🔍 Contexte

Publié le 29 avril 2026 par Varonis Threat Labs (source : varonis.com/blog/bluekit), cet article présente une analyse technique approfondie de Bluekit, un nouveau kit de phishing commercial découvert et examiné de l’intérieur par les chercheurs de Varonis.

🧰 Description de Bluekit

Bluekit se distingue des kits de phishing traditionnels par son modèle tout-en-un regroupant dans un seul panneau opérateur :

  • 40+ templates de sites couvrant messagerie (iCloud, Apple ID, Gmail, Outlook, Hotmail, Yahoo, ProtonMail), développeurs (GitHub), réseaux sociaux (Twitter), retail (Zara), crypto (Ledger), cloud (Zoho)
  • Achat et enregistrement automatisé de domaines
  • Support 2FA, spoofing, émulation de géolocalisation
  • Notifications Telegram et navigateur
  • Antibot et cloaking anti-analyse
  • Add-ons : assistant IA, clonage vocal, mail sender

🖥️ Fonctionnalités du panneau opérateur

Les chercheurs ont obtenu un accès direct au kit et ont documenté :

  • Un dashboard centralisé pour la création de sites, la gestion de domaines et les logs capturés
  • Un flux de création de site avec sélection de domaine, mode et template
  • Des contrôles granulaires : détection de login, comportement de redirection, filtres de devices, options de spoofing
  • Une vue Mammoth Details trackant l’état de session, les dumps de cookies et le stockage local du navigateur — indiquant une capacité de vol de session au-delà de la simple capture de credentials
  • Telegram comme canal d’exfiltration par défaut

🤖 Assistant IA intégré

Bluekit embarque un AI Assistant exposant plusieurs modèles :

  • Modèle par défaut : Llama ablitéré (version sans garde-fous)
  • Options commerciales listées : GPT-4.1, Claude Sonnet 4, Gemini, DeepSeek (nécessitant une configuration supplémentaire non disponible lors des tests)

Lors des tests avec un scénario de phishing ciblant un CISO (leurre MFA Microsoft 365), l’assistant a produit un squelette de campagne structuré mais incomplet, avec des placeholders génériques plutôt qu’un contenu prêt à l’emploi.

📈 Positionnement dans l’écosystème

Bluekit est décrit comme un kit en développement actif, avec une cadence de mises à jour rapide. Comparé à des kits plus matures, il reste moins automatisé, mais son évolution continue le rend susceptible d’apparaître dans de futures campagnes.

📄 Type d’article

Il s’agit d’une analyse technique publiée par Varonis Threat Labs, dont le but principal est de documenter les capacités et le fonctionnement interne du kit Bluekit pour informer la communauté CTI.

🧠 TTPs et IOCs détectés

TTP

  • T1566 — Phishing (Initial Access)
  • T1056.003 — Input Capture: Web Portal Capture (Collection)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1598 — Phishing for Information (Reconnaissance)
  • T1583.001 — Acquire Infrastructure: Domains (Resource Development)
  • T1036 — Masquerading (Defense Evasion)
  • T1557 — Adversary-in-the-Middle (Credential Access)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)

Malware / Outils

  • Bluekit (other)

🟡 Indice de vérification factuelle : 40/100 (moyenne)

  • ⬜ varonis.com — source non référencée (0pts)
  • ✅ 6983 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 8 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.varonis.com/blog/bluekit