🔍 Contexte

Publié le 31 mars 2026 par Group-IB, cet article documente une campagne active de distribution du Phantom Stealer, un infostealer commercial vendu sous forme de service (Stealer-as-a-Service), détectée et bloquée par la solution Business Email Protection de Group-IB.

🎯 Campagne observée

Entre novembre 2025 et janvier 2026, cinq vagues distinctes d’emails de phishing ont ciblé des organisations européennes dans les secteurs de la logistique, de la fabrication industrielle et de la technologie. Le même expéditeur usurpé — une société légitime de commerce d’équipements — a été utilisé tout au long de la campagne, avec rotation des lignes d’objet, des noms de pièces jointes et de l’infrastructure d’envoi.

📧 Caractéristiques des emails

  • Thématique procurement : sujets de type RFQ, INQ, ENQ, PO# avec codes alphanumériques
  • Corps court (2-3 phrases) avec signature professionnelle élaborée
  • Erreurs orthographiques récurrentes (“Incase”, “do not hesitate let us know”)
  • Pièces jointes archivées (.tar, .7z, .zip, .rar) contenant un dropper JavaScript obfusqué ou un exécutable malveillant
  • Échec SPF et absence de signature DKIM sur tous les emails

🦠 Phantom Stealer — Capacités techniques

  • Basé sur .NET, vendu commercialement dans le cadre du “Phantom Project” (stealer + crypter + RAT)
  • Collecte : mots de passe, cookies, autofill, cartes de paiement (Chrome, Firefox)
  • Extraction de sessions Discord, Telegram, Outlook
  • Capture des credentials Wi-Fi
  • Exfiltration via Telegram, Discord, SMTP ou FTP

🔗 Chaîne d’attaque

  1. Email de phishing avec pièce jointe archive
  2. Dropper JavaScript obfusqué ou exécutable malveillant
  3. Récupération du payload .NET en plusieurs étapes
  4. Exécution du stealer final et exfiltration des données

📌 Type d’article

Il s’agit d’une analyse de menace combinant étude de cas réel et présentation des capacités de détection de Group-IB (Business Email Protection + Malware Detonation Platform), visant à documenter le modus operandi de Phantom Stealer et à valoriser les solutions de l’éditeur.

🧠 TTPs et IOCs détectés

TTP

  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1566.010 — Phishing: Spearphishing with Archive (Initial Access)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
  • T1552.004 — Unsecured Credentials: Private Keys (Credential Access)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1598 — Phishing for Information (Reconnaissance)

IOC

  • IPv4 : 108.171.108.248
  • IPv4 : 216.131.75.250
  • IPv4 : 195.177.94.6
  • IPv4 : 213.209.157.187
  • IPv4 : 185.147.214.250
  • IPv4 : 216.131.77.250
  • IPv4 : 216.131.112.239
  • IPv4 : 104.36.180.119
  • Domaines : scxzswx.lovestoblog.com
  • Domaines : exczx.com

Malware / Outils

  • Phantom Stealer (stealer)
  • Phantom Project Crypter (loader)
  • Phantom Project RAT (rat)

🔗 Source originale : https://www.group-ib.com/blog/phantom-stealer-credential-theft/