Deep & dark web monitoring · surveillance continue Fortgale
CTI · capability 05 · Deep & Dark Web Monitoring

Les menaces ont un écho dans les bas-fonds.

Marketplaces criminels, leak sites ransomware, canaux Telegram, forums underground, dumps de logs infostealer. La plupart des menaces ont un écho dans les canaux criminels avant d'arriver au SOC. Fortgale écoute en continu : surveillance 24/7, alertes temps réel, contexte des acteurs. 50+ leak sites ransomware, 300+ canaux Telegram, des dizaines de forums underground et dumps de logs infostealer indexés par domaine client.

Demander un échantillon du monitoring Explorer les 5 catégories ↓
24/7Surveillance continue
50+Leak sites ransomware
< 15 minSLA alerte critical
Standards · frameworks
MITRE ATT&CK
STIX 2.1
TAXII 2.1
Diamond Model
Disciplines · analyse
OSINT
HUMINT
Tor · I2P
Crypto tracking
Le problème

Le SOC voit l'attaque. Le dark web en a déjà parlé.

La plupart des incidents ransomware sont précédés de semaines de traces dans les canaux criminels : identifiants en vente, accès IAB publiés, marque discutée dans les forums. Sans monitoring des bas-fonds, ces traces restent invisibles au SOC.

01

Traces invisibles au SOC

Les identifiants volés par infostealers, les accès IAB en vente, les marques discutées dans les forums ne laissent pas de logs sur les systèmes du client — ils sont hors périmètre.

02

Temps perdu post-leak

Quand les données arrivent sur le leak site, le dommage est déjà fait. Seul le monitoring permet de savoir avant — pendant le countdown ou la négociation.

03

Supply chain aveugle

Un fournisseur critique compromis peut devenir le vecteur d'attaque. Tracking étendu aux domaines des fournisseurs = pre-warning sur la supply chain.

La distinction qui change tout

Monitoring superficiel vs surveillance opérationnelle.

La différence n'est pas « combien de sites scannez-vous », c'est combien de différents, à quelle fréquence et avec quel contexte. Un monitoring sans corrélation et sans follow-up analyste ne produit que du bruit.

Dark web monitoring standard
  • Scans périodiques de quelques sources connues
  • Uniquement clearnet + quelques paste sites
  • Output : liste brute de mentions
  • Pas de corrélation avec les actifs client
  • Pas de contexte sur l'acteur
Commodity
Couverture Fortgale
  • 50+ leak sites · 300+ canaux Telegram · forums underground · marketplaces Tor
  • Tor, I2P, Freenet · forums sur invitation
  • Corrélation automatique avec actifs, marque, dirigeants
  • Contexte : acteur, motivation, modus operandi
  • Follow-up analyste sous 30 min pour les événements critiques
Opérationnel · actionable
La méthode · 4 étapes

De la source criminelle à une alerte qualifiée.

Quatre phases documentées · de la discovery des sources à la livraison d'une alerte avec contexte.

  1. 01
    Cartographie continue des bas-fonds

    Discovery et indexation des sources

    Cartographie continue des sources criminelles pertinentes : leak sites ransomware actifs (50+), marketplaces sur Tor/I2P, canaux Telegram de kit sellers et IAB, forums underground (Exploit, XSS, BreachForums-successor), paste sites (Pastebin, RentryCo). La base de données des sources se met à jour en permanence.

    Tor · I2P · FreenetTelegram crawlingForum huntingSource mapping
  2. 02
    Automated + analyste OSINT

    Surveillance continue 24/7

    Surveillance 24/7 automatisée avec analystes OSINT Fortgale pour les sources nécessitant une interaction humaine (forums sur invitation, channels privés). Couverture de Tor, I2P, Freenet, dark web shops, Telegram, forums underground, paste sites, channels crypto.

    24/7 automatedOSINT analystInvite-only accessMulti-protocol
  3. 03
    Du signal au contexte

    Validation, corrélation, enrichissement

    Chaque événement est validé (pas de faux positifs), corrélé avec les actifs et la marque du client (domaines, emails d'entreprise, dirigeants, plages IP, produits), enrichi du contexte sur l'acteur d'origine (groupe ransomware, IAB, opérateur MaaS, motivation).

