en utilisant des applications légitimes et renommées, ce qui permet aux escrocs d’accéder directement (et bien sûr à leur insu) à leur crypto portefeuille. Qui plus est, les escrocs peuvent dissimuler le réseau de portefeuilles utilisé pour blanchir les cryptomonnaies volées, rendant les escroqueries encore plus difficiles à détecter pour les cyber gendarmes.

« Les escroqueries à l’épargne décentralisée (DeFi) sont l’aboutissement de deux années de perfectionnement des opérations de pig butchering. L’époque est bel et bien révolue où les escrocs devaient convaincre leurs victimes de télécharger une application exotique ou de transférer eux-mêmes leurs cryptomonnaies vers un portefeuille numérique qui serait rapidement vidé.

En outre, les fraudeurs ont appris à mieux « commercialiser » leurs méthodes. Ils profitent de la façon dont fonctionnent les pools de minage de liquidités pour subtiliser des fonds en affirmant aux victimes qu’il s’agit d’un compte d’investissement ordinaire. Cette solution est souvent plus facile à vendre, dans la mesure où la plupart des particuliers ignorent tout du trading de cryptomonnaies et où toutes les opérations ont lieu sous le couvert de marques de confiance.

En d’autres termes, il n’a jamais été aussi facile d’être victime d’une arnaque au pig butchering ; de même, il n’a jamais été aussi important de savoir que ces escroqueries existent et à quoi s’attendre », a ajouté Sean Gallagher.

Quelques conseils pour éviter d’être victime d’une escroquerie au pig butchering

Pour éviter de succomber à une arnaque au pig butchering, Sophos recommande ce qui suit :

Se méfier des inconnus qui prennent contact par l’intermédiaire des réseaux sociaux comme Facebook ou par SMS, surtout s’ils souhaitent passer rapidement à des messages privés, par exemple sur WhatsApp.

o Ce conseil s’applique également aux nouveaux contacts établis sur les applications de rencontre, notamment lorsque l’interlocuteur commence à parler de cryptomonnaies.

Attention aux messages qui promettent un enrichissement rapide ou des opportunités d’investissement dans les cryptomonnaies garantissant un rendement aussi rapide qu’élevé.
Se tenir au fait des pièges et tactiques utilisés par les escrocs aux rencontres et aux investissements. Des organisations sans but lucratif telles que le Cybercrime Support Network disposent de ressources qui peuvent être utiles.
Toute personne soupçonnant d’avoir été victime d’une arnaque au pig butchering doit immédiatement retirer les fonds du portefeuille concerné et contacter les forces de l’ordre.

Chronologie de deux années d’enquête

2021

L’équipe Sophos X-Ops repère les premières applications de trading frauduleux « CryptoRom » ciblant des utilisateurs en Asie.
Sophos X-Ops découvre ensuite que ces escrocs étendent leur activité à des proies situées aux États-Unis et en Europe.

2022

Sophos X-Ops découvre d’autres applications frauduleuses provenant d’escroqueries CryptoRom, ainsi qu’une nouvelle solution de contournement utilisée pour inciter les victimes à les télécharger sur leurs appareils iOS.
Apparition d’un nouveau type d’escroquerie au pig butchering, le minage de liquidités.

2023

Sophos X-Ops découvre dans l’App Store d’Apple les premières applications frauduleuses destinées aux arnaques CryptoRom ; parallèlement, les cybercriminels imaginent de nouvelles techniques pour contourner le processus d’évaluation de la sécurité de l’App Store.
L’équipe Sophos X-Ops identifie deux vastes réseaux de pig butchering basés à Hong Kong et au Cambodge. Au lieu d’utiliser des applications frauduleuses, ces criminels emploient des applications de trading de cryptomonnaies tout à fait légitimes et créent des comptes (personas) élaborés pour ferrer leurs victimes.
Sophos X-Ops identifie de nouvelles applications frauduleuses et comprend que les escrocs au pig butchering ont ajouté l’IA générative à leur arsenal.
Les mésaventures d’un homme qui a perdu 22 000 dollars en une semaine à la suite d’une attaque par pig butchering conduit l’équipe Sophos X-Ops à révéler une vaste opération d’escroquerie au minage de liquidités gérée par trois réseaux criminels chinois différents.

2024

Sophos X-Ops dévoile le système de pig butchering le plus sophistiqué à ce jour, à savoir l’arnaque à l’épargne décentralisée (DeFi savings). Ces systèmes, ainsi que d’autres modes d’escroquerie centrés sur les cryptomonnaies, sont vendus sous forme de kits, avec pour conséquence l’apparition de réseaux de pig butchering dans de nouvelles régions du monde.