Dans le cadre de nos activités de monitoring et de prévention contre la fraude en ligne, les équipes de OWN ont détecté un système de fraude rodé prenant appui sur TikTok comme canal de diffusion principal.
Dans cet article, nous allons voir comment un simple compte TikTok automatisé nous a amenés à découvrir une infrastructure complète pilotant de l'automatisation sur TikTok et Discord, des services fictifs de monétisation, des services d'IA frauduleux et jusqu'à la vente de cartes bancaires anonymes en cryptomonnaie, le tout opéré depuis un unique serveur exposé sur Internet.
Le point de départ de l'investigation est le compte TikTok skyywtww. Ce compte adopte un comportement de publication massif et répétitif avec les mêmes vidéos qui sont republiées toutes les heures, cumulant entre 200 et 1 000 vues à chaque fois. L'ensemble de ces publications fait la promotion d'une unique offre, la création d'une boutique Shopify complète pour 37 euros par mois via profitlab[.]fr.
Le service promu est suspect : l'offre mise en avant propose la création d'une boutique Shopify clé en main en moins de 24 heures avec une incroyable réduction de 97% tout en se promouvant comme un partenaire Shopify certifié (ce qui ne peut être vérifié sur la liste officielle des partenaires Shopify) et les vidéos indiquent un retour sur investissement presque immédiat. Ce type de mise en scène, réduction massive, garantie satisfait-ou-remboursé, badge de légitimité et vidéo de témoignage, est caractéristique des campagnes de fraude à l'e-commerce ciblant les clients directs et les consommateurs peu familiers avec les codes du secteur.
La cadence de publication semble incompatible avec une activité humaine ordinaire et suggère l'existence d'un outil d'automatisation pilotant les publications depuis un backend dédié. Le nombre de visionnages compris entre 200 et 1 000 vues par vidéo peut sembler modeste mais prend une tout autre dimension rapportée au rythme de publication, le volume d'exposition cumulé sur une semaine représentant alors plusieurs dizaines de milliers d'impressions orientées vers le domaine profitlab[.]fr. La stratégie repose donc moins sur la viralité que sur la publication continue. Il est cependant légitime de se poser la question de l’utilisation d’un réseau de bots pour falsifier ces nombres au vu de leur distribution statistique peu organique.
Les équipes de OWN ont donc orienté leurs recherches vers les moteurs d'indexation d'infrastructure Internet tels qu’ONYPHE afin d’identifier si des panneaux d'administration ou de configuration ou des dashboard, un backend exposé ou tout autre service en lien avec profitlab[.]fr ou le compte skyywtww pourrait être découvert.
Aucun résultat n’était disponible sur ONYPHE en recherchant la chaine de caractère « skyywtww » dans les réponses serveur, néanmoins, la même recherche pour la chaine de caractère « profitlab » a retourné une poignée de résultats qu’il a été possible d’analyser. L’un de ces serveurs affichait un titre « InfernoScript – TikTok Dashboard » indiquant un lien possible avec notre investigation, lien vite confirmé par l’adresse IP de ce serveur, 51.83.68[.]125, qui est résolue par le nom de domaine profitlab[.]fr.

Cette requête retourne une page dont le titre "InfernoScript - Dashboard TikTok" nous oriente vers un élément en lien avec notre analyse.
Le dashboard « InfernoScript » accesible via l’adresse 51.83.68[.]125:8080 se présente comme une interface web complète dédiée à la génération et à la publication automatisée de contenus TikTok. Il est structuré en quatre modules distincts, accessibles via un menu de navigation horizontal :
- Inferno Splitter
- DarkSnap
- SNCF -50%
- ProfitLab
Inferno Splitter
Le premier module, Inferno Splitter, constitue la brique de base du dispositif. Il permet de charger une ou plusieurs vidéos sources, d'y superposer un texte personnalisé, et de générer automatiquement un nombre arbitraire de variantes. L'objectif est de produire des contenus visuellement distincts à partir des mêmes éléments au départ

DarkSnap
Le second module, DarkSnap, reprend la logique d'Inferno Splitter en y ajoutant une couche d'automatisation complète. L'opérateur charge ses fichiers vidéo sources, définit le nombre de contenus à générer, puis active le mode Full Auto H24 qui prend en charge l'intégralité du processus de création et de publication sans intervention manuelle.

