Analyse de la menace
Cyberattaque

Analyse d'une infrastructure de fraude artisanale

OWN-CERT
-
1/7/2026
Un compte TikTok automatisé a révélé une infrastructure pilotant IA frauduleuse, crypto, Discord et services de monétisation.OWN Security

Dans le cadre de nos activités de monitoring et de prévention contre la fraude en ligne, les équipes de OWN ont détecté un système de fraude rodé prenant appui sur TikTok comme canal de diffusion principal.

Dans cet article, nous allons voir comment un simple compte TikTok automatisé nous a amenés à découvrir une infrastructure complète pilotant de l'automatisation sur TikTok et Discord, des services fictifs de monétisation, des services d'IA frauduleux et jusqu'à la vente de cartes bancaires anonymes en cryptomonnaie, le tout opéré depuis un unique serveur exposé sur Internet.

Le point de départ de l'investigation est le compte TikTok skyywtww. Ce compte adopte un comportement de publication massif et répétitif avec les mêmes vidéos qui sont republiées toutes les heures, cumulant entre 200 et 1 000 vues à chaque fois. L'ensemble de ces publications fait la promotion d'une unique offre, la création d'une boutique Shopify complète pour 37 euros par mois via profitlab[.]fr.

Le service promu est suspect : l'offre mise en avant propose la création d'une boutique Shopify clé en main en moins de 24 heures avec une incroyable réduction de 97% tout en se promouvant comme un partenaire Shopify certifié (ce qui ne peut être vérifié sur la liste officielle des partenaires Shopify) et les vidéos indiquent un retour sur investissement presque immédiat. Ce type de mise en scène, réduction massive, garantie satisfait-ou-remboursé, badge de légitimité et vidéo de témoignage, est caractéristique des campagnes de fraude à l'e-commerce ciblant les clients directs et les consommateurs peu familiers avec les codes du secteur.

La cadence de publication semble incompatible avec une activité humaine ordinaire et suggère l'existence d'un outil d'automatisation pilotant les publications depuis un backend dédié. Le nombre de visionnages compris entre 200 et 1 000 vues par vidéo peut sembler modeste mais prend une tout autre dimension rapportée au rythme de publication, le volume d'exposition cumulé sur une semaine représentant alors plusieurs dizaines de milliers d'impressions orientées vers le domaine profitlab[.]fr. La stratégie repose donc moins sur la viralité que sur la publication continue. Il est cependant légitime de se poser la question de l’utilisation d’un réseau de bots pour falsifier ces nombres au vu de leur distribution statistique peu organique.

Les équipes de OWN ont donc orienté leurs recherches vers les moteurs d'indexation d'infrastructure Internet tels qu’ONYPHE afin d’identifier si des panneaux d'administration ou de configuration ou des dashboard, un backend exposé ou tout autre service en lien avec profitlab[.]fr ou le compte skyywtww pourrait être découvert.

Aucun résultat n’était disponible sur ONYPHE en recherchant la chaine de caractère « skyywtww » dans les réponses serveur, néanmoins, la même recherche pour la chaine de caractère « profitlab » a retourné une poignée de résultats qu’il a été possible d’analyser. L’un de ces serveurs affichait un titre « InfernoScript – TikTok Dashboard » indiquant un lien possible avec notre investigation, lien vite confirmé par l’adresse IP de ce serveur, 51.83.68[.]125, qui est résolue par le nom de domaine profitlab[.]fr.

Figure 1. Requête Onyphe ciblant le terme profitlab sur des IP françaises. Source : Onyphe/OWN

Cette requête retourne une page dont le titre "InfernoScript - Dashboard TikTok" nous oriente vers un élément en lien avec notre analyse.