    ValidationAsset correlationActor enrichmentContext analysis
  4. 04
    De la détection à l'action

    Alerte temps réel et follow-up analyste

    Alerte immédiate via webhook (Slack, Teams, Discord), email, SMS. Pour les événements critiques (exposition leak site, identifiants admin, dirigeants compromis), un analyste Fortgale recontacte sous 30 minutes pour un support opérationnel (containment, reset, take-down).

    Webhook real-timeEmail · SMSSLA analyste 30 minSupport opérationnel
Catégories de monitoring

Cinq familles de sources · couverture continue.

Les cinq familles de sources criminelles que Fortgale surveille en continu. Chaque famille a ses dynamiques, ses temps, ses patterns.

Catégorie 01

Leak site ransomware tracking

50+ groupes actifs · LockBit · RansomHub · Akira · Medusa · Cl0p

Tracking continu des leak sites des principaux groupes ransomware. Chaque nouvelle victime annoncée est indexée, corrélée avec les clients Fortgale et avec les supply chains des clients. Pre-leak alert lorsqu'un domaine client ou un fournisseur apparaît en countdown.

  • Top groupes 2024-2026 LockBit (post-Cronos), RansomHub, Akira, Medusa, Cl0p, BlackBasta, Play, INC Ransom, Hunters International, Qilin.
  • Pre-leak countdown Alerte lorsque le domaine du client ou d'un fournisseur apparaît en countdown sur le leak site, avant la publication des données.
  • Data leak content analysis Quand les données sont publiées, analyse rapide du contenu : typologie (PII, financiers, code source, emails), périmètre, sensibilité.
  • Victimologie sectorielle Tracking des récurrences de victimes dans le secteur du client pour pre-warning sur les groupes actifs (ex. vague LockBit sur l'industrie européenne).
  • Negotiation channel Monitoring des canaux de négociation du groupe (portail Tor, Tox ID, qTox) pour anticiper les changements de tactique et de pricing.
Catégorie 02

Marketplaces criminels

Russian Market · Tor shops · dark web stores

Couverture continue des marketplaces où sont vendus les accès initiaux (IAB), identifiants, données exfiltrées, exploits, malwares. Indexation automatique par domaine client, plage IP, produits, dirigeants.

  • Russian Market Top marketplace de stolen logs (post-Genesis Market takedown). Tracking continu des nouveaux listings par domaine client.
  • Initial Access Brokers Listings d'accès RDP, VPN, Citrix, SSH compromis. Pricing typique 500 $-50 000 $ selon le secteur et le privilège.
  • Exploit marketplace Vente de 0-day, N-day, exploit chain. Tracking pour CVE pertinentes au périmètre client.
  • Tor shops et clearnet escrow Marketplaces sur .onion (Tor) et mirrors clearnet avec escrow crypto. Listings de données exfiltrées, comptes compromis, identités volées.
  • Crypto laundering channel Tracking des flux crypto associés aux ransom payments, exit scams, money laundering — utile pour l'attribution et le contexte.
Catégorie 03

Infostealer log dump tracking

Lumma · RedLine · Vidar · StealC · Atomic

Acquisition et indexation des logs infostealer en vente. Les infostealers volent identifiants, cookies, tokens de session, wallets crypto, autofill depuis les navigateurs des victimes. Les logs finissent en vente sur marketplaces, Telegram et forums. Fortgale acquiert, indexe par domaine client, signale en temps réel.

  • Lumma Stealer logs Top stealer 2024-2026. Distribué via Telegram, logs vendus sur Russian Market et canaux Telegram du seller. Indexation par domaine client.
  • RedLine · Vidar · StealC Familles legacy encore actives. Tracking des C2 panels, build ID, exfiltration servers et canaux de distribution.
  • Atomic / macOS stealer AMOS, Banshee, Cthulhu — écosystème macOS en croissance. Tracking de fake installers (homebrew, cracked apps), patterns d'exfiltration.
  • Combolist & credential stuffing dump Agrégats d'identifiants issus de multiples breaches. Couverture des principaux dumps distribués via paste sites et Telegram.
  • Session cookie et token theft Cookies de session valides pour Microsoft 365, Google Workspace, Okta — utilisés pour contourner la MFA. Tracking des dumps.
Catégorie 04

Forums underground

Exploit · XSS · BreachForums-successor · niche forum

Monitoring des forums criminels historiques (Exploit, XSS) et des successeurs post-takedown de BreachForums/RaidForums. Couverture des discussions techniques, ventes d'accès, planning d'attaques, recrutement.

