🔍 Contexte

Publié le 7 mai 2026 par la Push Security Research Team, cet article présente les résultats d’une infiltration directe de panels de phishing criminels actifs, liés aux groupes ShinyHunters (UNC6240) et BlackFile (UNC6671), dans le cadre de campagnes hybrides de vishing et phishing AiTM actives depuis août 2025.

🎯 Campagnes et victimes confirmées

Les attaques ciblent des centaines d’organisations dans les secteurs financier, technologique, crypto, santé, hôtellerie et aviation privée. Des violations publiquement confirmées incluent :

  • SoundCloud (30 millions de records)
  • Match Group (Hinge, OkCupid, Match.com — 10+ millions de records)
  • Betterment (20 millions de records)
  • Crunchbase
  • Revendications sur Bumble, CarMax, Panera Bread, Harvard, University of Pennsylvania

🛠️ Fonctionnement du panel Doko’s Panel

Le panel central, Doko’s Panel, est nommé d’après l’alias Telegram de son développeur. Il cible Google, Microsoft Entra, Okta, Abra, Coinbase, Gemini et Kraken. Le flux d’attaque est :

  1. Appel vocal spoofant le helpdesk IT de la cible
  2. Redirection vers un domaine de phishing (combosquatting)
  3. Anti-bot gate (spinner de chargement)
  4. Acceptation manuelle de la victime par l’opérateur
  5. Capture des credentials et OTP via Telegram
  6. Capture de session authentifiée (AiTM manuel)
  7. Redirection vers une page bénigne

Composants techniques clés : client.js (fonction pingServer() POST vers /backend.php toutes les secondes), sendTelegramMessage() / sendtg(), backend.php, j.php.

🔀 Variantes et clusters d’infrastructure

4 clusters distincts ont été identifiés :

  • Cluster A (UNC6661/ShinyHunters) : Doko’s Panel standard, registrar NiceNIC, hébergement Mevspace (AS201814), patterns <target>internal.com, <target>sso.com
  • Cluster B (UNC6671/BlackFile) : variante heartbeat/check_redirect, registrar Tucows/Njalla, hébergement Njalla (AS39287)
  • Cluster C : évolution du Cluster B avec protection Cloudflare Turnstile, patterns subdomain (<target>.passkeysetup.com)
  • Cluster D : variante minifiée, hébergement Cloudflare (AS13335), faible volume

Le panel revampé d’avril 2026 ciblant Microsoft 365 ajoute des capacités : instructions de réunion Teams (Meeting ID + Passcode), pages MFA pour Duo et Okta, et une invite d’exécution de commande (mshta pour exécuter un fichier HTA distant).

🤖 Indicateurs d’utilisation de LLM

Des artefacts LLM (commentaires verbeux, header NOTES FOR NEXT SESSION, duplication de requêtes incohérente) indiquent que le tooling est développé par des acteurs peu expérimentés via du “vibe-coding”, abaissant la barrière d’entrée.

📊 Type d’article

Il s’agit d’une publication de recherche à visée CTI, documentant l’accès direct à des infrastructures criminelles actives, l’analyse technique des panels et la cartographie des clusters d’infrastructure.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1566 — Phishing (Initial Access)
  • T1598 — Phishing for Information (Reconnaissance)
  • T1557 — Adversary-in-the-Middle (Credential Access)
  • T1621 — Multi-Factor Authentication Request Generation (Credential Access)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1598.003 — Phishing for Information: Spearphishing Link (Reconnaissance)
  • T1204.001 — User Execution: Malicious Link (Execution)
  • T1113 — Screen Capture (Collection)
  • T1119 — Automated Collection (Collection)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1566.004 — Phishing: Spearphishing Voice (Initial Access)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1218.005 — System Binary Proxy Execution: Mshta (Defense Evasion)
  • T1583.001 — Acquire Infrastructure: Domains (Resource Development)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)

IOC

  • Domaines : mydropboxinternal.comVT · URLhaus · ThreatFox
  • Domaines : myxerointernal.comVT · URLhaus · ThreatFox
  • Domaines : amazoninternal.comVT · URLhaus · ThreatFox
  • Domaines : mydisneysso.comVT · URLhaus · ThreatFox
  • Domaines : epicgamessso.comVT · URLhaus · ThreatFox
  • Domaines : myadyeninternal.comVT · URLhaus · ThreatFox
  • Domaines : mysonossso.comVT · URLhaus · ThreatFox
  • Domaines : sonosinternal.comVT · URLhaus · ThreatFox
  • SHA256 : 8a01bcb70ec1c101a163c9cb8e074781c1322096f7ae01789f02252854def44cVT · MalwareBazaar
  • SHA256 : f574b6e6b3a968cda5f51bec2c090d8eb095fbcfc383314f94bc15676a0d6692VT · MalwareBazaar
  • SHA256 : c0df36ccf88d5c8434b13b58f7a55a9715643a126148b9d078a93075d09cad26VT · MalwareBazaar
  • SHA256 : d178dc7108fa9344dae28e350e810352e9e874563496dc7876ee628b11b0eabbVT · MalwareBazaar
  • SHA256 : 9c0939960e49122196e44b6779fe55dd7a13ab437ce251c8cf35f8c6daf8be21VT · MalwareBazaar
  • SHA256 : e8128b33259f7ea4313c942689ba0ba557f17b1474f2e621c62a5b77674fab86VT · MalwareBazaar
  • SHA256 : cb1d409278b2247af23e7b00ac779b232baaf4ce5f63fdf5ebc3920a38cc6102VT · MalwareBazaar
  • SHA256 : 9d65dd34384b441505e6b67647153c02d5c367bb53da36ce36a392e70b37940aVT · MalwareBazaar
  • Fichiers : client.js
  • Fichiers : backend.php
  • Fichiers : j.php
  • Fichiers : api_FyekIDWY.php

Malware / Outils

  • Doko’s Panel (other)
  • Lord Mensius’s Panel (other)

🟢 Indice de vérification factuelle : 75/100 (haute)

  • ⬜ pushsecurity.com — source non référencée (0pts)
  • ✅ 23557 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 20 IOCs dont des hashes (15pts)
  • ✅ 3/6 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 16 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : ShinyHunters, BlackFile, UNC6661 (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • mydropboxinternal.com (domain) → VT (14/92 détections)
  • myxerointernal.com (domain) → VT (14/92 détections)
  • amazoninternal.com (domain) → VT (15/92 détections)

🔗 Source originale : https://pushsecurity.com/blog/inside-criminal-phishing-panel