Prowadzona od ponad czterech lat kampania phishingowa pociągnęła za sobą setki ofiar w wielu branżach, o czym informuje SOCRadar.

Autor: 3 min czytania

Mowa o Operation HookedWing – kampanii, która po raz pierwszy została udokumentowana w 2022 roku i mimo upływu czasu nadal pozostaje aktywna. Dostosowuje swoją infrastrukturę, zachowując jednocześnie w dużej mierze te same podstawowe schematy działania.

W ciągu czterech lat skradziono ponad 2000 zestawów danych uwierzytelniających użytkowników z ponad 500 organizacji działających w sektorach lotnictwa i turystyki, infrastruktury krytycznej, energetyki, finansów, administracji rządowej, logistyki, administracji publicznej oraz technologii.

W latach 2022–2024 Operation HookedWing wykorzystywała jako swoje zaplecze domeny GitHub z treściami w języku angielskim oraz przejęte serwery, a ataki opierały się głównie na motywach związanych z Microsoftem i Outlookiem.

W latach 2024 i 2025 cyberprzestępcy rozszerzyli zakres działań o treści w języku francuskim, nadal wykorzystując GitHuba, przejęte serwery oraz wcześniej obserwowane motywy phishingowe.

Od 2025 roku grupa rozszerzyła zarówno aktywną infrastrukturę, jak i wachlarz stosowanych przynęt, maskując nazwy domen GitHub, dodając nowe motywy oraz wdrażając dodatkowe strony docelowe.

SOCRadar zidentyfikował przeszło dwadzieścia serwerów command-and-control (C&C) powiązanych z Operation HookedWing, a także ponad 100 domen GitHub i ponad tuzin domen dystrybucyjnych na innych platformach.

„Analiza odzyskanych logów i zidentyfikowanej infrastruktury ujawnia wzorzec ataków, który nie jest przypadkowy, ponieważ koncentruje się na infrastrukturze o wysokim znaczeniu geopolitycznym”– podaje SOCRadar.

„Dobór ofiar sugeruje szczególne zainteresowanie środowiskami posiadającymi dostęp do wrażliwych informacji, krytycznych operacji lub kont o wysokich uprawnieniach, które mogą zostać sprzedane lub wykorzystane przez innych przeciwników” – dodaje firma.

Operation HookedWing opiera się na wysyłaniu wiadomości phishingowych imitujących różnego rodzaju powiadomienia albo podszywających się pod dział HR czy współpracowników. Wiadomości mają prostą strukturę i są zaprojektowane tak, aby wywoływać poczucie pilności bez wzbudzania podejrzeń.

Wiele e-maili zawiera linki do repozytoriów GitHub. Część z nich prowadzi do pośrednich stron hostowanych na innych platformach. Strony docelowe imitują działanie Outlooka poprzez pełnoekranowy ekran ładowania i personalizują wyświetlany tekst w zależności od organizacji ofiary.

„To wprowadza istotny element behawioralny. Jeśli ofiara obserwuje ekran ładowania i widzi nazwę swojej organizacji lub coś związanego z wcześniejszym e-mailem, wzmacnia to wiarygodność środowiska jeszcze przed pojawieniem się formularza” – zauważa SOCRadar.

W międzyczasie skrypt działający w tle wykonuje walidację adresu e-mail i URL, wstrzykuje formularz PHP z wcześniej wypełnionymi polami do zbierania danych logowania ofiary oraz pobiera dane geolokalizacyjne użytkownika.

Gdy ofiara kliknie przycisk logowania na stronie, atakujący „otrzymuje w jednym rekordzie adres e-mail, hasło, adres IP, pełną geolokalizację, źródłowy URL oraz domenę organizacji ofiary” – wyjaśniają badacze.