Contexte: Selon Hunt.io, une campagne coordonnée attribuée à APT Sidewinder cible des organismes gouvernementaux et militaires avec des pages de connexion Zimbra factices.

L’acteur mène une campagne de phishing de grande ampleur contre des institutions en Bangladesh, Népal, Turquie et Pakistan, en usurpant l’identité d’agences publiques et de sous-traitants de défense afin de collecter des identifiants. Les pages trompeuses imitent des portails Zimbra et s’appuient sur des services d’hébergement gratuits (Netlify, Pages.dev). 🎯

Côté infrastructure, la collecte des identifiants est centralisée autour de deux domaines principaux — avec plus d’une douzaine de domaines de phishing identifiés — et met en oeuvre des chemins de collecte redondants et une infrastructure de secours, illustrant une bonne OPSEC de l’acteur. Les domaines de collecte résolvent vers une même adresse IP et exploitent des techniques de spoofing de sous-domaines pour paraître légitimes.

Sur le plan technique, les pages de phishing utilisent des requêtes POST vers des endpoints PHP dédiés (par ex. /2135.php, /idef.php, /dgdp12.php) pour l’exfiltration des identifiants. Le déploiement suit un modèle par gabarits, répliqué sur les plateformes d’hébergement gratuites, facilitant la multiplication rapide des leurres.

IOC(s):

  • Domaines de collecte: mailbox3-inbox1-bd.com, mailbox-inbox-bd.com
  • Adresse IP: 146.70.118.226
  • Endpoints d’exfiltration: /2135.php, /idef.php, /dgdp12.php
  • Plateformes d’hébergement utilisées: Netlify, Pages.dev

TTP(s):

  • Usurpation de portails Zimbra pour le hameçonnage
  • Collecte d’identifiants via formulaires et POST vers scripts PHP
  • Spoofing de sous-domaines pour se faire passer pour des portails officiels
  • Infrastructure centralisée avec chemins redondants et sauvegarde
  • Déploiement par gabarits sur des services gratuits pour une diffusion à grande échelle

Type d’article: analyse de menace. But principal: documenter l’infrastructure et les techniques de la campagne d’APT Sidewinder et partager des IOC/TTPs pour la connaissance de la menace.

🧠 TTPs et IOCs détectés

TTPs

[‘Usurpation de portails Zimbra pour le hameçonnage’, “Collecte d’identifiants via formulaires et POST vers scripts PHP”, ‘Spoofing de sous-domaines pour se faire passer pour des portails officiels’, ‘Infrastructure centralisée avec chemins redondants et sauvegarde’, ‘Déploiement par gabarits sur des services gratuits pour une diffusion à grande échelle’]

IOCs

{‘domaines’: [‘mailbox3-inbox1-bd.com’, ‘mailbox-inbox-bd.com’], ‘ip’: ‘146.70.118.226’, ’endpoints’: [’/2135.php’, ‘/idef.php’, ‘/dgdp12.php’], ‘plateformes’: [‘Netlify’, ‘Pages.dev’]}

🔗 Source originale : https://hunt.io/blog/apt-sidewinder-netlify-government-phishing

🖴 Archive : https://web.archive.org/web/20250810204813/https://hunt.io/blog/apt-sidewinder-netlify-government-phishing