Campagne de smishing mondiale : 1 628 URLs malveillantes ciblant 19 pays sur 3 continents

🌍 Contexte

Publié le 27 mai 2026 par Hunt.io, cet article présente les résultats d’une investigation sur une vaste campagne de smishing (phishing par SMS) initialement détectée via un avertissement de sécurité du portail gouvernemental roumain Ghișeul.ro (7 mai 2026). L’enquête a révélé une opération coordonnée à l’échelle mondiale.

📊 Ampleur de la campagne

• 1 628 URLs malveillantes confirmées actives dans 19 pays (Europe, Amériques, Caucase)
• 32 adresses IP backend réparties sur 6 régions géographiques
• Un identifiant de campagne unique de 128 caractères (39dabeddef7c2f0806110b305bd8ca7307c13ac987e7c64fc1d46752868a258958eba99f16413f522a4961dfb09565983 36fc258794664ccc9f71f25e8f688c5) présent dans le HTML de chaque page
• Infrastructure hébergée sur : Tencent Cloud (15 IPs), Cloudflare CDN (14 IPs), Alibaba Cloud (3 IPs), ALEXHOST Moldova (2 IPs)

🎯 Secteurs et entités ciblés

🔬 Analyse technique

Deux templates de phishing distincts :

• Template 1 (SPA Vue.js) : Application monopage moderne avec obfuscation HTML via des centaines de balises <span> aléatoires. Assets identiques sur tous les domaines : B0cMf6vN.js, DNINFtUF.js, Vx8ldEBt.css
• Template 2 (Bootstrap 3.x) : Clone scrappé directement du site légitime Ghișeul.ro, ciblant les fraudes aux péages

Processus d’attaque en 4 étapes :

1. Établissement de confiance : Réplique convaincante du portail officiel avec badge SSL et branding officiel
2. Création d’urgence : Génération de fausses amendes routières avec numéros de dossier, dates et montants fictifs (420 lei)
3. Collecte de données : Harvesting complet des données de carte bancaire (numéro 16 chiffres, expiration, CVV)
4. Exfiltration : Faux écran de chargement “SE ÎNCARCĂ…” pendant l’exfiltration des données

TLDs privilégiés : .lat, .shop, .cyou, .bond, .sbs, .cfd — registrar principal : Dynadot

Typosquatting : Variantes délibérées de “ghiseul” (ghisaul, ghiseal, ghizeul, ghisiul)

🏗️ Infrastructure

• Serveurs Tencent Cloud actifs depuis juin 2025 (persistance opérationnelle ~1 an)
• Deux IPs Cloudflare anycast (104.21.16[.]182, 104.21.34[.]64) associées à des domaines portant des signatures Tactical RMM et Cobalt Strike (non liés directement à cette campagne)
• Serveurs ALEXHOST Moldova avec ports inhabituels 887/888 (potentiels panneaux de contrôle)
• Complexité juridictionnelle délibérée via l’usage combiné de Tencent Cloud et Alibaba Cloud

📌 Type d’article

Il s’agit d’une publication de recherche à visée CTI, documentant méthodologie d’investigation, infrastructure technique et IOCs d’une campagne de smishing active, avec pour objectif de fournir des pivots de détection exploitables aux équipes de sécurité.

🧠 TTPs et IOCs détectés

TTP

• T1566.004 — Phishing: Spearphishing via Service (SMS) (Initial Access)
• T1598 — Phishing for Information (Reconnaissance)
• T1056.003 — Input Capture: Web Portal Capture (Collection)
• T1583.001 — Acquire Infrastructure: Domains (Resource Development)
• T1583.003 — Acquire Infrastructure: Virtual Private Server (Resource Development)
• T1584.004 — Compromise Infrastructure: Server (Resource Development)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
• T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)