Ce mode automatique est configuré pour publier une vidéo toutes les 60 minutes sur chacun des comptes TikTok enregistrés dans l’interface. Au moment de l'analyse, six comptes étaient actifs :
- yep.tiktok1
- deletedusrn
- romainfitness93
- sncfpascher
- sby_elt
- userx_salman
Chaque compte dispose de sa propre description automatique, injectée à chaque publication sans intervention de l'opérateur.

Un point mérite d'être soulevé concernant ces comptes. Plusieurs d'entre eux affichent un nombre d'abonnés significatif, allant de plusieurs centaines à plusieurs dizaines de milliers, avec des contenus antérieurs sans lien avec les publications frauduleuses actuellement observées. Ce profil est cohérent avec des comptes ayant appartenu à d'autres utilisateurs avant d'être détournés. Cette hypothèse n'a pas pu être confirmée formellement à ce stade de l'investigation, mais elle est suffisamment notable pour être mentionnée.
L'ensemble des six comptes publient les mêmes vidéos de manière synchronisée. Par ailleurs, les vidéos générées par ce module font apparaître une mention du domaine snapdark[.]fr, ce qui constitue un lien fort entre le module DarkSnap et un autre de l'infrastructure que nous détaillerons plus loin.
SNCF -50%
Le troisième module est entièrement dédié à la fraude aux billets de transport. Il permet de générer des vidéos promouvant des billets SNCF à prix réduit, avec un accès à un serveur Discord référencé en biographie de compte et ayant pour texte sur la vidéo, des mentions de promotions sur des trains entre Paris et Lyon.

Comme pour les autres modules, l'opérateur peut définir librement le nombre de vidéos à produire. Ce module cible un public distinct de celui de ProfitLab, en exploitant l'attrait pour les bons plans transports, un vecteur d'ingénierie sociale particulièrement efficace auprès des consommateurs français.

ProfitLab
Le quatrième module ferme la boucle avec le point de départ de l'investigation. Il s'agit d'un générateur de vidéos exclusivement dédié à la promotion de profitlab.fr. Trente-cinq vidéos sources sont préchargées de manière persistante dans l'interface, accompagnées d'une bande audio et de cinq accroches textuelles en rotation, que l'on retrouve mot pour mot dans les publications du compte skyywtww observées en amont.


Le module dispose lui aussi d'un mode Full Auto H24, configuré pour publier automatiquement sur le compte skyywtww, notre point de départ. La boucle est ainsi complète. Le compte TikTok qui a déclenché l'investigation est directement piloté depuis ce dashboard avec une publication automatique toutes les 60 minutes.
InfernoScript est donc bien plus qu'un simple outil de montage vidéo. Il s'agit d'une plateforme d'automatisation complète, couvrant la création de contenu, la gestion multi-comptes et la publication planifiée, au service de plusieurs campagnes frauduleuses opérées depuis une infrastructure unique.

SnapDark[.]fr
La découverte de l’interface InfernoScript ouvre une piste supplémentaire. Les vidéos générées par le module DarkSnap font apparaître une mention du domaine snapdark[.]fr. Ce domaine constitue le premier pivot vers une infrastructure bien plus étendue que ce que laissait supposer l'investigation initiale. snapdark[.]fr se présente comme un service d'espionnage de comptes Snapchat, promettant un accès anonyme aux contenus privés d'une cible avec les My Eyes Only, la localisation GPS et les messages privés. Le tout sans que la cible ne soit alertée. L'analyse du code source du site révèle rapidement une supercherie. L'intégralité des résultats affichés est fournie directement dans le code : aucune donnée réelle n'est récupérée, aucune API Snapchat n'est sollicitée. Le service est entièrement fictif. Les victimes paient pour une mise en scène avec notamment un faux système de script et de log.

