Une campagne de phishing qui utilise Evilginx cible les universités américaines. L’outil permet de contourner la MFA et compromet les comptes étudiants et systèmes sensibles.
Une campagne de cyberattaques a visé 18 universités américaines entre avril et novembre 2025, selon un rapport d’Infoblox Threat Intel. Les attaquants ont utilisé Evilginx, un outil capable de déjouer l’authentification multifacteur. Grâce à des liens dynamiques et des domaines masqués, ils ont réussi à tromper de nombreux étudiants. L’enquête révèle également des dégâts durables dans des institutions de recherche.
Une opération coordonnée sur plusieurs mois
Entre avril et novembre 2025, au moins 18 universités américaines ont été la cible d’une campagne de phishing méthodique. Infoblox Threat Intel, à l’origine de l’enquête, a mis en lumière l’usage de l’outil Evilginx. Il s’agit d’une plateforme open source qui s’appuie sur nginx pour mener des attaques de type « adversaire du milieu » (AiTM). Ce type d’attaque permet aux cybercriminels d’intercepter les flux de connexion et de voler des cookies de session.
Ils peuvent ainsi contourner les protections basées sur la double authentification. Parmi les établissements visés figurent notamment les campus de l’Université de Californie à Santa Cruz, Santa Barbara, San Diego, ainsi que l’Université du Michigan et l’Université du Commonwealth de Virginie. Infoblox Threat Intel, à l’origine de l’enquête, a mis en lumière l’usage de l’outil Evilginx. Cette plateforme open source s’appuie sur nginx pour mener des attaques de type « adversaire du milieu » (AiTM).
Une cartographie DNS révélatrice
Malgré l’utilisation de techniques avancées de dissimulation, les attaquants ont laissé des empreintes numériques exploitables. Grâce à l’analyse de l’activité DNS, Infoblox a pu identifier près de 70 domaines utilisés dans le cadre de cette opération. “Les URL étaient éphémères, hébergées derrière des proxys Cloudflare, et les serveurs masqués par des reverse-proxies”, explique un chercheur impliqué dans l’analyse.
C’est un signalement d’activité suspecte par un analyste de sécurité universitaire qui a déclenché l’enquête. Infoblox Threat Intel, à l’origine de l’enquête, a mis en lumière l’usage de l’outil Evilginx. Cette plateforme open source s’appuie sur nginx pour mener des attaques de type “adversaire du milieu” (AiTM).
Des conséquences lourdes pour la recherche
Si la campagne visait principalement les comptes étudiants, les dommages vont parfois bien au-delà de la compromission de simples identifiants. Dr Renée Burton, vice-présidente chez Infoblox Threat Intel, a souligné la gravité de certaines attaques : “Dans un cas particulièrement triste, les systèmes du Burke Museum de l’Université de Washington ont été infiltrés, entraînant la perte partielle de son catalogue numérique. Ce sont des années de travail bénévole, de documentation d’espèces rares, qui ont été détruites.”
Face à cette menace croissante, Infoblox appelle les établissements à renforcer leur posture de cybersécurité. L’entreprise poursuit la surveillance de l’infrastructure utilisée dans ces attaques, afin de prévenir d’éventuelles récidives.
Article basé sur un communiqué de presse reçu par la rédaction.