Le dashboard « InfernoScript » accesible via l’adresse 51.83.68[.]125:8080 se présente comme une interface web complète dédiée à la génération et à la publication automatisée de contenus TikTok. Il est structuré en quatre modules distincts, accessibles via un menu de navigation horizontal :  

  • Inferno Splitter
  • DarkSnap
  • SNCF -50%
  • ProfitLab

Inferno Splitter

Le premier module, Inferno Splitter, constitue la brique de base du dispositif. Il permet de charger une ou plusieurs vidéos sources, d'y superposer un texte personnalisé, et de générer automatiquement un nombre arbitraire de variantes. L'objectif est de produire des contenus visuellement distincts à partir des mêmes éléments au départ

Figure 2. L’interface de la section InfernoSplitter. Source : OWN

DarkSnap

Le second module, DarkSnap, reprend la logique d'Inferno Splitter en y ajoutant une couche d'automatisation complète. L'opérateur charge ses fichiers vidéo sources, définit le nombre de contenus à générer, puis active le mode Full Auto H24 qui prend en charge l'intégralité du processus de création et de publication sans intervention manuelle.

Figure 3. L’interface de la section DarkSnap. Source : OWN

Ce mode automatique est configuré pour publier une vidéo toutes les 60 minutes sur chacun des comptes TikTok enregistrés dans l’interface. Au moment de l'analyse, six comptes étaient actifs :  

  • yep.tiktok1
  • deletedusrn
  • romainfitness93
  • sncfpascher
  • sby_elt
  • userx_salman

Chaque compte dispose de sa propre description automatique, injectée à chaque publication sans intervention de l'opérateur.

Figure 4. Exemple de comptes TikTok associés à la fraude. Source : OWN

Un point mérite d'être soulevé concernant ces comptes. Plusieurs d'entre eux affichent un nombre d'abonnés significatif, allant de plusieurs centaines à plusieurs dizaines de milliers, avec des contenus antérieurs sans lien avec les publications frauduleuses actuellement observées. Ce profil est cohérent avec des comptes ayant appartenu à d'autres utilisateurs avant d'être détournés. Cette hypothèse n'a pas pu être confirmée formellement à ce stade de l'investigation, mais elle est suffisamment notable pour être mentionnée.

L'ensemble des six comptes publient les mêmes vidéos de manière synchronisée. Par ailleurs, les vidéos générées par ce module font apparaître une mention du domaine snapdark[.]fr, ce qui constitue un lien fort entre le module DarkSnap et un autre de l'infrastructure que nous détaillerons plus loin.

SNCF -50%

Le troisième module est entièrement dédié à la fraude aux billets de transport. Il permet de générer des vidéos promouvant des billets SNCF à prix réduit, avec un accès à un serveur Discord référencé en biographie de compte et ayant pour texte sur la vidéo, des mentions de promotions sur des trains entre Paris et Lyon.  

Figure 5. Exemple de vidéo généré par l’outil InfernoScript. Source : OWN

Comme pour les autres modules, l'opérateur peut définir librement le nombre de vidéos à produire. Ce module cible un public distinct de celui de ProfitLab, en exploitant l'attrait pour les bons plans transports, un vecteur d'ingénierie sociale particulièrement efficace auprès des consommateurs français.

Figure 6. Dashboard de la section SNCF -50%. Source : OWN

ProfitLab

Le quatrième module ferme la boucle avec le point de départ de l'investigation. Il s'agit d'un générateur de vidéos exclusivement dédié à la promotion de profitlab.fr. Trente-cinq vidéos sources sont préchargées de manière persistante dans l'interface, accompagnées d'une bande audio et de cinq accroches textuelles en rotation, que l'on retrouve mot pour mot dans les publications du compte skyywtww observées en amont.

Figure 7. Interface de la section Profitlab. Source : OWN

Le module dispose lui aussi d'un mode Full Auto H24, configuré pour publier automatiquement sur le compte skyywtww, notre point de départ. La boucle est ainsi complète. Le compte TikTok qui a déclenché l'investigation est directement piloté depuis ce dashboard avec une publication automatique toutes les 60 minutes.

InfernoScript est donc bien plus qu'un simple outil de montage vidéo. Il s'agit d'une plateforme d'automatisation complète, couvrant la création de contenu, la gestion multi-comptes et la publication planifiée, au service de plusieurs campagnes frauduleuses opérées depuis une infrastructure unique.

