🎯 Contexte

Publié le 12 juin 2026 par CERT Polska, cet article documente une campagne de phishing active menée par le groupe UNC1151/Ghostwriter, l’un des groupes APT les plus actifs surveillés par l’équipe. La campagne cible les comptes Gmail de citoyens polonais depuis mars 2026, marquant une évolution par rapport aux campagnes précédentes qui visaient les fournisseurs de messagerie polonais (Onet, Wirtualna Polska, Interia).

👥 Victimes ciblées

Le groupe cible un spectre très large de victimes :

  • Personnalités politiques et de la vie publique
  • Chercheurs et journalistes
  • Employés de l’administration publique et des forces de l’ordre
  • Traducteurs et experts judiciaires
  • Proches (familiaux ou sociaux) des personnes précédentes

🔧 Mécanisme d’attaque

Les attaquants envoient des emails frauduleux en polonais imitant des communications officielles de l’administrateur Gmail, invoquant des activités suspectes, des tentatives de connexion non autorisées ou des violations des conditions d’utilisation. Les messages utilisent fréquemment le mécanisme BCC (Blind Carbon Copy).

Les liens redirigent vers de faux panneaux de connexion Gmail hébergés sur des domaines dédiés ou des sous-domaines Netlify. La page de phishing capture :

  1. L’adresse email et le mot de passe
  2. Les codes 2FA (SMS ou Google Authenticator) via un formulaire supplémentaire affiché en temps réel

Les attaquants tentent une connexion automatique dès la saisie des identifiants. En cas d’échec, ils envoient de nouveaux messages de phishing.

🏗️ Infrastructure

L’infrastructure est dynamique et repose sur :

  • Domaines dédiés sous TLDs .icu, .digital, .top, .biz
  • Abus de la plateforme Netlify (*.netlify.app)
  • Sites web compromis d’organisations polonaises (sans modification de la page principale)

Exemples de domaines identifiés :

  • mailverify.digital
  • check-mail-verify.biz
  • verify-check.digital
  • monitoring-google-konta.netlify.app
  • konta-24weryfikacja.netlify.app
  • service-auth.netlify.app

📧 Exemples d’expéditeurs utilisés

Les comptes Gmail créés pour la campagne incluent : mailnotify24@gmail.com, mailersupport24@gmail.com, support.security.inf@gmail.com, monitoring.konta@gmail.com, walidacjagrupapocztowa@gmail.com, naruszen.detekcja@gmail.com, serwis.pomoc.techniczna@gmail.com.

📌 Nature de l’article

Il s’agit d’une analyse de menace publiée par CERT Polska, visant à documenter les techniques, l’infrastructure et les indicateurs de compromission associés à la campagne UNC1151/Ghostwriter ciblant Gmail en Pologne.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1556.006 — Modify Authentication Process: Multi-Factor Authentication (Credential Access)
  • T1598.003 — Phishing for Information: Spearphishing Link (Reconnaissance)
  • T1586.002 — Compromise Accounts: Email Accounts (Resource Development)
  • T1583.001 — Acquire Infrastructure: Domains (Resource Development)
  • T1583.006 — Acquire Infrastructure: Web Services (Resource Development)
  • T1584.004 — Compromise Infrastructure: Server (Resource Development)
  • T1114 — Email Collection (Collection)

IOC

  • Domaines : mailverify.digitalVT · URLhaus · ThreatFox
  • Domaines : check-mail-verify.bizVT · URLhaus · ThreatFox
  • Domaines : verify-check.digitalVT · URLhaus · ThreatFox
  • Domaines : monitoring-google-konta.netlify.appVT · URLhaus · ThreatFox
  • Domaines : konta-24weryfikacja.netlify.appVT · URLhaus · ThreatFox
  • Domaines : service-auth.netlify.appVT · URLhaus · ThreatFox
  • Emails : mailnotify24@gmail.com
  • Emails : mailersupport24@gmail.com
  • Emails : support.security.inf@gmail.com
  • Emails : monitoring.konta@gmail.com
  • Emails : walidacjagrupapocztowa@gmail.com
  • Emails : naruszen.detekcja@gmail.com
  • Emails : serwis.pomoc.techniczna@gmail.com

🟢 Indice de vérification factuelle : 87/100 (haute)

  • ✅ cert.pl — source reconnue (liste interne) (20pts)
  • ✅ 9494 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 13 IOCs (IPs/domaines/CVEs) (10pts)
  • ✅ 2/3 IOCs confirmés (ThreatFox, URLhaus, VirusTotal) (12pts)
  • ✅ 10 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : UNC1151, Ghostwriter (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • mailverify.digital (domain) → VT (18/91 détections)
  • check-mail-verify.biz (domain) → VT (21/91 détections)

🔗 Source originale : https://cert.pl/en/posts/2026/06/UNC1151-gmail-campaign/