Vercel détourné par des acteurs malveillants pour créer des pages de phishing via GenAI

📰 Source : Cofense Intelligence Blog, publié le 6 mai 2026, par Micah DeHarty (Intelligence Team).

Contexte

Cofense Intelligence documente une tendance croissante d’abus de la plateforme Vercel, un outil de développement web basé sur l’IA, à des fins de phishing de credentials. L’article s’appuie sur des observations issues de la base de données Active Threat Reports (ATR) de la plateforme ThreatHQ de Cofense.

Mécanisme d’abus

Vercel intègre un outil GenAI appelé v0[.]dev qui permet de générer des pages web fonctionnelles à partir de simples prompts textuels. Les acteurs malveillants exploitent cette fonctionnalité pour :

• Créer des pages de phishing visuellement et fonctionnellement réalistes imitant des marques connues (Microsoft, Spotify, Adidas, Nike, Ferrari, Louis Vuitton, Facebook, Google)
• Héberger ces pages directement sur l’infrastructure cloud de Vercel, sans avoir à maintenir leur propre serveur
• Redéployer rapidement de nouvelles pages si une page est supprimée
• Intégrer des bots Telegram via l’API Telegram Bot pour recevoir en temps réel les credentials saisis par les victimes

Campagnes documentées

• ATR 406705 : Usurpation d’une offre d’emploi Nike, redirigeant vers une fausse page de connexion Facebook ou Google
• ATR 403225 : Usurpation d’Adidas (page Careers) avec intégration Telegram Bot pour exfiltration de credentials
• ATR 402228 : Fausse page de connexion Microsoft avec détection et contournement d’outils d’analyse
• ATR 385870 : Usurpation de la page de connexion Spotify, suivie d’une demande de données bancaires

Facteurs aggravants

• Vercel propose un tier gratuit accessible sans compétences techniques avancées
• L’outil GenAI produit des outputs différents à chaque prompt, rendant la détection plus difficile
• Des intégrations avec AWS, Stripe et xAI sont également disponibles
• D’autres plateformes GenAI concurrentes sont mentionnées : DeepSite AI, BlackBox, FraudGPT, WormGPT
• L’usage malveillant de Vercel est en augmentation significative depuis 2022

Type d’article

Il s’agit d’une analyse de menace publiée par l’équipe CTI de Cofense, visant à documenter l’abus d’une plateforme légitime à des fins de phishing et à sensibiliser les équipes de sécurité à cette tendance émergente.

🧠 TTPs et IOCs détectés

TTP

• T1566.002 — Phishing: Spearphishing Link (Initial Access)
• T1056.003 — Input Capture: Web Portal Capture (Collection)
• T1583.006 — Acquire Infrastructure: Web Services (Resource Development)
• T1608.005 — Stage Capabilities: Link Target (Resource Development)
• T1557 — Adversary-in-the-Middle (Collection)
• T1598.003 — Phishing for Information: Spearphishing Link (Reconnaissance)

IOC

• Domaines : v0.dev — VT · URLhaus · ThreatFox

Malware / Outils

• FraudGPT (other)
• WormGPT (other)
• Telegram Bot API (tool)

🟢 Indice de vérification factuelle : 66/100 (haute)

• ✅ cofense.com — source reconnue (Rösti community) (20pts)
• ✅ 13984 chars — texte complet (fulltext extrait) (15pts)
• ✅ 1 IOC(s) (6pts)
• ⬜ 0/1 IOCs confirmés externellement (0pts)
• ✅ 6 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://cofense.com/blog/steal-smarter-not-harder-malicious-use-of-vercel-for-credential-phishing