Pour la plupart des gens, les emojis sont un moyen innocent d’éviter de taper, mais il n’y a rien d’innocent dans la façon dont les habitants de la pègre en ligne les utilisent, selon la société de renseignement sur les menaces Flashpoint.
Alors que l’activité des acteurs malveillants continue de se déplacer vers des plateformes de communication informelles et rapides telles que Telegram et Discord, la façon dont les adversaires communiquent évolue, a expliqué Flashpoint dans un blog d’entreprise. Les émojis, souvent considérés comme occasionnels ou non techniques, sont devenus un élément important de cette évolution.
Sur les forums illicites, les applications de messagerie et les communautés fermées, les émojis sont utilisés non seulement pour s’exprimer, mais aussi pour signaler une intention, catégoriser une activité et, dans certains cas, masquer le sens aux yeux des étrangers.
« Ce que nous constatons dans les communautés illicites, c’est que les emojis sont utilisés comme couche de signalisation cohérente aux côtés du texte », a déclaré Alanah Crocker, directrice de la formation aux solutions de sécurité nationale de Flashpoint, dans un communiqué.
« Ils indiquent des éléments tels que l’accès, la monétisation, le ciblage et le succès d’une manière rapide, reproductible et souvent plus facile à adapter dans plusieurs langues », a-t-elle ajouté.
Influence du télégramme et de la discorde
Des plateformes comme Telegram et Discord ont changé la façon dont les acteurs de la menace communiquent. « Telegram et Discord offrent aux acteurs malveillants des canaux cryptés, à grande vitesse et éphémères avec une portée mondiale et une modération minimale – quelque chose que les acteurs malveillants n’ont jamais eu », a expliqué Yagub Rahimov, PDG de Polygraf AI, une société de sécurité IA d’entreprise basée à Austin, au Texas.
« La communication est passée des forums structurés du Dark Web à des environnements en évolution rapide où la surveillance traditionnelle s’effondre », a-t-il déclaré à TechNewsWorld. « Pour beaucoup, il s’agit de la souveraineté des données, mais pour ces États-nations et autres acteurs menaçants, il s’agit de la liberté de nuire. »
« Le passage à des plateformes telles que Telegram et Discord a fondamentalement modifié la manière dont les acteurs de la menace communiquent, car ces environnements sont rapides, semi-anonymes et optimisés pour une coordination en temps réel », a observé Ensar Seker, RSSI de SOCRadar, une société de renseignement sur les menaces basée à Newark, Del.
« Dans ces canaux, les acteurs fonctionnent plus comme des équipes agiles que comme des utilisateurs de forums traditionnels, et les emojis en deviennent une extension naturelle : légers, indépendants de la langue et instantanément reconnaissables dans les groupes mondiaux », a-t-il déclaré à TechNewsWorld. « Cela réduit les frictions dans les écosystèmes multilingues et permet aux acteurs de la menace de coordonner rapidement leurs opérations sans s’appuyer sur des textes longs. »
Comment les émojis aident à échapper à la détection
Les acteurs de la menace se tournent principalement vers Telegram parce qu’il offre l’anonymat qu’offre Signal, ainsi que la communauté qu’offraient autrefois les forums traditionnels, a déclaré Karen Walsh, PDG d’Allegro Solutions, une société de conseil en cybersécurité à West Hartford, Connecticut.
« Bien qu’il soit facile d’oublier, les acteurs de la menace sont des personnes, avec des intentions malveillantes », a-t-elle déclaré à TechNewsWorld. « Ils utilisent des emojis pour communiquer une idée de la même manière que les utilisateurs légitimes. »
Par exemple, a-t-elle poursuivi, dans les communautés en ligne comme TikTok, les utilisateurs légitimes ont contourné les filtres de mots clés pour la Palestine en utilisant l’emoji pastèque qui a la même couleur que le drapeau palestinien. Au départ, seules certaines personnes comprenaient cette utilisation jusqu’à ce qu’elle devienne omniprésente dans toutes les applications.
« De la même manière, les auteurs de menaces utilisent ces images pour perturber la détection de mots clés en créant un raccourci visuel que les « initiés » connaîtront », a-t-elle déclaré. « En tant qu’images, les filtres par mots-clés ne les reconnaîtront pas, ce qui donne aux acteurs de la menace un autre moyen d’échapper à la détection. Parallèlement, ils créent également un sentiment de communauté et un code d’appartenance tacite au sein de ce groupe social. »
Seker de SOCRadar a expliqué que les systèmes de surveillance traditionnels s’appuient fortement sur la correspondance de texte, mais que le remplacement ou l’augmentation des mots-clés par des émojis peuvent briser ces modèles. « Une phrase qui déclencherait normalement une alerte peut être rendue invisible ou inoffensive simplement en remplaçant les termes clés par des symboles », a-t-il déclaré.
Walsh a ajouté que l’utilisation d’images pour mettre en évidence des informations importantes reflète la façon dont les gens lisent le contenu numérique. « La plupart des gens parcourent les informations sur Internet, et les recherches prouvent que les gens lisent différemment sur Internet que sur papier », a-t-elle expliqué. « Les couleurs, les formes et le formatage décalé des emojis permettent cela en outre, rendant les informations importantes plus faciles à trouver lors de la lecture du contenu. »
Emoji comme protocole
Les émojis servent de raccourci opérationnel compressé – une sorte de communication secrète. « Parmi les mots-clés les plus utilisés que nous voyons aujourd’hui figurent des emoji clés signalant des informations d’identification volées, un sac d’argent confirmant les paiements et des drapeaux de pays désignant des cibles », a noté Rahimov de Polygraf.
