🔍 Contexte

Publié le 7 mai 2026 par l’équipe SOCRadar Threat Research, ce rapport constitue la première documentation publique d’Operation HookedWing, une campagne de phishing active depuis 2022 et non attribuée à ce jour à un acteur connu.

🎯 Ciblage et victimologie

La campagne a compromis plus de 2 500 victimes uniques réparties dans plus de 500 organisations à travers le monde. Les secteurs les plus touchés sont :

  • Aviation / Voyage (~28%)
  • Gouvernement / Administration publique (~16%)
  • Énergie / Pétrole (~12%)
  • Logistique / Transport (~10%)
  • Finance / Banque (~8%)

Géographiquement, les victimes se concentrent en Afrique subsaharienne et Asie du Sud (Nigeria, Népal, Ouganda, Sri Lanka, Sénégal). Le ciblage suit les corridors aériens stratégiques reliant l’Afrique, le Golfe Persique, l’Asie du Sud et l’Asie du Sud-Est.

🛠️ Modus operandi

La chaîne d’attaque se déroule en quatre phases :

  1. Email de phishing : leurres RH, Microsoft ou Google avec un lien intégrant l’email victime dans le fragment URL (#user@domain) pour éviter la journalisation côté GitHub
  2. Landing page : hébergée sur github.io (ou Vercel, on-fleek.app), simulant un portail Microsoft Outlook avec un préchargeur CSS/SVG animé
  3. Injection de formulaire : le formulaire de capture de credentials est injecté dynamiquement depuis le C2 via PHP (jamais présent statiquement), personnalisé avec l’email et le nom de l’organisation de la victime
  4. Capture de credentials : POST vers le C2 incluant email, mot de passe, IP, géolocalisation complète (via ipdata.co), user-agent et URL source — stockés dans list.txt

🏗️ Infrastructure

  • Couche 1 (distribution) : +100 domaines github.io, plus Vercel et on-fleek.app
  • Couche 2 (C2) : +22 domaines, majoritairement des serveurs légitimes compromis (Pakistan, Brésil, Chili, Sénégal, Afghanistan) sous le chemin /genl/, plus quelques domaines enregistrés par l’acteur
  • Variable clé : window.stef.srv_loc encodée en base64 dans srv.js
  • Fichier de logs : list.txt accessible via directory listing dans certains cas

🔄 Variantes identifiées

Campagne Architecture Particularité
Campaign 1 Injection dynamique C2 Namespace stef, path /genl/
Campaign 1.5 Identique à C1 Branding livraison de colis
Campaign 2 jQuery + AJAX direct Screenshot via thum.io, redirection OneDrive
Campaign 3 HTML statique Clone AAD/Azure, path /login.php

🕵️ Techniques d’évasion

  • Fragment URL non transmis aux logs serveur
  • Séparation distribution/payload (aucun formulaire dans le code statique)
  • Chemins C2 encodés en base64
  • Réutilisation de serveurs légitimes (réputation héritée)
  • Validation d’accès : exécution stoppée sans # et @ dans l’URL
  • Mécanisme de fausse erreur pour double soumission des credentials

📄 Type d’article

Rapport de recherche CTI détaillé publié par SOCRadar, visant à documenter pour la première fois cette opération, cartographier son infrastructure et fournir des IoCs et TTPs MITRE ATT&CK exploitables.

🧠 TTPs et IOCs détectés

TTP

  • T1589.002 — Gather Victim Identity Information: Email Addresses (Reconnaissance)
  • T1583.001 — Acquire Infrastructure: Domains (Resource Development)
  • T1584.001 — Compromise Infrastructure: Domains (Resource Development)
  • T1584.006 — Compromise Infrastructure: Web Services (Resource Development)
  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1546 — Event Triggered Execution (Persistence)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1036 — Masquerading (Defense Evasion)
  • T1556 — Modify Authentication Process (Defense Evasion)
  • T1056.003 — Input Capture: Web Portal Capture (Credential Access)
  • T1598 — Phishing for Information (Credential Access)
  • T1185 — Browser Session Hijacking (Collection)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1102 — Web Service (Command and Control)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)

IOC

  • Domaines : google-file-document.github.ioVT · URLhaus · ThreatFox
  • Domaines : file-712.github.ioVT · URLhaus · ThreatFox
  • Domaines : excel-file-document-2024.github.ioVT · URLhaus · ThreatFox
  • Domaines : onedrive1-preview.github.ioVT · URLhaus · ThreatFox
  • Domaines : archived-document-file-2026.github.ioVT · URLhaus · ThreatFox
  • Domaines : bc1qxy2kgdygjrsqtzq2n0yrf2493.github.ioVT · URLhaus · ThreatFox
  • Domaines : e578eb340bebd4fe6q.github.ioVT · URLhaus · ThreatFox
  • Domaines : pdf-viewer-online.github.ioVT · URLhaus · ThreatFox
  • Domaines : microsoft-file.github.ioVT · URLhaus · ThreatFox
  • Domaines : restriction-de-compte-serveur-2025.github.ioVT · URLhaus · ThreatFox
  • SHA256 : 632705d808341aedb0f8ee2f1fa1e2d0a765e6373379111cb86cb9438407cb25VT · MalwareBazaar
  • SHA256 : 557ff81c43c01b13c9743be96a19090aebec31f7104d77ea578b779b99bf4e4eVT · MalwareBazaar
  • Fichiers : srv.js
  • Fichiers : list.txt
  • Chemins : /genl/
  • Chemins : /hl/
  • Chemins : /zm/
  • Chemins : /login.php
  • Chemins : /bss/
  • Chemins : /New.php

Malware / Outils

  • HookedWing Phishing Kit (other)

🟢 Indice de vérification factuelle : 70/100 (haute)

  • ⬜ socradar.io — source non référencée (0pts)
  • ✅ 54046 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 20 IOCs dont des hashes (15pts)
  • ✅ 3/5 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 16 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • google-file-document.github.io (domain) → VT (14/92 détections)
  • file-712.github.io (domain) → VT (6/92 détections)
  • excel-file-document-2024.github.io (domain) → VT (7/92 détections)

🔗 Source originale : https://socradar.io/blog/operation-hookedwing-4-year-phishing/