Selon Cyble (CRIL), une campagne de phishing à large échelle, active depuis début 2026 et principalement hébergée sur l’infrastructure edgeone.app, exploite des leurres variés et les permissions navigateur pour capturer des données multimédia et de l’empreinte appareil, avec exfiltration via l’API Telegram.
🎯 Aperçu et infrastructure. Les pages malveillantes imitent des services connus (TikTok, Telegram, Instagram, Chrome/Google Drive, et des thèmes jeux comme Flappy Bird) et se présentent comme des portails de vérification ou de récupération. Les opérateurs hébergent de multiples modèles sur edgeone.app (EdgeOne Pages), ce qui facilite la rotation rapide d’URL et la haute disponibilité. Le C2 et la collecte sont simplifiés via l’API de bot Telegram (api.telegram.org), évitant un backend classique.
📸 Techniques et collecte de données. Après consentement de l’utilisateur, des scripts JavaScript initient un flux vidéo et capturent des images via canvas (ctx.drawImage, canvas.toBlob). Le framework réalise un fingerprinting étendu à l’aide d’API navigateur (navigator.userAgent, platform, deviceMemory, hardwareConcurrency, connection, getBattery) et enrichit la géolocalisation avec api.ipify.org et ipapi.co. Il enregistre des clips vidéo et de l’audio micro (MediaRecorder), exploite éventuellement l’API Contacts Picker (navigator.contacts.select) et envoie le tout à Telegram via sendPhoto, sendVideo, sendAudio. L’interface affiche des statuts factices (ex. Capturing photo, Sending to server) pour crédibiliser le flux.
💥 Impact et abus potentiels. La campagne dépasse le phishing d’identifiants en visant des données biométriques et contextuelles (photos, vidéos, audio, infos appareil, contacts, localisation). Ces éléments peuvent servir à l’usurpation d’identité, au contournement de vérifications vidéo/KYC, à des attaques de social engineering ciblées, à l’extorsion et aux prises de contrôle de comptes, avec des risques accrus pour particuliers et organisations (fraudes, dommages réputationnels, exposition réglementaire/AML).
🧪 Indices d’IA générative et recommandations. Les chercheurs notent des indices de génération assistée par IA (annotations structurées, emojis dans la logique du script). Cyble recommande notamment de restreindre les permissions caméra pour les sites inconnus, surveiller les flux vers api.telegram.org depuis les navigateurs, déployer des extensions anti-phishing, et monitorer les domaines liés à des kits de phishing.
📌 IOCs et TTPs. IOCs: référencés sur un dépôt GitHub (non inclus dans l’extrait). TTPs observés: leurres multi-marques, abus des permissions navigateur (caméra, micro, contacts), fingerprinting appareil via APIs navigateur, géolocalisation via services externes, exfiltration via Telegram Bot API, hébergement sur edgeone.app, UI trompeuse avec messages de statut, rotation de thèmes (ID Scanner, Telegram ID Freezing, Health Fund AI). Ce contenu est une analyse de menace visant à documenter la campagne, ses techniques et son impact.
🧠 TTPs et IOCs détectés
TTP
leurres multi-marques, abus des permissions navigateur (caméra, micro, contacts), fingerprinting appareil via APIs navigateur, géolocalisation via services externes, exfiltration via Telegram Bot API, hébergement sur edgeone.app, UI trompeuse avec messages de statut, rotation de thèmes (ID Scanner, Telegram ID Freezing, Health Fund AI)
IOC
domaine: edgeone.app, service: api.telegram.org
🔗 Source originale : https://cyble.com/blog/ai-assisted-phishing-campaign/