Les attaquants exploitent les domaines .arpa à usage spécial
Les cybercriminels ont découvert une nouvelle façon de contourner les défenses des emails le 8 mars 2026. Ils exploitent le domaine de premier niveau .arpa, initialement conçu pour l'infrastructure internet, pour héberger des sites de phishing qui échappent aux scanners de sécurité.
La technique combine l'abus de .arpa avec la manipulation du DNS inverse IPv6. Cela crée des domaines qui semblent légitimes pour les systèmes de sécurité automatisés mais redirigent en réalité les victimes vers des pages de collecte d'identifiants.
Les systèmes de sécurité des emails peinent avec le contournement .arpa
Les organisations qui dépendent du filtrage par réputation de domaine sont les plus à risque. Les passerelles de sécurité des emails mettent souvent en liste blanche les domaines .arpa car ils sont généralement utilisés pour des opérations réseau légitimes, et non pour des activités malveillantes.
L'attaque fonctionne parce que la plupart des outils de sécurité ne s'attendent pas à ce que les acteurs malveillants utilisent des domaines d'infrastructure pour le phishing. La complexité de l'IPv6 ajoute une autre couche d'obfuscation qui perturbe les méthodes de détection traditionnelles.
Le DNS inverse IPv6 crée un angle mort pour la détection
Les attaquants enregistrent des sous-domaines .arpa qui correspondent aux entrées DNS inverses IPv6. Lorsque les victimes cliquent sur des liens malveillants, les requêtes transitent par ces domaines d'infrastructure avant d'atterrir sur les véritables sites de phishing.
Les chercheurs en sécurité de Cyber Security News ont documenté plusieurs campagnes utilisant cette technique. Hackread a confirmé que plusieurs grands fournisseurs de messagerie n'ont pas réussi à signaler ces domaines comme suspects lors des premiers tests.