Plusieurs éléments techniques renforcent ce constat. Une clé d'API Supabase est exposée en clair dans le fichier tracker.js, accessible publiquement à l'URL hxxps://snapdark[.]fr/tracker.js. Cette exposition permet de consulter la base d'événements utilisateurs et de reconstituer les étapes franchies par chaque victime dans le tunnel de conversion, depuis la première visite jusqu'au paiement. Le lien de paiement Stripe est quant à lui fonctionnel, ce qui confirme que des transactions réelles peuvent avoir lieu.
Le service est par ailleurs dupliqué sur à minima trois domaines supplémentaires, snapcheck[.]fr, dark-snap[.] et darksnap[.]fr, vraisemblablement pour maximiser la surface de capture ou disposer de replis en cas de signalement du domaine principal.

A ce stade, nous disposons de la preuve d'une fraude mais pas encore d'une vision complète de son fonctionnement. L'investigation se porte donc sur l'IP associée à cette infrastructure.
Cinq services sur un seul serveur
ONYPHE permet d'énumérer l'ensemble des services exposés sur l'IP 51.83.68[.]125.

Port 8080 — InfernoScript
Ce service a déjà été documenté dans la section précédente. Il constitue le point d'entrée de l'investigation et le cœur opérationnel du dispositif de génération vidéo.
Port 3000 — AutoBump
Ce service expose un panneau de configuration dédié à la promotion automatisée de serveurs Discord sur Disboard, un annuaire de serveur Discords communautaire. Le principe est simple : des bots soumettent régulièrement des commandes « bump » pour les serveurs choisis, ce qui a pour but de maintenir leur classement dans les listes de serveurs référencés sur Disboard.
L'interface est particulièrement bavarde. Elle affiche en clair l'ensemble des fraudes actives et des entités ciblées, les pseudonymes Discord des derniers clients ayant souscrit au service, les logs détaillés des actions effectuées par les bots, ainsi que les statistiques du jour. La liste des serveurs promus confirme ce qui avait été observé depuis le module InfernoScript : fraude aux billets de transport, revente de biens virtuels, et opérations dont la nature exacte reste à déterminer.

Port 3001 — AutoBump Discadia
Ce service est une variante du précédent, spécialisée pour la plateforme Discadia, fonctionnant sur le même principe que Disboard. L'opérateur y configure les serveurs à promouvoir et le bot se charge de leur référencement automatique sur la plateforme.
Les serveurs Discord référencés dans cette interface sont spécialisés dans la vente de biens physiques ou virtuels liés à des jeux vidéos en ligne tels que des monnaies virtuelles ou des objets réels ou numériques.

Port 443 — SnapDark Graphics
Ce service se présente comme un abonnement à un service de création de logos premium. L'analyse du contenu reproduit le même schéma que SnapDark : faux témoignages clients avec des prénoms génériques, statistiques inventées, clauses contractuelles qui semblent légitimes et une page de galerie présentant des créations dont l'origine réelle est invérifiable


L'analyse des domaines extraits de la réponse ONYPHE permet d'identifier le hostname associé auservice et de remonter jusqu'au nom de domaine public snapgraphics[.]fr.

Port 22 — SSH
Le port 22 correspond à un accès SSHstandard permettant à l'opérateur un contrôle distant du serveur. Rien denparticulier n'a été relevé sur ce port.
Pour aller plus loin : InfernoCard
L'examen du reverseDNS de l'IP 51.83.68[.]125 pointe vers un nouveau nom de domaine : infernocard[.]com. Ce domaine constitue le prolongement le plus préoccupant de l'écosystème Inferno puisqu’il propose la vente de cartes de crédit prépayées anonymes en les chargeant avec des cryptomonnaies.

