En un développement alarmant pour la sécurité numérique en Espagne, le domaine national .es se classe désormais parmi les principaux axes d’attaque des cybercriminels pour lancer des campagnes de phishing. Selon un récent rapport de la société de cybersécurité Cofense, les campagnes malveillantes provenant de domaines .es ont connu une augmentation de 19 fois entre janvier et mai 2025.

Ce phénomène positionne le domaine espagnol juste après les classiques .com et .ru, qui sont traditionnellement associés à ces activités frauduleuses. Les experts estiment que cette évolution indique une sophistication accrue des acteurs malveillants, qui exploitent de nouvelles stratégies pour contourner les dispositifs de sécurité et cibler plus efficacement les utilisateurs avec des apparences plus légitimes.

Plus de 1 300 sous-domaines .es compromis en seulement cinq mois

D’après les données analysées par Cofense, 1 373 sous-domaines malveillants opéraient sur 447 domaines principaux en .es à la fin du mois de mai 2025. Dans 99 % des cas, l’objectif principal était le vol de identifiants via des pages frauduleuses imitant des services légitimes, notamment Microsoft, qui représentait 95 % des campagnes. Le reste concernait la diffusion de chevaux de Troie à distance (RAT), comme DarkCrystal RAT, XWorm ou ConnectWise RAT.

La méthode employée reste classique mais efficace : des courriels bien rédigés, traitant de sujets liés au travail ou à l’administration (demandes de ressources humaines, documents fiscaux, alertes de sécurité), renfermant des liens vers des sites frauduleux où les victimes doivent saisir leurs identifiants. Ces messages ne comportent pas d’erreurs grammaticales flagrantes ni de designs douteux, ce qui complique leur détection par les utilisateurs.

Une infrastructure courante : Cloudflare

Une particularité technique frappante de cette vague d’attaques est la dépendance des cybercriminels à la plateforme Cloudflare, utilisée par 99 % des domaines malveillants identifiés. Les attaquants exploitent à la fois la Content Delivery Network (CDN) de Cloudflare ainsi que ses systèmes de protection, notamment Turnstile, renforçant ainsi la crédibilité apparente des sites frauduleux.

Selon Cofense, cette facilité de déploiement, conjuguée à des outils comme pages.dev permettant de créer rapidement des sites, favoriserait leur abus. Bien que Cloudflare ait déclaré son engagement dans la lutte contre l’utilisation abusive de ses services, la rapidité de ses réponses aux signalements reste sujette à débat.

Pourquoi le domaine .es ?

Traditionnellement, les domaines de premier niveau liés à un pays (ccTLD), comme .es, étaient considérés comme plus sécurisés en raison de politiques d’enregistrement restrictives, évitant les achats en masse. Toutefois, le rapport de Cofense suggère que cette perception évolue.

La popularité du domaine en Espagne, avec plus de 2,2 millions de domaines actifs selon Red.es, ainsi que sa reconnaissance parmi la population hispanophone, en font une cible attrayante pour les cybercriminels. La disponibilité d’un grand nombre de registraires proposant des démarches d’enregistrement rapides et peu coûteuses, combinée à une vérification technique peu stricte, réduit le seuil d’entrée pour ces acteurs malveillants.

URLs générées aléatoirement pour des attaques automatisées

Les URLs utilisées dans ces campagnes sont majoritairement des sous-domaines générés de manière aléatoire par des scripts automatisés. Leur but n’est pas d’imiter des sites légitimes mais d’échapper à la détection automatique. Parmi les exemples observés :

– ag7sr.fjlabpkgcuo.es
– gymi8.fwpzza.es
– md6h60.hukqpeny.es

Ces liens ont souvent une durée de vie courte : créés, utilisés pendant quelques heures ou jours, puis abandonnés. Cette dynamique complique leur listing dans les bases de données de sécurité ou les filtres anti-phishing.

Une tendance généralisée

L’analyse révèle que cette activité ne provient pas d’un groupe unique mais qu’elle est adoptée par de multiples acteurs, signalant une tendance générale. Cofense conclut que le recours aux TLDs nationaux européens, autrefois perçus comme moins risqués, s’est désormais bien répandu dans le cybercriminalité.

« Aucun pattern d’attaque ne laisse penser à une campagne coordonnée par un groupe dédié. La diversité des cibles, des techniques et des niveaux de sophistication indique que l’utilisation malveillante du domaine .es est désormais une pratique courante parmi de nombreux acteurs motivés », indique le rapport.

Que faire face à cette menace ?

Cette situation pose un défi aux autorités et aux citoyens : renforcer les mécanismes de contrôle sur l’enregistrement des domaines .es et sensibiliser l’opinion publique et les entreprises au phishing. Des experts comme Fernando Suárez, président du Conseil général des collèges d’ingénierie informatique en Espagne, réclament une réforme du système d’enregistrement, avec des mesures proactives pour détecter les usages frauduleux.

Les institutions telles qu’INCIBE et Red.es ont intensifié leurs campagnes d’information et de surveillance, mais la lutte sera longue et nécessite une collaboration étroite entre le secteur public et le privé, tout comme une amélioration des systèmes de détection automatisée et une vigilance accrue des internautes.

Ce phénomène démontre que, dans le monde numérique, aucun domaine, même ceux symbolisant la proximité et la confiance, n’est à l’abri d’une exploitation malveillante. Même le .es peut devenir un cheval de Troie.