À la faveur de la saison fiscale, les campagnes malveillantes se multiplient et se diversifient. Derrière des emails crédibles et des scénarios bien rodés, les attaquants combinent ingénierie sociale et détournement d’outils légitimes pour accéder aux systèmes, aux données et aux comptes financiers.
Une saison fiscale sous haute pression cyber
Chaque année, la période des déclarations fiscales constitue un terrain fertile pour les cybercriminels. En 2026, le phénomène s’intensifie : plus d’une centaine de campagnes exploitant des thématiques fiscales ont déjà été observées, mêlant malware, fraude, compromission de comptes et déploiement d’outils de prise de contrôle à distance.
Le contexte joue en faveur des attaquants. L’attente d’échanges avec des organismes officiels, la multiplicité des interlocuteurs et la pression liée aux échéances créent un environnement propice à la manipulation. Les campagnes varient fortement en volume, de quelques messages ciblés à des envois massifs de plusieurs dizaines de milliers d’emails, avec une portée désormais internationale.
Au-delà des États-Unis, plusieurs pays sont concernés, dont la Suisse, le Japon, le Canada ou encore l’Australie, confirmant une industrialisation globale de ces opérations.
Le détournement des outils légitimes, nouvelle norme
L’évolution la plus marquante en 2026 réside dans l’usage accru d’outils de gestion à distance (RMM). Ces logiciels, couramment utilisés dans les environnements professionnels, sont désormais intégrés aux chaînes d’attaque.
Leur principal atout pour les attaquants tient à leur légitimité. Signés et reconnus, ils passent souvent sous les radars des dispositifs de sécurité s’ils ne sont pas strictement contrôlés. Plusieurs campagnes récentes ont ainsi distribué des solutions comme Datto, N-Able, RemotePC, Zoho Assist ou ScreenConnect via des emails se faisant passer pour des communications fiscales officielles.
Dans un cas observé début février, un message usurpant une agence fiscale redirigeait vers un faux outil de consultation de documents. En réalité, le lien menait à un exécutable permettant l’installation d’un agent RMM. L’utilisation de numéros de téléphone légitimes renforçait encore la crédibilité de l’attaque.
Ce type d’approche illustre une tendance de fond : l’exploitation de briques logicielles légitimes pour contourner les mécanismes de détection traditionnels.
Des acteurs structurés et des scénarios toujours plus sophistiqués
Deux profils d’attaquants illustrent cette montée en sophistication.
Le groupe TA4922, identifié récemment, s’inscrit dans une logique d’accès initial en vue de monétisation. Ses campagnes reposent sur des scénarios progressifs, combinant emails d’usurpation d’autorité et bascule vers des échanges hors messagerie. L’objectif est d’établir une relation de confiance avant de livrer des charges malveillantes ou de poursuivre l’ingénierie sociale en se faisant passer pour des responsables internes.
De son côté, TA2730 adopte une approche opportuniste à grande échelle. Spécialisé dans le phishing d’identifiants liés à des plateformes financières, il exploite notamment le prétexte de formulaires fiscaux comme le W-8BEN. Les victimes sont redirigées vers de fausses interfaces d’authentification conçues pour collecter leurs accès.
Parallèlement, les campagnes de fraude au président (BEC) continuent d’exploiter les formulaires fiscaux internes, comme les W-2 ou W-9. En se faisant passer pour des dirigeants ou des équipes RH, les attaquants cherchent à obtenir des données sensibles — identités, adresses, numéros — qui alimenteront des fraudes ultérieures.
Une mécanique bien rodée, au-delà de la saison fiscale
Si la période fiscale agit comme un catalyseur, les thématiques financières restent exploitables toute l’année. Leur efficacité repose sur un levier simple : la crédibilité et l’urgence.
Les campagnes observées ne représentent qu’une fraction d’un paysage plus large, où les attaquants s’adaptent en permanence aux contextes économiques et administratifs. La fiscalité, par sa complexité et sa sensibilité, demeure un vecteur privilégié.
Face à cette dynamique, la compréhension des mécanismes d’ingénierie sociale et des usages détournés d’outils légitimes s’impose comme un enjeu central. La sophistication technique n’est plus le seul facteur de risque : la capacité à manipuler les usages et les attentes des utilisateurs est désormais au cœur des stratégies offensives.