Figure 8. Vidéo TikTok du compte romainfitness93 associé à la fraude. Source : OWN/TikTok

SnapDark[.]fr

La découverte de l’interface InfernoScript ouvre une piste supplémentaire. Les vidéos générées par le module DarkSnap font apparaître une mention du domaine snapdark[.]fr. Ce domaine constitue le premier pivot vers une infrastructure bien plus étendue que ce que laissait supposer l'investigation initiale. snapdark[.]fr se présente comme un service d'espionnage de comptes Snapchat, promettant un accès anonyme aux contenus privés d'une cible avec les My Eyes Only, la localisation GPS et les messages privés. Le tout sans que la cible ne soit alertée. L'analyse du code source du site révèle rapidement une supercherie. L'intégralité des résultats affichés est fournie directement dans le code : aucune donnée réelle n'est récupérée, aucune API Snapchat n'est sollicitée. Le service est entièrement fictif. Les victimes paient pour une mise en scène avec notamment un faux système de script et de log.

Figure 9. Code source de la page de snapdark.fr. Source : OWN

Plusieurs éléments techniques renforcent ce constat. Une clé d'API Supabase est exposée en clair dans le fichier tracker.js, accessible publiquement à l'URL hxxps://snapdark[.]fr/tracker.js. Cette exposition permet de consulter la base d'événements utilisateurs et de reconstituer les étapes franchies par chaque victime dans le tunnel de conversion, depuis la première visite jusqu'au paiement. Le lien de paiement Stripe est quant à lui fonctionnel, ce qui confirme que des transactions réelles peuvent avoir lieu.

Le service est par ailleurs dupliqué sur à minima trois domaines supplémentaires, snapcheck[.]fr, dark-snap[.] et darksnap[.]fr, vraisemblablement pour maximiser la surface de capture ou disposer de replis en cas de signalement du domaine principal.

Figure 10. Présentation de la page snapdark[.]fr. Source : OWN

A ce stade, nous disposons de la preuve d'une fraude mais pas encore d'une vision complète de son fonctionnement. L'investigation se porte donc sur l'IP associée à cette infrastructure.

Cinq services sur un seul serveur

ONYPHE permet d'énumérer l'ensemble des services exposés sur l'IP 51.83.68[.]125.  

Figure 11. Liste des ports ouverts sur l’IP 51.83.68[.]125. Source : OWN/Onyphe

Port 8080 — InfernoScript

Ce service a déjà été documenté dans la section précédente. Il constitue le point d'entrée de l'investigation et le cœur opérationnel du dispositif de génération vidéo.

Port 3000 — AutoBump

Ce service expose un panneau de configuration dédié à la promotion automatisée de serveurs Discord sur Disboard, un annuaire de serveur Discords communautaire. Le principe est simple : des bots soumettent régulièrement des commandes « bump » pour les serveurs choisis, ce qui a pour but de maintenir leur classement dans les listes de serveurs référencés sur Disboard.

L'interface est particulièrement bavarde. Elle affiche en clair l'ensemble des fraudes actives et des entités ciblées, les pseudonymes Discord des derniers clients ayant souscrit au service, les logs détaillés des actions effectuées par les bots, ainsi que les statistiques du jour. La liste des serveurs promus confirme ce qui avait été observé depuis le module InfernoScript : fraude aux billets de transport, revente de biens virtuels, et opérations dont la nature exacte reste à déterminer.

Figure 12. Dashboard de l’outil AutoBump. Source: OWN

Port 3001 — AutoBump Discadia

Ce service est une variante du précédent, spécialisée pour la plateforme Discadia, fonctionnant sur le même principe que Disboard. L'opérateur y configure les serveurs à promouvoir et le bot se charge de leur référencement automatique sur la plateforme.

Les serveurs Discord référencés dans cette interface sont spécialisés dans la vente de biens physiques ou virtuels liés à des jeux vidéos en ligne tels que des monnaies virtuelles ou des objets réels ou numériques.

Figure 13. Dashboard de l’outil AutoBump Discadia. Source : OWN

Port 443 — SnapDark Graphics

Ce service se présente comme un abonnement à un service de création de logos premium. L'analyse du contenu reproduit le même schéma que SnapDark : faux témoignages clients avec des prénoms génériques, statistiques inventées, clauses contractuelles qui semblent légitimes et une page de galerie présentant des créations dont l'origine réelle est invérifiable  

Figure 14. Présentation de la page SnapDark Graphics. Source : OWN
Figure 15. Section de paiement de la page SnapDark Graphics. Source : OWN

L'analyse des domaines extraits de la réponse ONYPHE permet d'identifier le hostname associé auservice et de remonter jusqu'au nom de domaine public snapgraphics[.]fr.

