🔍 Contexte

Publié le 18 juin 2026 par Group-IB, cet article présente les résultats d’une investigation sur une campagne de phishing baptisée GitBait, ciblant au moins 12 institutions financières opérant au Mexique, active depuis environ trois ans.

🎯 Description de la campagne

La campagne repose sur une architecture entièrement serverless combinant :

  • GitHub Pages comme plateforme d’hébergement des pages de phishing
  • L’API SheetBest pour l’exfiltration des credentials vers des Google Sheets contrôlées par les attaquants
  • Un bot Telegram comme méthode d’exfiltration alternative pour certaines cibles

Les pages de phishing imitent visuellement les portails de banque en ligne légitimes et collectent : noms d’utilisateur, identifiants clients, mots de passe et données de cartes de paiement via un flux multi-étapes.

🛠️ Caractéristiques techniques

  • Kit de phishing modulaire avec sélecteur interne de campagnes permettant de cibler dynamiquement plusieurs institutions depuis une infrastructure unique
  • JavaScript obfusqué chargé externalement via des chemins aléatoires pour contourner la détection statique
  • Plus de 100 domaines associés, chacun hébergeant plusieurs pages sur différentes routes (/cancelacion/, /soporte/, /mb1/)
  • Utilisation de métadonnées Open Graph pour générer des aperçus de liens convaincants dans les messageries (WhatsApp, Telegram, SMS)
  • Balise <meta name="robots" content="noindex, nofollow"> confirmant une distribution exclusivement par lien direct
  • Stack frontend identique : Bootstrap 5.3.3, Google Fonts (Kanit, Play), déploiement via Jekyll + GitHub Actions

👥 Opérateurs identifiés

L’analyse des commits GitHub a révélé 5 comptes opérateurs avec des adresses email associées :

  • ss-soporte / rronromo@gmail.com (actif depuis jan. 2025)
  • ce-soporte / jejrvsbdb@gmail.com
  • soporte-s1 / jejrvsbdb@gmail.com (même opérateur)
  • soporte-<BRAND>01 / yoli.bahena69@gmail.com
  • <BRAND>-soperte12 / genarool505@gmail.com (actif depuis mars 2026)

📊 Infrastructure d’exfiltration

Six endpoints SheetBest distincts ont été identifiés, tous résolvant vers l’IP 159.89.254.93:443, centralisant la collecte de credentials pour plusieurs templates de phishing.

📰 Nature de l’article

Il s’agit d’une publication de recherche technique de Group-IB visant à documenter une campagne active, partager des IoCs exploitables et sensibiliser les institutions financières mexicaines et les équipes CTI.

🧠 TTPs et IOCs détectés

TTP

  • T1566 — Phishing (Initial Access)
  • T1583.006 — Acquire Infrastructure: Web Services (Resource Development)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1056.003 — Input Capture: Web Portal Capture (Collection)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1102 — Web Service (Command and Control)
  • T1608.005 — Stage Capabilities: Link Target (Resource Development)
  • T1534 — Internal Spearphishing (Lateral Movement)
  • T1585.001 — Establish Accounts: Social Media Accounts (Resource Development)

IOC

Malware / Outils

  • Phishing Kit GitBait (other)

🟡 Indice de vérification factuelle : 60/100 (moyenne)

  • ✅ group-ib.com — source reconnue (liste interne) (20pts)
  • ✅ 30861 chars — texte complet (15pts)
  • ✅ 47 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ 0/7 IOCs confirmés externellement (0pts)
  • ✅ 9 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.group-ib.com/blog/gitbait-phishing-mexico-banking-finance-es/

🖴 Archive : https://web.archive.org/web/20260618070944/https://www.group-ib.com/blog/gitbait-phishing-mexico-banking-finance-es/