  • Exploit · XSS Forums russophones historiques. Discussions techniques, ventes de 0-day et d'accès IAB, recrutement pour affiliate programs ransomware.
  • BreachForums successor Après les takedowns 2023-2024, monitoring des successeurs (clones, mirrors, forums de niche).
  • Forums de niche ciblant l'Europe Forums spécialisés sur cibles européennes (langue, branded). Discussions sur banques européennes, services publics, fiscalité.
  • Recruitment & affiliate channel Annonces de recrutement pour affiliés ransomware, IAB partnership, DDoS-for-hire — utiles pour anticiper les vagues d'attaques.
  • Reputation tracking Tracking de la réputation des opérateurs (scammer, scammers blacklist) — utile pour l'attribution.
Catégorie 05

Canaux Telegram criminels

Kit sellers · ransom announcement · IAB · combo dump

Telegram est aujourd'hui le canal de communication préféré du cybercrime russophone et européen. Couverture de 300+ canaux entre kit sellers, ransom announcements (alternatifs au leak site), IAB market, combo list dump, channels hacktivistes.

  • Kit seller channel Tycoon 2FA, Mamba 2FA, EvilProxy, W3LL · channels des sellers avec annonces de versions, démos, support.
  • Ransom announcement Certains groupes (Cl0p, Akira) annoncent leurs victimes aussi sur Telegram, en plus du leak site Tor. Couverture bilatérale.
  • IAB market Canaux où sont vendus les accès (RDP, VPN, Citrix). Listings en temps réel, pricing transparent.
  • Combo list et dump Channels dédiés à la distribution de combolists (email:password) issus de multiples breaches.
  • Hacktiviste et idéologique Canaux hacktivistes (KillNet, NoName057(16), Anonymous Sudan) avec annonces de DDoS, leaks, defacements.
Parmi les plus suivies

Sept sources que Fortgale surveille chaque jour.

Un extrait des sources criminelles les plus pertinentes pour les clients européens. Cela change en permanence : chaque mois de nouveaux leak sites émergent, d'autres disparaissent à cause d'un takedown ou d'un exit scam.

Ransomware leak site · 2019-actif · top

LockBit leak site

LockBit · RaaS · post-Operation Cronos
Type
Leak site Tor · countdown · double extortion
Tracking
Victimes · countdown · negotiation channel · données publiées

Tracking continu du leak site de LockBit après l'Operation Cronos de 2024. Le groupe s'est reconstitué avec leak site et affiliate program renouvelés. Fortgale surveille les nouvelles victimes, countdowns et indexe les données publiées pour les actifs des clients.

Post-CronosESXi targetingRaaSTop tracked
Tracking · Top Demander le monitoring →
Ransomware leak site · 2024-actif · top groupe

RansomHub leak site

RansomHub · RaaS · ex-affilié ALPHV
Type
Leak site Tor · multi-secteur
Tracking
Victimes · payload exclusivity · negotiation

Top groupe 2024-2026. Tracking du leak site RansomHub, victimes annoncées (industrie, santé, secteur public), patterns d'exfiltration et corrélation avec les clients de vos fournisseurs.

Top 2024-26Multi-secteurPost-ALPHVESXi
Tracking · Top Demander le monitoring →
Infostealer logs · 2022-actif · top dump

Lumma Stealer logs

Lumma · MaaS · Telegram-distributed
Type
Stolen log dump · credentials · cookies · wallets
Tracking
C2 panel · build ID · log dumps · canaux Telegram

Lumma Stealer est le top infostealer 2024-2026. Les logs volés sont vendus sur Russian Market, Telegram et BreachForums. Fortgale indexe les logs par domaine client et signale en temps réel.

Top stealer 2025MaaSTelegram-dist.Cookie theft
Tracking · Top Demander le monitoring →
Stolen log marketplace · 2024-actif

Russian Market

Russian Market · marketplace
Type
Stolen log marketplace · post-Genesis
Tracking
Nouveaux listings · domaines · produits · prix

Marketplace n°1 de stolen logs après le takedown de Genesis Market. Tracking temps réel des nouveaux listings par domaine client. Fingerprint distinctif sur les patterns des principaux sellers.

Stolen logsPost-GenesisMulti-stealerActive 24/7
Tracking · Top Demander le monitoring →
Underground forum · 2024-actif

BreachForums successor

BreachForums · clones post-takedown
Type
Underground forum · breach sale · IAB
Tracking
Listings breach · vente d'identifiants · 0-day discussion

Après les takedowns 2023-2024, BreachForums a connu de nombreux clones et successeurs. Tracking des principaux (certains sur invitation) avec les analystes OSINT Fortgale.

