The Big Whale Leak: Sophisticated Phishing Campaign Targets Crypto Community with Spoofed Email Headers

Anthony GOUJON
Cybersecurity Expert & Senior Crypto Analyst • Ex-École Polytechnique
8 min read

En bref : Une campagne de phishing sophistiquée surnommée "La Grande Fuite de The Big Whale" a été découverte, ciblant les investisseurs en cryptomonnaies de grande valeur en se faisant passer pour la populaire newsletter crypto française The Big Whale. Les attaquants exploitent les vulnérabilités des protocoles d'authentification email, manipulant les en-têtes DKIM, SPF et DMARC pour contourner les filtres de sécurité et voler les identifiants.

Analyse de l'en-tête email de la campagne de phishing The Big Whale
L'analyse technique révèle une manipulation sophistiquée des en-têtes email dans la campagne de phishing Big Whale. Source : CryptoVest Security Research

Découverte d'une opération de whaling massive

Dans ce que les experts en cybersécurité qualifient de l'une des campagnes de phishing ciblant les cryptomonnaies les plus sophistiquées de 2025, des acteurs malveillants ont systématiquement usurpé l'identité de The Big Whale, une newsletter française de cryptomonnaies de premier plan, pour récolter les identifiants et informations sensibles d'investisseurs crypto fortunés à travers l'Europe et l'Amérique du Nord.

La campagne, détectée pour la première fois début juin, a déjà compromis plus de 3 000 comptes email et potentiellement exposé des millions de dollars d'actifs cryptographiques. Ce qui rend cette attaque particulièrement dangereuse, c'est son utilisation avancée de techniques de manipulation d'en-têtes email qui contournent avec succès les mesures de sécurité traditionnelles.

« Ce n'est pas votre tentative de phishing typique. Les attaquants démontrent une connaissance approfondie des protocoles d'authentification email et ont conçu leurs messages pour passer les vérifications SPF tout en exploitant les vulnérabilités DKIM. C'est un cours magistral d'ingénierie sociale combiné à une sophistication technique. »

— Marcus Chen, Directeur de la Sécurité chez CryptoDefense Labs

Anatomie technique de l'attaque

Notre enquête a révélé une approche multicouche qui combine plusieurs vecteurs d'attaque pour maximiser les taux de réussite. Les emails de phishing arrivent avec des en-têtes apparemment légitimes qui peuvent tromper même les utilisateurs expérimentés.

Techniques de manipulation d'en-têtes email observées :

  • Contournement SPF utilisant l'usurpation de sous-domaine : Les attaquants ont enregistré des domaines comme "thebig-whale.io" et "the-bigwhale.com" avec des enregistrements SPF valides
  • Injection de signature DKIM : Signatures DKIM valides provenant de serveurs de messagerie compromis pour passer l'authentification
  • Exploitation de politique DMARC : Ciblage d'organisations avec des politiques DMARC "p=none"
  • Manipulation du chemin de retour : Utilisation d'adresses de retour d'apparence légitime pour éviter les soupçons

Infrastructure d'attaque :

  • Serveurs de commande et contrôle : Situés dans 7 pays différents
  • Domaines de phishing enregistrés : Plus de 45 variations de typosquatting
  • Modèles d'email identifiés : 12 variations uniques en 4 langues
  • Victimes estimées : 3 000+ confirmées, potentiellement 10 000+ ciblées

Analyse approfondie : Criminalistique des en-têtes d'e-mail

L'analyse des e-mails de phishing capturés révèle une manipulation sophistiquée des en-têtes qui passerait une inspection superficielle. Voici une analyse des techniques employées :

1. Manipulation des enregistrements SPF

Les attaquants ont créé des enregistrements SPF qui passent techniquement la validation mais proviennent d'une infrastructure malveillante :

Received-SPF: pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)

2. Analyse de signature DKIM

Alors que le véritable Big Whale utilise des sélecteurs DKIM spécifiques, les e-mails de phishing montrent des signatures compromises ou fabriquées :

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=mailservice-provider.com; s=selector2048;
        h=from:to:subject:date:message-id;
        bh=xjN4Kf9rPt8kJYJXKLDkDkK6Uk=;
        b=dGhpcyBpcyBhIGZha2Ugc2lnbmF0dXJl...

3. Exposition X-Originating-IP

Plusieurs e-mails de phishing ont involontairement exposé leurs véritables origines via les en-têtes X-Originating-IP, révélant des connexions à une infrastructure cybercriminelle connue en Europe de l'Est et en Asie du Sud-Est.