« Dans la campagne DISGOMOJI, un groupe APT lié au Pakistan a utilisé des émojis comme commandes littérales de machine : un emoji d’appareil photo a capturé des captures d’écran, un emoji de feu a exfiltré des fichiers, un crâne a mis fin à des processus », a-t-il déclaré. « Ce n’était pas de l’argot. C’était un protocole léger. »
« Les émojis sont des codages à faible entropie qui se cachent à la vue de tous », a-t-il poursuivi. « Souvent, vous ne penseriez même pas que cela signifie quelque chose. Lorsqu’un acteur malveillant remplace « carte de crédit volée » par un emoji de carte superposé à un argot multilingue, les filtres basés sur les expressions régulières ne voient rien d’actionnable. Les outils de sécurité conçus pour rechercher des commandes basées sur des chaînes deviennent tout simplement aveugles. «
Les émojis sont de plus en plus utilisés comme raccourci pour signaler une intention. « Une seule icône peut indiquer les étapes d’une opération, telles que le ciblage, l’exploitation ou la monétisation, sans l’indiquer explicitement », a expliqué Seker. « Certains symboles peuvent impliquer » accès disponible « , » informations d’identification à vendre » ou » opération réussie « , permettant aux acteurs de communiquer une signification sensible sous une forme compressée et moins détectable. «
« Les auteurs de menaces utilisent également des emojis pour catégoriser les flux d’activités au sein de canaux très fréquentés », a-t-il ajouté. « Dans les groupes Telegram à grand volume, des émojis spécifiques peuvent fonctionner comme des balises, séparant les discussions sur les logiciels malveillants des fuites de données, des offres d’accès initiales ou de la fraude financière. Cela crée une taxonomie visuelle qui permet aux participants de filtrer rapidement les informations pertinentes sans indexation structurée. «
Signification ambiguë
Du point de vue de l’obscurcissement, les emojis introduisent une ambiguïté difficile à interpréter pour les systèmes automatisés. « Le même symbole peut avoir des significations différentes selon le contexte, la communauté ou même le groupe spécifique d’acteurs de la menace », a expliqué Seker. « Cette variabilité contextuelle rend plus difficile pour les étrangers et les systèmes de détection de comprendre avec précision l’intention derrière les communications. »
« Cela me rappelle le dicton » Une image vaut mille mots « », a ajouté Mark Odom, ingénieur solutions senior chez Black Duck Software, une société de sécurité des applications basée à Burlington, Massachusetts.
« La même chose s’applique aux emoji », a-t-il déclaré à TechNewsWorld. « En fonction du contexte, un emoji peut représenter beaucoup de choses, comme une signification, un statut ou une intention. Un emoji représentant une clé peut représenter quelque chose d’inoffensif dans une conversation, comme quelqu’un qui oublie simplement la clé d’une maison. Dans un autre contexte, il fait peut-être référence à une liste d’informations d’identification. «
Une autre considération est une chaîne d’émojis, a-t-il ajouté. « Si une image vaut mille mots, combien de mots représente une chaîne d’images ? » il a demandé. « Même en sachant quelles sont les intentions d’un acteur malveillant, comment les forces de l’ordre, par exemple, pourraient-elles prouver cette intention sans envoyer des messages simples ? Cela ajoute non seulement à la complexité de la localisation des conversations, mais aussi à ce qui pourrait être nécessaire pour prouver l’intention. »
« En termes d’utilisation de modèles pour localiser les acteurs de la menace », a-t-il poursuivi, « vous ne pouvez pas compter uniquement sur les emojis comme méthode valable pour isoler ce type de conversations. Les acteurs de la menace peuvent inclure des mots avec les emojis dans certains cas, comme « vendre » avant un emoji pour indiquer leur intention, ce qui pourrait aider, mais cela n’augmente toujours pas la fiabilité des résultats lorsqu’on pense à une quantité massive de données. «
Dialectes émoticônes
Néanmoins, Rahimov a fait valoir que les équipes de renseignement sur les menaces doivent traiter les modèles emoji comme des signatures comportementales et utiliser des outils contextuels. « Essentiellement parlant, le comportement contextuel est la principale arme dont disposent les défenseurs, puisque les pseudonymes peuvent changer mais les comportements restent », a-t-il déclaré.
« Les modèles d’utilisation peuvent en fait devenir un signal en soi », a ajouté Seker. « Au fil du temps, des groupes spécifiques développent des « dialectes emoji » cohérents qui peuvent être suivis. Les analystes peuvent utiliser ces modèles dans le cadre de l’empreinte comportementale, de la corrélation des activités entre les plateformes, de l’attribution des campagnes ou de l’identification des acteurs qui reviennent même lorsque les noms d’utilisateur ou l’infrastructure changent. «
« L’utilisation des emojis reflète la professionnalisation des écosystèmes de cybercriminalité », a-t-il déclaré. « Ces acteurs optimisent l’efficacité, l’échelle et la résilience, tout comme les organisations légitimes. »
« Les emojis ne sont pas une nouveauté », a-t-il prévenu. « Ils font désormais partie du langage opérationnel des acteurs de la menace moderne, et les défenseurs doivent les traiter comme tels. »