Bien qu’il ne nous ait pas été possible de vérifier si ce service était bien réel, le chargement de ces cartes implique de verser des fonds à des portefeuilles de cryptomonnaies dont les adresses sont disponibles en clair dans le code source de la page de paiement. Au moment de l'analyse, certaines de ces adresses ne présentaient aucune transaction enregistrée sur les blockchain, ce qui peut indiquer soit une adresse fraîchement générée pour la session de test, soit un service encore en phase de déploiement.

Fraude à la souscription de service d’IA
L’énumération des certificats SSL associés à l’adresse IP permet d’identifier un service supplémentaire qui se nomme aiportal[.]fr.

Ce domaine se présente comme un portail d'accès à des outils d'intelligence artificielle avec des promotions attractives jusqu'à -85%, surfant sur l'engouement actuel pour les outils d'IA générative.

Conclusion
L'investigation initiée sur un simple compte TikTok automatisé révèle en réalité un écosystème frauduleux diversifié, structuré autour d'une infrastructure unique et opéré par un acteur disposant de capacités techniques réelles (et probablement utilisant lui aussi des assistants AI).
Ce qui frappe en premier lieu, c'est la cohérence du dispositif. Chaque service identifié sur le serveur 51.83.68[.]125 remplit une fonction précise dans une chaîne de monétisation pensée de bout en bout. InfernoScript assure la diffusion à grande échelle via TikTok. AutoBump et AutoBump Discadia drainent du trafic vers des serveurs Discord frauduleux. Profitlab, AIportal, SnapDark et SnapDark Graphics captent des victimes via des services fictifs présentés avec des promotions agressives, mais ces services pourraient également servir à blanchir de l’argent. InfernoCard ferme la boucle en proposant des moyens de paiement anonymes à ceux qui alimentent ou opèrent ces mêmes fraudes. L'acteur ne gère pas une arnaque : il gère un portefeuille de fraudes complémentaires, diversifiant ses cibles en fonction des tendances du moment, tout en réutilisant la même infrastructure et les mêmes techniques de conversion.
Le niveau de sophistication observé dépasse ce que l'on rencontre habituellement dans ce type d'opération. Le développement d'outils propriétaires, la gestion multi-comptes TikTok avec publication automatisée toutes les heures, la mise en place de plusieurs services distincts sur un même serveur, et l'intégration de paiements crypto pour les services les plus sensibles témoignent d'un investissement technique significatif.
Pour autant, l'acteur commet des erreurs d'OPSEC élémentaires qui ont rendu possible l'intégralité de cette investigation. L'ensemble des services est concentré sur une seule IP sans cloisonnement, les tableaux de bord d'administration sont exposés sans authentification sur Internet, et une clé d'API Supabase est accessible en clair dans du JavaScript frontend. C'est précisément cette exposition qui a permis de cartographier l'intégralité du dispositif.
Du point de vue de l'impact, les victimes sont des particuliers. Les consommateurs attirés par de fausses réductions sur les billets SNCF, Eurostar ou Flixbus ou des réductions sur des services de livraispon comme UberEats ou Deliveroo s'exposent à des pertes financières directes, d’autant plus si les billets achetés s'avèrent invalides le jour du voyage. Les acheteurs de Profitlab et SnapDark paient pour un service dont la valeur est douteuse. Enfin, le service InfernoCard pose la question de son utilisation pour faciliter d’autres fraude, ou simplement si ce service n’est pas lui aussi une escroquerie.
Le dernier mot se porte naturellement sur les opérateurs ciblés avec SNCF, OUIGO, Eurostar, UberEat Deliveroo… qui voient leur marque utilisée sans consentement comme vecteur de crédibilité pour attirer des victimes.