Figure 16. Données Onyphe portant sur les domaines extraits. Source : OWN/Onyphe

Port 22 — SSH

Le port 22 correspond à un accès SSHstandard permettant à l'opérateur un contrôle distant du serveur. Rien denparticulier n'a été relevé sur ce port.

Pour aller plus loin : InfernoCard

L'examen du reverseDNS de l'IP 51.83.68[.]125 pointe vers un nouveau nom de domaine : infernocard[.]com. Ce domaine constitue le prolongement le plus préoccupant de l'écosystème Inferno puisqu’il propose la vente de cartes de crédit prépayées anonymes en les chargeant avec des cryptomonnaies.

Figure 17. Page de présentation du domaine infernocard.com. Source : OWN

Bien qu’il ne nous ait pas été possible de vérifier si ce service était bien réel, le chargement de ces cartes implique de verser des fonds à des portefeuilles de cryptomonnaies dont les adresses sont disponibles en clair dans le code source de la page de paiement. Au moment de l'analyse, certaines de ces adresses ne présentaient aucune transaction enregistrée sur les blockchain, ce qui peut indiquer soit une adresse fraîchement générée pour la session de test, soit un service encore en phase de déploiement.

Figure 18. Source code of the payment page of InfernoScript containing the wallets addresses used for the payment. Source: OWN

Fraude à la souscription de service d’IA

L’énumération des certificats SSL associés à l’adresse IP permet d’identifier un service supplémentaire qui se nomme aiportal[.]fr.  

Figure 19. List of SSL certificates associated with 51.83.68[.]125, including aiportal[.]fr. Source: OWN/ONYPHE

Ce domaine se présente comme un portail d'accès à des outils d'intelligence artificielle avec des promotions attractives jusqu'à -85%, surfant sur l'engouement actuel pour les outils d'IA générative.

Figure 20. Offres du domaine aiportal[.]fr. Source: OWN

Conclusion

L'investigation initiée sur un simple compte TikTok automatisé révèle en réalité un écosystème frauduleux diversifié, structuré autour d'une infrastructure unique et opéré par un acteur disposant de capacités techniques réelles (et probablement utilisant lui aussi des assistants AI).

Ce qui frappe en premier lieu, c'est la cohérence du dispositif. Chaque service identifié sur le serveur 51.83.68[.]125 remplit une fonction précise dans une chaîne de monétisation pensée de bout en bout. InfernoScript assure la diffusion à grande échelle via TikTok. AutoBump et AutoBump Discadia drainent du trafic vers des serveurs Discord frauduleux. Profitlab, AIportal, SnapDark et SnapDark Graphics captent des victimes via des services fictifs présentés avec des promotions agressives, mais ces services pourraient également servir à blanchir de l’argent. InfernoCard ferme la boucle en proposant des moyens de paiement anonymes à ceux qui alimentent ou opèrent ces mêmes fraudes. L'acteur ne gère pas une arnaque : il gère un portefeuille de fraudes complémentaires, diversifiant ses cibles en fonction des tendances du moment, tout en réutilisant la même infrastructure et les mêmes techniques de conversion.

Le niveau de sophistication observé dépasse ce que l'on rencontre habituellement dans ce type d'opération. Le développement d'outils propriétaires, la gestion multi-comptes TikTok avec publication automatisée toutes les heures, la mise en place de plusieurs services distincts sur un même serveur, et l'intégration de paiements crypto pour les services les plus sensibles témoignent d'un investissement technique significatif.

Pour autant, l'acteur commet des erreurs d'OPSEC élémentaires qui ont rendu possible l'intégralité de cette investigation. L'ensemble des services est concentré sur une seule IP sans cloisonnement, les tableaux de bord d'administration sont exposés sans authentification sur Internet, et une clé d'API Supabase est accessible en clair dans du JavaScript frontend. C'est précisément cette exposition qui a permis de cartographier l'intégralité du dispositif.

