Le 8 octobre 2025, des chercheurs en cybersécurité ont découvert une campagne d’hameçonnage sophistiquée ciblant plusieurs organisations liées aux efforts de secours et de reconstruction de l’Ukraine. La campagne, identifiée sous le nom de PhantomCaptcha, s’adressait aux organisations humanitaires, notamment le bureau ukrainien du Fonds des Nations Unies pour l’enfance (UNICEF), le Conseil norvégien pour les réfugiés, le Registre des dommages pour l’Ukraine du Conseil de l’Europe et les administrations gouvernementales régionales de Donetsk, Dnipropetrovsk, Poltava et Mykolaïv.
Les chercheurs ont SentinelOne rapporté que les attaquants ont exploité de faux messages de recrutement et usurpé des communications officielles, avec des fichiers PDF piégés et de faux liens qui ont conduit les victimes vers des chevaux de Troie d’accès à distance (RAT) malveillants. La campagne combine l’ingénierie sociale et les logiciels malveillants avancés de manière particulièrement ciblée.
La campagne a principalement utilisé des courriels bien conçus qui semblaient provenir du bureau du président ukrainien, entre autres sources faisant autorité. Les e-mails joignaient des documents PDF avec un lien intégré. Lorsque le lien a été cliqué, il a redirigé la victime vers une fausse page « captcha » (zoomconference.app) se faisant passer pour une plateforme de vidéoconférence légitime. Cette page a ensuite déclenché une connexion WebSocket à un serveur distant et installé une commande PowerShell entraînant l’installation d’un logiciel malveillant.
Une fois que la victime a exécuté la commande PowerShell, le téléchargeur de première étape a récupéré une charge utile secondaire à partir d’un serveur distant. Cette charge utile s’est avérée être un RAT spécialisé basé sur WebSocket, installé sur une infrastructure contrôlée par l’attaquant. Ce logiciel malveillant a donné à l’acteur malveillant un contrôle à distance total, permettant le vol de fichiers, la surveillance et le déploiement ultérieur de la charge utile.
Il est intéressant de noter que le faux domaine à l’origine de l’appât de la vidéoconférence n’a été actif qu’une seule journée avant de disparaître, contrairement à plusieurs mois de travail de préparation, y compris les enregistrements de domaines en mars 2025. Cela suggère une sécurité opérationnelle élevée et une planification à long terme de la part des attaquants.
Les groupes d’aide sont devenus des cibles
Ce ne sont pas des victimes aléatoires. Les parties ciblées sont des organisations opérant dans ou soutenant des régions touchées par la guerre en Ukraine avec une exposition internationale importante, des flux financiers et des données sur les donateurs. L’accès à leurs réseaux pourrait fournir aux attaquants des renseignements précieux ou un levier pour d’autres intrusions.
Les chercheurs ont souligné qu’en pénétrant dans un groupe d’aide, les attaquants pouvaient recueillir des informations telles que des listes de donateurs, de la correspondance gouvernementale, des dossiers financiers et des données de projet. Ces actifs sont attrayants à la fois pour l’espionnage et la criminalité financière. Et étant donné que certaines des cibles opèrent dans des régions impliquées dans le conflit avec la Russie, l’intrusion peut servir des objectifs stratégiques plus larges au-delà du simple vol.
Ce qui rend cette campagne unique
Contrairement aux campagnes de phishing de masse qui diffusent des milliers d’e-mails, l’attaque PhantomCaptcha semble très ciblée et adaptée. L’enregistrement initial du domaine a eu lieu vers le 27 mars 2025, ce qui suggère des mois de reconnaissance avant la frappe proprement dite. L’infrastructure de l’attaquant comprenait également « princess-mens.click », un domaine utilisé pour fournir des applications de collecte Android capables de collecter la géolocalisation, les contacts, les journaux d’appels, les médias et les applications installées des victimes.
L’utilisation de technologies Web majeures telles que WebSockets pour le RAT, les pages d’interception d’apparence légitime et les chaînes PowerShell sans informations d’identification montre que les attaquants étaient à l’aise avec l’ingénierie sociale, les scripts légers et la furtivité. La combinaison de faux liens Zoom et de pages CAPTCHA a créé à la fois un sentiment d’urgence et de légitimité, deux ingrédients clés d’un hameçonnage réussi.
Ce que les organisations devraient faire maintenant
Pour les organisations humanitaires, les organisations à but non lucratif et toute entité opérant dans des zones de conflit ou de secours, cette attaque offre plusieurs leçons :
- Vérifiez soigneusement les e-mails de recrutement, en particulier s’ils proviennent de domaines inconnus ou contiennent des pièces jointes.
- N’activez jamais les macros, n’autorisez pas l’exécution de scripts et ne cliquez jamais sur des liens provenant de documents reçus de manière inattendue, même de contacts de confiance.
- Surveillez les enregistrements d’appareils, les configurations d’applications d’authentification et les connexions WebSocket à grande échelle pour détecter les signaux entrants inhabituels.
- Traitez les plateformes de vidéoconférence et les systèmes de dons comme des vecteurs d’attaque potentiels, et pas seulement comme des outils de communication interne.
- Effectuez des audits réguliers des appareils, des journaux proxy et de l’activité des terminaux pour détecter les signes d’intrusion asymétrique (n’oubliez pas que les attaquants peuvent apparaître comme des utilisateurs légitimes).
Lorsque les enjeux sont importants, la cybersécurité doit progresser en conséquence. Les attaquants ne recherchent plus seulement le gain financier. Ils infiltrent les organisations en combinant l’ingénierie sociale individuelle et les logiciels malveillants personnalisés. Cela exige que les défenseurs passent de tactiques « préventives massives » à des stratégies de « réponse sur mesure ».
La campagne PhantomCaptcha prouve que même les institutions de confiance travaillant dans des rôles humanitaires restent exposées au risque d’attaques complexes. Le recours à des plateformes d’apparence légitime comme Zoom et à de fausses vérifications CAPTCHA dans le cloud montre comment une infrastructure que les gens supposent sûre peut se retourner contre eux. Se défendre dans cet environnement est une question de vérification constante, et non de supposition.