IOC

• IPv4 : 43.160.242.3 — AbuseIPDB · VT · ThreatFox
• IPv4 : 43.160.221.174 — AbuseIPDB · VT · ThreatFox
• IPv4 : 43.160.250.19 — AbuseIPDB · VT · ThreatFox
• IPv4 : 43.157.17.77 — AbuseIPDB · VT · ThreatFox
• IPv4 : 43.157.122.50 — AbuseIPDB · VT · ThreatFox
• IPv4 : 43.157.64.211 — AbuseIPDB · VT · ThreatFox
• IPv4 : 43.165.4.234 — AbuseIPDB · VT · ThreatFox
• IPv4 : 43.157.25.170 — AbuseIPDB · VT · ThreatFox
• IPv4 : 43.165.3.200 — AbuseIPDB · VT · ThreatFox
• IPv4 : 43.165.4.68 — AbuseIPDB · VT · ThreatFox
• IPv4 : 43.165.1.208 — AbuseIPDB · VT · ThreatFox
• IPv4 : 43.165.62.39 — AbuseIPDB · VT · ThreatFox
• IPv4 : 43.157.91.129 — AbuseIPDB · VT · ThreatFox
• IPv4 : 43.153.72.244 — AbuseIPDB · VT · ThreatFox
• IPv4 : 43.173.74.207 — AbuseIPDB · VT · ThreatFox
• IPv4 : 47.245.142.76 — AbuseIPDB · VT · ThreatFox
• IPv4 : 47.91.88.57 — AbuseIPDB · VT · ThreatFox
• IPv4 : 47.254.147.205 — AbuseIPDB · VT · ThreatFox
• IPv4 : 80.96.58.119 — AbuseIPDB · VT · ThreatFox
• IPv4 : 80.96.58.68 — AbuseIPDB · VT · ThreatFox
• Domaines : ghiseul-ro.shop — VT · URLhaus · ThreatFox
• Domaines : ghiseul-ro.sbs — VT · URLhaus · ThreatFox
• Domaines : ghiseul.cfd — VT · URLhaus · ThreatFox
• Domaines : ghiseulro.cyou — VT · URLhaus · ThreatFox
• Domaines : ghiseul-ro.cfd — VT · URLhaus · ThreatFox
• Domaines : ghiseul.eu.cc — VT · URLhaus · ThreatFox
• Domaines : ghiseul-ro.bond — VT · URLhaus · ThreatFox
• Domaines : ghiseul.govro.one — VT · URLhaus · ThreatFox
• Domaines : ghiseul-ro.cyou — VT · URLhaus · ThreatFox
• Domaines : ghiseul.cyou — VT · URLhaus · ThreatFox
• Domaines : ghiseul.autos — VT · URLhaus · ThreatFox
• Domaines : ghisaul.lat — VT · URLhaus · ThreatFox
• Domaines : ghiseal.lat — VT · URLhaus · ThreatFox
• Domaines : ghizeul.lat — VT · URLhaus · ThreatFox
• Domaines : ghisiul.lat — VT · URLhaus · ThreatFox
• Domaines : ghiseal.lat — VT · URLhaus · ThreatFox
• Domaines : hoiatustrahv.politsei.gov-ee.bond — VT · URLhaus · ThreatFox
• Domaines : sumin.lrv-lt.shop — VT · URLhaus · ThreatFox
• Domaines : roadpolice-am.icu — VT · URLhaus · ThreatFox
• Domaines : roadpolice-am.shop — VT · URLhaus · ThreatFox
• Domaines : roadspolice.lat — VT · URLhaus · ThreatFox
• Domaines : govl.lat — VT · URLhaus · ThreatFox
• Domaines : gove.lat — VT · URLhaus · ThreatFox
• Domaines : govk.lat — VT · URLhaus · ThreatFox
• Domaines : govsi.bar — VT · URLhaus · ThreatFox
• Domaines : gov-si.xin — VT · URLhaus · ThreatFox
• Domaines : govh.lat — VT · URLhaus · ThreatFox
• Domaines : govo.lat — VT · URLhaus · ThreatFox
• Domaines : govj.lat — VT · URLhaus · ThreatFox
• Domaines : gov-si.sbs — VT · URLhaus · ThreatFox
• Domaines : gov-si.qpon — VT · URLhaus · ThreatFox
• Domaines : gov-si.cam — VT · URLhaus · ThreatFox
• Domaines : e-uprava.gov-si.shop — VT · URLhaus · ThreatFox
• Domaines : mvrcc.lat — VT · URLhaus · ThreatFox
• Domaines : mvr.lat — VT · URLhaus · ThreatFox
• Domaines : mvri.lat — VT · URLhaus · ThreatFox
• Domaines : mvrbg.ink — VT · URLhaus · ThreatFox
• Domaines : mvrbg.sbs — VT · URLhaus · ThreatFox
• Domaines : mvrx.lat — VT · URLhaus · ThreatFox
• Domaines : mvrbg.life — VT · URLhaus · ThreatFox
