SIMBOX, modems et millions de SMS par jour : l’infrastructure cachée derrière un vaste réseau de cyberarnaques en Espagne

SIMBOX, modems et millions de SMS par jour : l'infrastructure cachée derrière un vaste réseau de cyberarnaques en Espagne
Share on Pinterest Share on LinkedIn

L’opération “Mosenik” menée par la Guardia Civil a mis en lumière un aspect rarement visible avec autant de clarté : la couche d’infrastructure technologique qui soutient de nombreuses campagnes massives de smishing et d’appels frauduleux affectant utilisateurs et entreprises. Derrière ces appels se faisant passer pour la Policía Nacional ou la Banque d’Espagne, ne se cache pas simplement un “centre d’appel pirate”, mais une plateforme industrielle de télécommunications conçue pour maximiser l’exploitation du réseau mobile.

Au-delà du récit policier, ce cas constitue un exemple tangible de comment le matériel professionnel de télécommunications — SIMBOX, modems GSM, cartes SIM en grande quantité — peut être détourné comme moteur de cyber-arnaques à grande échelle.

Une usine de fraude avec 35 SIMBOX et près de 900 modems GSM

Selon les données diffusées par le Ministère de l’Intérieur et la Guardia Civil, l’infrastructure démantelée comprenait notamment :

  • 35 SIMBOX industrielles
  • 865 modems GSM professionnels intégrés à ces SIMBOX
  • 852 cartes SIM actives
  • Plus de 60 000 cartes SIM nationales prêtes à l’emploi
  • 10 000 SIM neuves encore non activées
  • Plusieurs ordinateurs et équipements informatiques et technologiques variés

Chaque modem fonctionnait comme un téléphone portable indépendant, capable d’envoyer entre 12 et 18 messages par minute, ce qui portait la capacité totale du système à environ 2,5 millions de SMS par jour. Tout cela était contrôlé par une seule personne utilisant une dizaine d’ordinateurs.

Sur le plan technique, il s’agit d’une plateforme de messagerie de masse très similaire à celles utilisées par des entreprises légitimes pour envoyer des notifications, codes 2FA ou campagnes marketing… mais orientée intégralement vers la fraude.

Qu’est-ce qu’une SIMBOX et pourquoi est-ce si attrayant pour les malfaiteurs

Les SIMBOX (souvent appelées passerelles GSM ou gateways SIM) sont des dispositifs permettant de gérer des dizaines ou centaines de cartes SIM depuis un seul appareil. À l’intérieur, elles hébergent :

  • Des bancs de modems GSM professionnels
  • Des supports ou “bancs” de cartes SIM
  • Le firmware et le logiciel de contrôle pour gérer le trafic d’appels et de SMS

Dans un cadre légitime, elles servent à :

  • Optimiser les coûts (least-cost routing) pour les opérateurs et centres d’appels
  • Plateformes de messagerie d’entreprise
  • Systèmes machine-to-machine et IoT nécessitant plusieurs lignes mobiles

Mais entre les mains de groupes criminels, elles offrent trois avantages majeurs :

  1. Échelle : envoyer d’énormes volumes de SMS et d’appels sans dépendre d’une seule ligne.
  2. Rotation d’identité : changer de numéro continuellement en modifiant SIM ou modem.
  3. Flexibilité géographique : si le matériel est dissimulé dans des mallettes ou racks compacts, il peut être déplacé ou repositionné avec facilité.
SIMBOX, modems et millions de SMS par jour : l'infrastructure cachée derrière un vaste réseau de cyberarnaques en Espagne 1

Dans ce cas précis, la Guardia Civil souligne l’intervention d’un malette avec une SIMBOX transportable, capable de fonctionner depuis n’importe quel lieu disposant d’un accès Internet via WiFi ou réseau mobile, compliquant ainsi davantage son traçage.

Ingénierie de la fraude : automatisation, rotation et segmentation

La manipulation décrite dans cette opération inclut un système avec plusieurs éléments typiques d’une architecture de fraude télécom “as-a-service” :

  • Automatisation extrême
    L’envoi d’appels et de messages est contrôlé par une infrastructure centrale qui régule le trafic sur la SIMBOX. En termes de logiciel, cela implique une plateforme orchestrant quels modems utilisent quelles SIM, avec quel contenu, à quel rythme et vers quelles destinations.
  • Rotation constante des émetteurs
    Les numéros de téléphone d’origine changent fréquemment, et les lignes restent actives peu de temps après leur mise en service. Cela complique leur détection et leur blocage par les opérateurs ou systèmes antifraude, car le motif est dynamique et éphémère.
  • Faux identités en masse
    Les cartes SIM sont achetées en grandes quantités à divers fournisseurs et activées avec de fausses identités. Sans un contrôle KYC efficace ou en présence de contrôles laxistes, cette infrastructure peut perdurer plusieurs mois.
  • Segmentation des victimes
    Bien que le système puisse communiquer avec des millions de numéros, les enquêteurs signalent qu’des profils ciblés de victimes potentielles sont étudiés et que des campagnes sont dirigées vers des groupes spécifiques, y compris des citoyens russes et ukrainiens résidant en Espagne, tiers avec qui ils dialoguent en langue maternelle.