Post-takedownBreach saleIABInvite-only
Tracking · Active Demander le monitoring →
Phishing kit market · 2023-actif

Telegram phishing kit shops

Tycoon · Mamba · EvilProxy seller channels
Type
Phishing kit sale · operator support
Tracking
Listings · démos · pricing · profil opérateur

Telegram est le canal préféré pour la vente de phishing kits. Tracking des channels de Tycoon 2FA, Mamba 2FA, EvilProxy, W3LL. Couverture des nouvelles versions, pricing, channels de support.

Phishing kitTelegram-dist.AiTMOperator tracking
Tracking · Active Demander le monitoring →
IAB & exploit · 2023-actif

Initial Access Broker forums

IAB · Exploit · XSS · Telegram IAB market
Type
Initial Access sale · RDP · VPN · Citrix
Tracking
Listings IAB · secteur victime · pricing

Forums et canaux où sont vendus les accès initiaux compromis (RDP, VPN, Citrix, SSH). Tracking temps réel, corrélation avec le secteur du client pour pre-warning.

IABPre-ransomwareAccess salePricing tracking
Tracking · Active Demander le monitoring →
Qualité · méthodologie

Severity explicite. Pas de bruit.

Chaque événement reçoit un niveau de severity explicite (Critical/High/Medium/Info) qui détermine le canal d'alerte. Pas de liste brute, pas d'alert fatigue.

Critical

Action immédiate

Exposition active sur leak site, identifiants admin compromis, dirigeant dans une liste de victimes, donnée sensible en vente. Alerte immédiate + follow-up analyste sous 30 min.

High

Alerte webhook

Identifiants utilisateur standard compromis, mention de la société dans un forum criminel, domaine look-alike en cours d'enregistrement actif. Alerte webhook sous 15 min.

Medium

Weekly digest

Mention dans le digest hebdomadaire, listing historique plus actif, donnée de faible valeur. Incluse dans le weekly digest.

Info

Dashboard uniquement

Mention informative, mention dans un canal à faible valeur, contexte général. Disponible dans la dashboard, ne déclenche pas d'alerte.

L'output

Comment le monitoring est livré.

Quatre canaux de distribution, choisis en fonction du rôle (CISO, SOC, IR, Conseil) et de la criticité de l'événement.

01

Dashboard temps réel

Console web Fortgale avec vue en temps réel des événements détectés : leak sites, listings marketplace, dumps de logs infostealer, mentions dans les forums. Filtering par source, criticité, actif concerné.

02

Alertes webhook temps réel

Push immédiat des alertes critiques via webhook (Slack, Teams, Discord), email, SMS. SLA < 15 minutes depuis la détection pour les événements critical/high.

03

Weekly digest

Rapport hebdomadaire par email pour le CISO avec synthèse statistique : volume d'événements, top sources, top acteurs, focus sur les événements nécessitant une décision managériale.

04

Investigation on-demand

Approfondissement on-demand d'événements spécifiques par les analystes Fortgale : contexte de l'acteur, support au containment, coordination avec l'incident response.

Honnêteté technique

Quand il ne faut pas activer le monitoring.

Le monitoring du deep & dark web n'a de sens que si l'organisation a une exposition en ligne : marque visible, dirigeants au profil public, e-commerce, actifs critiques accessibles depuis internet, secteur cible ransomware (industrie, santé, énergie, finance, secteur public).

Si l'organisation est B2B niche, sans marque publique, sans e-commerce, sans dirigeants visibles — la valeur des alertes est faible. Dans ce cas, un flux STIX/TAXII standard (capability 02) ou les advisories verticales (capability 03) produisent plus de valeur.

Vous n'êtes pas sûr ? Parlons-en. Si ce n'est pas nécessaire, nous vous le dirons.

Intégration

Le monitoring comme capteur avancé de la défense.

Les événements du monitoring alimentent la détection, l'intelligence et la gouvernance · ils ne restent pas dans un rapport isolé.

SOC · detection

Identifiants compromis → détection

Quand un log infostealer exposé contient des identifiants d'entreprise, le SOC reçoit une alerte prioritaire pour désactiver la session et forcer le reset.

Découvrir le SOC →
IR · early-warning

Pre-leak alert pour l'IR

Quand un domaine apparaît en countdown sur un leak site, l'équipe IR est activée en phase préventive pour le containment.