Du point de vue de l'impact, les victimes sont des particuliers. Les consommateurs attirés par de fausses réductions sur les billets SNCF, Eurostar ou Flixbus ou des réductions sur des services de livraispon comme UberEats ou Deliveroo s'exposent à des pertes financières directes, d’autant plus si les billets achetés s'avèrent invalides le jour du voyage. Les acheteurs de Profitlab et SnapDark paient pour un service dont la valeur est douteuse. Enfin, le service InfernoCard pose la question de son utilisation pour faciliter d’autres fraude, ou simplement si ce service n’est pas lui aussi une escroquerie.

Le dernier mot se porte naturellement sur les opérateurs ciblés avec SNCF, OUIGO, Eurostar, UberEat Deliveroo… qui voient leur marque utilisée sans consentement comme vecteur de crédibilité pour attirer des victimes.  

Indicateur 

Type 

Contexte 

51.83.68[.]125 

IP 

Serveur OVH central, tous services confondus 

vps-9b2317f3.vps.ovh[.]net 

Hostname 

Reverse DNS du serveur central 

infernocard[.]com 

Nom de domaine 

Plateforme de vente de cartes bancaires anonymes 

profitlab[.]fr 

Nom de domaine 

Boutique Shopify frauduleuse 

snapdark[.]fr 

Nom de domaine 

Faux service d'espionnage Snapchat 

dark-snap[.]fr 

Nom de domaine 

Clone de snapdark[.]fr 

darksnap[.]fr 

Nom de domaine 

Clone de snapdark[.]fr 

snapgraphics[.]fr 

Nom de domaine 

Domaine de SnapDark Graphics 

aiportal[.]fr 

Nom de domaine 

Faux service d’IA 

boutiquerapide[.]fr 

Nom de domaine 

Clone de profitlab[.]fr 

light-service[.]org 

Nom de domaine 

Clone de profitlab[.]fr 

nrqdxwpwxajtlrblwigx.supabase[.]co 

Nom de domaine 

Base de données Supabase exposée, snapdark[.]fr 

delivery.zentyra@gmail[.]com 

Adresse email 

Contact factice utilisé par SnapDark 

skyywtww 

Compte TikTok 

Point de départ, diffusion ProfitLab 

sncfpascher 

Compte TikTok 

Diffusion fraude billets transport 

Indicateur 

Type 

Contexte 

userx_salman 

Compte TikTok 

Compte associé au dispositif 

romainfitness93 

Compte TikTok 

Compte associé au dispositif 

sby_elt 

Compte TikTok 

Compte associé au dispositif 

yep.tiktok1 

Compte TikTok 

Compte associé au dispositif 

deletedusrn 

Compte TikTok 

Compte associé au dispositif 

hxxps://buy.stripe[.]com/00wdR9dMe7461xFcPBb3q17 

URL 

Lien de paiement Stripe

hxxps://buy.stripe[.]com/fZu3cv4bEewy4JR6rdb3q18 

URL 

Lien de paiement Stripe  

hxxps://buy.stripe[.]com/4gMdRa4i911L2UW1JQdwc18 

URL 

Lien de paiement Stripe  

hxxps://snapdark[.]fr/tracker.js 

URL 

Fichier JavaScript contenant la clé Supabase exposée 

fBGPqiRJuC6oKNtqzJ9TM9jmjmfEAdUSJwJYDyXkPnL 

Adresse de Portefeuille 

Portefeuille Solana 

bc1qhddq54xmsfarfs5pcv9r5emxwcyxelsjrehyag 

Adresse de Portefeuille 

Portefeuille Bitcoin 

LRsJc9gfyZprPj44m3akQ9AvkBBhXKSzik 

Adresse de Portefeuille 

Portefeuille Litecoin 

delivery.zentyra@gmail[.]com 

Adresse email 

Contact factice utilisé par SnapDark 

skyywtww 

Compte TikTok 

Point de départ, diffusion ProfitLab 

sncfpascher 

Compte TikTok 

Diffusion fraude billets transport 

Partager l'article :

Your OWN cyber expert.