Une opération dirigée par INTERPOL le mois dernier a réussi à perturber **Sniper Dz**, une plateforme sophistiquée de phishing-as-a-service (PhaaS) qui était opérationnelle depuis près d'une décennie, selon la société de cybersécurité **Group-IB**. ### Opération Ramz : un démantèlement coordonné L'effort coordonné, baptisé **Opération Ramz**, s'est déroulé d'octobre 2025 à février 2026. Il a impliqué des agences de maintien de l'ordre de 13 pays de la région Moyen-Orient et Afrique du Nord (MENA), conduisant à 201 arrestations significatives. Parmi les personnes appréhendées figurait **Guedz**, identifié comme le principal développeur et administrateur de **Sniper Dz**. Son arrestation a été effectuée par la Police Nationale Algérienne. La plateforme, qui opérait également sous des pseudonymes tels que **Joker Dz**, **Storm Dz** et **Spam Dz**, aurait facilité la collecte de plus de 45 000 enregistrements de victimes. Dans le cadre de l'Opération Ramz, le site web utilisé par les cybercriminels pour accéder aux fonctionnalités PhaaS a été démantelé, et les autorités ont saisi du matériel contenant des logiciels et des scripts de phishing critiques. ### Évolution d'un géant du PhaaS **Group-IB**, une entreprise de cybersécurité basée à Singapour, a noté que **Sniper Dz** était actif depuis au moins 2015. Au fil des ans, il s'est transformé en une plateforme criminelle complète offrant des kits de phishing prêts à l'emploi, une infrastructure d'hébergement et un support opérationnel aux cybercriminels en herbe. Les enquêteurs ont identifié plus de 20 000 domaines uniques associés au service PhaaS. La boîte à outils ciblait principalement les utilisateurs de 30 grandes organisations mondiales, notamment **PayPal**, **Facebook**, **Instagram**, **Yahoo**, **Netflix** et **Steam**. Elle utilisait 80 modèles de phishing déployés en cinq langues, dont l'arabe, l'anglais, le français, l'espagnol et l'hébreu. ### Au-delà du vol d'identifiants Les campagnes de phishing exploitant **Sniper Dz** usurpaient l'identité de marques populaires et d'entités gouvernementales, employant des sites web d'imitation convaincants pour collecter des identifiants, des informations personnelles et d'autres données sensibles auprès des utilisateurs de plateformes technologiques, de réseaux sociaux et de streaming dans diverses régions. **Group-IB** a souligné que la plateforme utilisait également des techniques avancées d'ingénierie sociale. "Au-delà du vol traditionnel d'identifiants, la plateforme exploitait également des techniques d'ingénierie sociale qui tiraient parti de la popularité et de la crédibilité des personnalités publiques au Moyen-Orient et en Afrique du Nord", a expliqué l'entreprise. "Les acteurs de la menace créaient de faux comptes de réseaux sociaux usurpant l'identité de personnalités politiques bien connues et les utilisaient pour promouvoir des liens de phishing déguisés en offres promotionnelles ou en accès internet gratuit." ### Le modèle gratuit et la monétisation **Palo Alto Networks Unit 42** a mené une analyse complète de **Sniper Dz** en octobre 2024. Leur rapport détaillait l'utilisation par l'acteur de la menace d'un canal Telegram avec plus de 7 300 abonnés pour partager des vidéos tutoriels et mettait en évidence l'offre unique de la plateforme consistant à héberger des pages de phishing sur sa propre infrastructure derrière un serveur proxy. Ce qui distinguait **Sniper Dz** sur le marché PhaaS concurrentiel était sa décision d'offrir gratuitement toute son infrastructure. Cela a considérablement abaissé la barrière à l'entrée pour les cybercriminels, leur permettant de lancer facilement des campagnes de phishing à grande échelle. La stratégie de monétisation de la plateforme reposait sur le vol d'identifiants et le trafic des victimes. "Les identifiants volés pouvaient être collectés via des campagnes de phishing, tandis que les utilisateurs qui ne fournissaient pas leurs identifiants pouvaient toujours être redirigés vers des fraudes de facturation opérateur, des abonnements SMS premium, des schémas d'abus de notifications de navigateur et d'autres campagnes d'arnaques pilotées par des affiliés", a précisé **Group-IB**.