Contacter l'IR →
CTI · capability 01

Contexte acteur depuis le monitoring

Les traces dans le dark web alimentent les profils des acteurs — qui frappe quoi, comment, à quelle fréquence.

Découvrir TA Profiling →
CTI · capability sister

Les 6 autres capabilities du CTI

Threat Actor Profiling · TI Feed · Advisory · Executive Briefing · ASM · Brand Intelligence. Le monitoring est la capability 05 sur 7.

Voir toutes →
À porter au Conseil

Trois slides · l'exposition que le Conseil ne voit pas.

Le monitoring du dark web produit des données que le Conseil ne peut obtenir autrement. Trois slides pour en faire émerger la pertinence.

01 · Exposition actuelle

Combien d'événements détectés sur les 6 derniers mois · combien d'identifiants exposés · combien de dirigeants mentionnés · combien de fournisseurs sur leak site.

02 · L'adversaire

Qui frappe votre secteur (groupes ransomware, IAB, infostealers) · combien de fois avez-vous des récurrences indirectes (via fournisseurs, ex-employés).

03 · L'action

Combien d'incidents évités grâce au pre-warning (identifiants réinitialisés · domaines bloqués · dirigeants contactés pour coaching) · coût évité estimé.

Le pack « 3 slides Conseil » est disponible en format PDF · à demander séparément.

FAQ

Questions fréquentes sur le Dark Web Monitoring.

Que signifie le monitoring du deep & dark web ?

Il s'agit de la surveillance continue des sources criminelles non accessibles aux moteurs de recherche : marketplaces sur Tor, leak sites ransomware, forums underground, canaux Telegram de kit sellers et IAB, dumps de logs infostealer en vente, paste sites. Fortgale surveille plus de 50 leak sites ransomware actifs, plus des dizaines de marketplaces et des centaines de canaux Telegram, avec une couverture 24/7 automated + analyste OSINT.

Quels leak sites ransomware sont suivis ?

Tous les top groupes actifs en 2024-2026 : LockBit (post-Cronos), RansomHub, Akira, Medusa, Cl0p, BlackBasta, Play, INC, Hunters International, Qilin, et plus de 40 groupes mineurs. Tracking des annonces de leak, données publiées, channels de négociation, récurrences de victimes dans le secteur du client.

Comment fonctionne le monitoring des logs infostealer ?

Les infostealers (Lumma, RedLine, Vidar, StealC) volent des identifiants, cookies et tokens de session qui finissent en vente sur Russian Market, canaux Telegram et BreachForums-successor. Fortgale acquiert les logs marketplace, indexe par domaine client et signale en temps réel l'apparition d'identifiants d'entreprise ou d'actifs compromis.

Quelle est la différence avec les services standard de dark web monitoring ?

Les services standard effectuent des scans périodiques de quelques sources connues. Fortgale offre une couverture continue sur 50+ leak sites, 300+ canaux Telegram, des dizaines de forums underground, des marketplaces sur Tor/I2P et des dumps de logs infostealer, avec corrélation automatique à l'inventaire du client et contexte des acteurs. Pas un rapport brut : une alerte qualifiée avec une action requise.

Quelle est la rapidité d'arrivée d'une alerte ?

Pour les expositions sur leak site et les identifiants à haut privilège : alerte webhook en temps réel sous 5-15 minutes après détection. Pour les événements critiques (Critical severity), un analyste Fortgale appelle ou écrit sous 30 minutes. Pour les événements informational, digest quotidien ou hebdomadaire au choix du client.

Quand le dark web monitoring n'a-t-il PAS de sens ?

Si l'organisation a une marque peu visible en ligne, aucun actif critique accessible depuis internet, aucun dirigeant au profil public, pas d'e-commerce et pas de secteur cible ransomware. Dans ces cas, la valeur des alertes est faible. À l'inverse, si la marque est visible et le secteur est ciblé, le monitoring est l'un des moyens les plus cost-efficient d'intercepter les attaques avant la phase active.

Commencer par le monitoring

Qu'est-ce qu'on dit déjà de vous dans les bas-fonds ?

Demandez un scan gratuit de 30 jours · 5 domaines, 10 dirigeants, brand keywords. Nous restituons un rapport avec les événements réels détectés dans les canaux criminels · sans engagement.

Délai de réponse : < 1 jour ouvré.