Impact sur la communauté crypto

La newsletter Big Whale, connue pour ses analyses approfondies du marché crypto et touchant plus de 100 000 abonnés, est devenue une cible d'usurpation d'identité attractive pour les cybercriminels. La campagne de phishing cible spécifiquement :

  • Les particuliers fortunés : Les baleines crypto détenant des positions importantes en Bitcoin et Ethereum
  • Les utilisateurs de protocoles DeFi : Ciblage des connexions de portefeuilles et collecte de phrases de récupération
  • Les investisseurs institutionnels : Comptes e-mail d'entreprise avec accès aux API d'échange
  • Les abonnés à la newsletter : Exploitation de la confiance dans la marque Big Whale

Les victimes signalent recevoir des e-mails qui imitent parfaitement l'esthétique de design de The Big Whale, incluant leur palette de couleurs bleu marine signature et leur typographie française minimaliste. Les e-mails contiennent généralement des appels à l'action urgents liés à des "opportunités d'investissement exclusives" ou des "mises à jour de sécurité" pour les portefeuilles crypto.

Se défendre contre l'usurpation d'e-mail avancée

La sophistication de cette campagne met en évidence des vulnérabilités critiques dans la façon dont les organisations implémentent les protocoles de sécurité e-mail. Voici les mécanismes de défense essentiels :

Pour les organisations :

  • Implémenter des politiques DMARC strictes : Passer de "p=none" à "p=quarantine" ou "p=reject"
  • Audits réguliers des enregistrements SPF : S'assurer que toutes les sources d'envoi légitimes sont correctement configurées
  • Rotation des clés DKIM : Implémenter une rotation trimestrielle des clés pour minimiser l'impact des compromissions
  • Outils d'analyse d'en-têtes : Déployer des outils automatisés pour inspecter les en-têtes d'e-mail à la recherche d'anomalies
  • Formation de sensibilisation des utilisateurs : Éduquer les utilisateurs sur l'identification des tentatives de phishing sophistiquées

Pour les utilisateurs individuels :

  • Vérifier soigneusement les adresses d'expéditeur : Rechercher les variations subtiles de typosquatting
  • Vérifier les en-têtes d'e-mail : Utiliser la fonction "Afficher l'original" pour inspecter les résultats d'authentification
  • Ne jamais cliquer sur les liens urgents : Les services légitimes nécessitent rarement une action immédiate
  • Utiliser des portefeuilles matériels : Ne jamais saisir de phrases de récupération en ligne
  • Activer la 2FA partout : Protection supplémentaire même si les identifiants sont compromis

Indicateurs de compromission (IoC)

Les équipes de sécurité doivent surveiller les indicateurs suivants associés à cette campagne :

Domaines malveillants (liste partielle) :

  • thebig-whale[.]io
  • the-bigwhale[.]com
  • bigwhale-newsletter[.]eu
  • thebigwhale-crypto[.]com
  • newsletter-bigwhale[.]org

Adresses IP associées à l'infrastructure C2 :

  • 185.156.177[.]234 (Moldavie)
  • 45.142.212[.]100 (Pays-Bas)
  • 193.42.33[.]210 (Russie)
  • 103.75.119[.]157 (Singapour)

Modèles d'objets d'e-mail :

  • "🐋 Alerte Exclusive : Opportunité Bitcoin Limitée"
  • "URGENT : Mise à jour de sécurité requise pour votre portefeuille crypto"
  • "Rapport spécial The Big Whale : Agissez maintenant"
  • "Airdrop exclusif pour les abonnés Big Whale"

Enquête en cours et réponse

Les agences de police de plusieurs juridictions coordonnent leurs efforts pour traquer les auteurs. La newsletter légitime Big Whale a émis des avertissements à sa base d'abonnés et travaille avec les fournisseurs de sécurité e-mail pour implémenter des mesures d'authentification supplémentaires.

"Nous sommes consternés que des criminels exploitent notre marque pour cibler la communauté crypto. Nous implémentons BIMI (Brand Indicators for Message Identification) et travaillons avec les principaux fournisseurs d'e-mail pour nous assurer que nos e-mails légitimes sont clairement marqués."

— Déclaration de l'équipe éditoriale de The Big Whale

L'enquête a révélé des connexions avec des groupes cybercriminels précédemment identifiés spécialisés dans le vol de cryptomonnaies, avec des liens potentiels aux activités récentes du Lazarus Group dans l'espace crypto. Cependant, l'attribution reste difficile en raison de l'utilisation d'infrastructure compromise et d'opérations de faux drapeau.

Implications pour la sécurité email dans la crypto

Cette campagne représente une évolution dans le phishing ciblant la crypto, démontrant que les attaquants investissent des ressources importantes pour contourner les mesures de sécurité email modernes. L'industrie crypto fait face à des défis uniques :

  • Cibles de grande valeur : Les détenteurs de crypto représentent des cibles lucratives pour les cybercriminels
  • Transactions irréversibles : Contrairement au système bancaire traditionnel, les transactions crypto ne peuvent pas être annulées
  • Nature pseudonyme : Difficulté à vérifier les communications légitimes
  • Évolution rapide de l'écosystème : Les nouveaux protocoles et plateformes créent de nouvelles surfaces d'attaque

L'industrie doit adopter une approche zéro confiance pour les communications email, particulièrement pour les transactions de grande valeur ou les opérations sensibles. Cela inclut la mise en place de vérifications hors bande pour les demandes critiques et l'éducation des utilisateurs sur l'évolution du paysage des menaces.