Sur le plan technologique, il ne s’agit pas simplement d’un envoi massif de spam, mais d’une infrastructure flexible et programmable, prête à adapter scripts, langues, numérotations et volumes en fonction de chaque campagne délictueuse.

Infrastructure en tant que service… pour la cybercriminalité

Un autre aspect important de cette affaire concerne le rôle de la personne arrêtée. Selon la Guardia Civil, sa fonction principale était :

  • Créer et maintenir le système actif
  • Vendre ce service à des réseaux de cybermalfaiteurs dans le monde entier

Autrement dit, elle ne se limitait pas à mener des escroqueries en propre, mais agissait en tant que fournisseur d’infrastructure spécialisé. Ce modèle est identique à ce qui se voit dans d’autres secteurs du cybercrime :

  • Malware-as-a-Service : location de trojans, ransomware ou botnets.
  • Access-as-a-Service : vente d’accès à des réseaux d’entreprises déjà compromis.
  • Kits de phishing : templates pour cloner des sites bancaires ou de services.

Dans ce cas précis, la spécialisation concerne la couche de télécommunications mobiles : le client de ce service n’a pas besoin de savoir gérer une SIMBOX ou des modems GSM, il paie simplement pour déployer des campagnes de smishing ou vishing à grande échelle.

Le défi pour les opérateurs et les défenseurs

Des affaires comme “Mosenik” soulèvent plusieurs défis techniques pour l’écosystème de la cybersécurité et des télécommunications :

  1. Détection des schémas de trafic anormaux
    Identifier qu’un ensemble de SIM envoie un trafic manifestement automatisé (volumes, horaires, répétitions), sans perturber les services légitimes de messagerie d’entreprise, est une tâche complexe. Elle requiert une analyse comportementale avancée et une collaboration étroite entre opérateurs et forces de l’ordre.
  2. Gestion des activations massives et KYC
    L’achat facile de dizaines de milliers de SIM pour les activer avec de fausses identités demeure un vecteur critique. Sans contrôles renforcés, ces infrastructures peuvent renaître sous d’autres identités.
  3. Limitations des mécanismes traditionnels de blocage
    Bloquer une numérotation précise arrive souvent tard, alors que le système est conçu pour faire tourner continuellement les numéros et cartes. La lutte consiste alors à augmenter la visibilité et le contrôle au niveau de l’infrastructure ainsi qu’à déployer des mécanismes plus sophistiqués de réputation et de filtrage.

L’Espagne comme terrain et laboratoire

Cette opération, dirigée par le tribunal de première instance de Novelda et menée par des unités d’Alicante, de Barcelone et de Tarragone, démontre que l’Espagne n’est pas seulement une cible de campagnes mondiales, mais aussi un lieu où peut résider une partie de l’infrastructure critique du cybercrime international.

La valeur estimée du matériel saisi — environ 400 000 euros — et la dimension industrielle du système indiquent un business avec un impact économique potentiel de plusieurs millions d’euros en fraudes. L’enquête est toujours en cours, et la Guardia Civil continue d’analyser le matériel pour identifier d’autres complices et victimes potentielles.

Dans un contexte où la fraude par SMS, appels et messages automatisés ne cesse de croître, des affaires comme “Mosenik” rappellent que la lutte contre la cybercriminalité ne se joue pas uniquement dans le domaine du logiciel ou de l’ingénierie sociale, mais aussi au niveau physique et réseau : racks, modems, cartes SIM et mallettes qui, connectés à Internet, peuvent devenir de véritables usines d’arnaques en temps réel.

Source : Informations en cybersécurité

Share on Pinterest Share on LinkedIn

Info Cloud

le dernier

SIMBOX, modems et millions de SMS par jour : l’infrastructure cachée derrière un vaste réseau de cyberarnaques en Espagne

Intel fabriquera le chip M le plus basique d’Apple à partir de 2027 : pourquoi ce mouvement est bien plus important qu’il n’y paraît

Compte à rebours pour DJI aux États-Unis : comment le veto de fin 2025 l’affecte

La guerre silencieuse pour la mémoire : l’IA laisse le marché du DRAM et du NAND au bord de l’effondrement jusqu’en 2027

La nouvelle fièvre de la géothermie pour le nuage : le chaud de la Terre pourra-t-il alimenter l’ambition hyperscale de l’IA ?

L’adoption de l’IA explose de 282 % : les CIO entrent dans l’ère de l’échelle… et la confiance devient le grand frein