Selon un billet technique d’Olezka Global (blog, 19 janvier 2026), Starkiller représente une génération de plateformes criminelles de Phishing-as-a-Service (PhaaS) conçues pour contourner les défenses modernes plutôt que mimer des attaques datées.
L’article explique que Starkiller se présente comme une infrastructure de phishing “enterprise-grade”: au lieu de pages HTML statiques, elle s’appuie sur des navigateurs réels en conteneurs, ce qui rend le rendu JavaScript, les en-têtes de sécurité et les politiques CSP authentiques, déjouant les heuristiques de « fausses pages » et les outils qui ne détectent pas l’abus de sessions légitimes.
Le cœur de la menace est un proxy d’authentification permettant la capture d’identifiants, l’interception MFA en temps réel et l’extraction de cookies/tokens de session pour rejouer des sessions authentifiées. Du point de vue de la victime, l’authentification (MFA compris) semble normale, tandis que l’opérateur obtient un accès complet à la session, montrant que MFA n’arrête pas le hameçonnage mais seulement la réutilisation d’identifiants sans détournement de session.
Des capacités avancées incluent la surveillance de sessions en direct, l’enregistrement de flux d’authentification, la capture de frappes/formulaires, la pivotation en cours d’interaction et l’injection de charges ultérieures. Les leurres assistés par IA produisent des messages contextuels et adaptés au rôle (ex. politiques RH, litiges de factures, partages de documents, fils de discussion en cours) qui imitent le ton, la marque et les systèmes internes, rendant obsolètes les formations axées sur les fautes d’orthographe et les modèles figés.
Côté infrastructure, l’écosystème PhaaS opère à la fois sur clear-net et dark-net, avec rotation rapide de domaines, hébergement bulletproof et juridictions permissives, souvent sous une intégration verticale (logiciel, hébergement, monétisation) pour résister aux démantèlements. L’article oppose la réalité adversaire aux exigences de conformité (NIST/ISO/SOC), et plaide pour une défense fondée sur la connaissance du tradecraft criminel et des tests en continu alignés sur l’adversaire, illustrée par des recommandations techniques (identité, email/web, endpoint, formation, tests) listées en fin de billet.
IOC observés (extraits de l’article, à des fins de sensibilisation uniquement) :
- starkiller.su
- panel.starkiller.su
- starkiller.su/superadmin
- jinkusu.systems
TTPs mis en avant :
- Phishing via navigateurs réels conteneurisés pour un rendu et des comportements authentiques
- Proxy d’authentification avec interception MFA, vol de cookies/tokens et rejeu de session
- Surveillance live des sessions, keylogging, capture de formulaires, enregistrement de flux et injection en temps réel
- Leurres générés par IA contextuels et adaptés au rôle/cycle de travail
- Infrastructure résiliente: clear-net + onion, churn de domaines, hébergement bulletproof, juridictions permissives
Il s’agit d’une analyse de menace dont l’objectif principal est la sensibilisation technique aux capacités PhaaS modernes, sans promotion ni mode d’emploi.
🧠 TTPs et IOCs détectés
TTP
[‘Phishing via navigateurs réels conteneurisés pour un rendu et des comportements authentiques’, ‘Proxy d’authentification avec interception MFA, vol de cookies/tokens et rejeu de session’, ‘Surveillance live des sessions, keylogging, capture de formulaires, enregistrement de flux et injection en temps réel’, ‘Leurres générés par IA contextuels et adaptés au rôle/cycle de travail’, ‘Infrastructure résiliente: clear-net + onion, churn de domaines, hébergement bulletproof, juridictions permissives’]
IOC
[‘starkiller.su’, ‘panel.starkiller.su’, ‘starkiller.su/superadmin’, ‘jinkusu.systems’]
🔗 Source originale : https://olezkaglobal.com/blog/starkiller-and-the-reality-of-phishing-as-a-service