• Domaines : e-csddlv.top — VT · URLhaus · ThreatFox
• Domaines : e.csdd.govlv.cam — VT · URLhaus · ThreatFox
• Domaines : dpde.lat — VT · URLhaus · ThreatFox
• Domaines : dpdlv.bond — VT · URLhaus · ThreatFox
• Domaines : dpd-lv.top — VT · URLhaus · ThreatFox
• Domaines : seur-rmvxq.club — VT · URLhaus · ThreatFox
• Domaines : seur-hxrz.org — VT · URLhaus · ThreatFox
• Domaines : seur-fghij.org — VT · URLhaus · ThreatFox
• Domaines : seur-bcdef.cc — VT · URLhaus · ThreatFox
• Domaines : seur-cztwp.club — VT · URLhaus · ThreatFox
• Domaines : seur-fqlap.cyou — VT · URLhaus · ThreatFox
• Domaines : seur-zkryw.cloud — VT · URLhaus · ThreatFox
• Domaines : seur-rxkmd.cyou — VT · URLhaus · ThreatFox
• Domaines : seur-hijkl.cc — VT · URLhaus · ThreatFox
• Domaines : seur-yzabc.com — VT · URLhaus · ThreatFox
• Domaines : seur-jwqec.link — VT · URLhaus · ThreatFox
• Domaines : fanveris.cyou — VT · URLhaus · ThreatFox
• Domaines : mvr-gov-mk.cyou — VT · URLhaus · ThreatFox
• Domaines : mvr.govmk.one — VT · URLhaus · ThreatFox
• Domaines : mvr.govmk.cam — VT · URLhaus · ThreatFox
• Domaines : dpd.ie-com.vip — VT · URLhaus · ThreatFox
• Domaines : vodafaone.shop — VT · URLhaus · ThreatFox
• Domaines : tesco-redeem-check.bond — VT · URLhaus · ThreatFox
• Domaines : worldmartonline.com — VT · URLhaus · ThreatFox
• Domaines : gobal-store-hub.shop — VT · URLhaus · ThreatFox
• Domaines : dsvag.sbs — VT · URLhaus · ThreatFox
• Domaines : dsvav.cfd — VT · URLhaus · ThreatFox
• Domaines : dsvxk.cyou — VT · URLhaus · ThreatFox
• Domaines : dsvcv.cfd — VT · URLhaus · ThreatFox
• URLs : http://ghiseul-ro.shop/ — URLhaus
• URLs : http://ghiseul-ro.sbs/ — URLhaus
• URLs : http://ghiseul.cfd/pay — URLhaus
• URLs : https://www.ghiseulro.cyou/ro/ — URLhaus
• URLs : https://www.ghiseul-ro.cfd/ghiseul/public/ — URLhaus
• URLs : http://ghiseul.eu.cc/pay — URLhaus
• URLs : https://www.ghiseul-ro.bond/ghiseul/public/ — URLhaus
• URLs : https://www.ghiseul.govro.one/ghiseul/public/ — URLhaus
• URLs : http://ghiseul-ro.cyou/ — URLhaus
• URLs : https://ghiseul.cyou/pay — URLhaus
• URLs : https://ghiseul.autos/ro/ — URLhaus
• URLs : http://ghisaul.lat/ro — URLhaus
• URLs : https://ghiseal.lat/ro/ — URLhaus
• URLs : https://ghizeul.lat/ro/ — URLhaus
• URLs : https://ghisiul.lat/ro/ — URLhaus
• URLs : https://ghiseal.lat/ro/#/index — URLhaus
• Fichiers : B0cMf6vN.js
• Fichiers : DNINFtUF.js
• Fichiers : Vx8ldEBt.css

Malware / Outils

• Cobalt Strike (framework)
• Tactical RMM (tool)

🟢 Indice de vérification factuelle : 65/100 (haute)

• ⬜ hunt.io — source non référencée (0pts)
• ✅ 31603 chars — texte complet (fulltext extrait) (15pts)
• ✅ 108 IOCs (IPs/domaines/CVEs) (10pts)
• ✅ 5/9 IOCs confirmés (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (15pts)
• ✅ 9 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• 43.160.221.174 (ip) → VT (5/91 détections)
• 43.160.250.19 (ip) → VT (5/91 détections)
• ghiseul-ro.shop (domain) → VT (13/91 détections)
• ghiseul-ro.sbs (domain) → VT (16/91 détections)
• ghiseul.cfd (domain) → VT (14/91 détections)

🔗 Source originale : https://hunt.io/blog/massive-smishing-campaign-governments-postal-telecoms