Operation HookedWing. Czteroletnia kampania phishingowa pokazuje siłę cierpliwej infrastruktury

2026-05-12

TL;DR

Operation HookedWing pokazuje, że phishing nie zawsze jest krótką kampanią, która znika po kilku dniach. Według SOCRadar mówimy o aktywności trwającej ponad cztery lata, obejmującej ponad 500 organizacji i ponad 2 000 przechwyconych poświadczeń. W części odzyskanych logów pojawia się również ponad 2 500 unikalnych ofiar. Wśród sektorów wskazywane są między innymi lotnictwo, infrastruktura krytyczna, energia, finanse, administracja publiczna, logistyka i technologia.

Najważniejsza lekcja nie dotyczy jednej domeny ani jednego szablonu. Dotyczy cierpliwie rozwijanej infrastruktury, która wykorzystuje GitHub, skompromitowane serwery, przekierowania, motywy Microsoft i Outlook oraz personalizację strony pod organizację ofiary.

To może zdarzyć się także w Polsce. Nie dlatego, że każda firma korzysta z tych samych domen, ale dlatego, że mechanizm jest uniwersalny: legalna platforma jako pośrednik, fałszywe logowanie, znany brand i przejęcie tożsamości.

Długi phishing jest trudniejszy niż głośny phishing

Wiele organizacji reaguje na phishing wtedy, gdy kampania jest głośna. Pojawia się nagły wzrost wiadomości, szybkie ostrzeżenie, blokada domeny i komunikat do użytkowników. Operation HookedWing pokazuje inny model: kampania może działać latami, zmieniać infrastrukturę, rozwijać przynęty i utrzymywać rdzeń techniczny.

To bardzo niewygodne dla obrony. Jeżeli atakujący nie stawia wszystkiego na jedną krótką falę, tylko buduje powtarzalny proces, zwykłe reagowanie domena po domenie jest za słabe. Organizacja musi rozpoznawać wzorzec, nie tylko pojedynczy adres.

W praktyce oznacza to analizę motywów, łańcucha przekierowań, używanych platform, zachowania landing page, sposobu zbierania danych i tego, co dzieje się po przejęciu poświadczeń.

W polskiej firmie podobna kampania może wyglądać jak zwykła wiadomość o dokumencie, pliku, portalu Microsoft 365, SharePoint, OneDrive, Teams albo Outlook. Pierwszy link może prowadzić przez znaną platformę, a dopiero kolejny etap kończyć się fałszywym logowaniem.

GitHub jako warstwa wiarygodności

Jednym z ważnych elementów Operation HookedWing jest wykorzystanie GitHub i innych zaufanych lub skompromitowanych miejsc jako części infrastruktury. To nie jest przypadek. Link do GitHub wygląda inaczej niż losowa domena z dziwnym rozszerzeniem. W organizacjach technologicznych, administracyjnych i przemysłowych GitHub może być normalnym elementem pracy albo przynajmniej rozpoznawalną marką.

Atakujący zyskuje na tym dwa razy. Po pierwsze, użytkownik może mniej obawiać się kliknięcia. Po drugie, część filtrów i zespołów bezpieczeństwa traktuje legalne platformy ostrożniej, bo ich całkowite blokowanie mogłoby utrudnić pracę.

To podobny mechanizm do tego, który opisaliśmy przy phishingu z użyciem powiadomień SaaS. Problemem nie jest sama platforma. Problemem jest przeniesienie zaufania z platformy na proces, który atakujący pod nią podpiął.

Dla organizacji w Polsce to szczególnie ważne, bo blokowanie całych platform bywa nierealne. GitHub, Google, Microsoft, Vercel, Dropbox, Jira czy inne usługi mogą być potrzebne w pracy. Obrona musi więc oceniać kontekst i końcowy efekt, a nie tylko pierwszą domenę.

Personalizacja przed formularzem

Szczególnie interesujący jest element personalizacji. SecurityWeek opisuje, że landing pages symulowały zachowanie Microsoft Outlook przez pełnoekranowy preloader i personalizowały tekst widoczny dla ofiary na podstawie organizacji. To drobny szczegół, ale bardzo ważny psychologicznie.

Użytkownik, który widzi nazwę swojej organizacji albo kontekst pasujący do wcześniejszej wiadomości, może uznać, że trafił do właściwego procesu. Zaufanie buduje się jeszcze przed formularzem logowania. Dopiero potem pojawia się pole na e-mail i hasło.

To dobry przykład, dlaczego nie wolno mierzyć phishingu wyłącznie estetyką strony. Dobrze zrobiony phishing nie musi wyglądać idealnie. Wystarczy, że na chwilę zredukuje wątpliwości użytkownika i da mu poczucie ciągłości procesu.

W polskim środowisku ten sam zabieg może polegać na użyciu nazwy firmy, domeny, logotypu, działu, projektu albo systemu, z którego pracownik rzeczywiście korzysta. Im bardziej strona wygląda jak przedłużenie znanej czynności, tym łatwiej o wpisanie danych.

Dlaczego Microsoft i Outlook wracają tak często

Motywy Microsoft i Outlook pojawiają się w kampaniach credential phishing nie bez powodu. Credential phishing oznacza phishing nastawiony na kradzież danych logowania, najczęściej loginu, hasła albo tokenów sesji. Konto Microsoft 365 jest dziś kluczem do poczty, dokumentów, Teams, SharePoint, OneDrive, kalendarza, kontaktów i często do logowania SSO.

SSO, czyli single sign-on, oznacza logowanie jednokrotne do wielu usług. Z punktu widzenia wygody to dobre rozwiązanie. Z punktu widzenia atakującego przejęcie takiego konta może otworzyć dostęp do wielu systemów naraz.

Po uzyskaniu poświadczeń przestępca może próbować logowania, przejęcia sesji, ustawienia reguł pocztowych, rozsyłania kolejnych wiadomości, rozpoznania relacji biznesowych albo sprzedaży dostępu innym grupom. Dlatego kampania, która zaczyna się od zwykłego formularza, może skończyć się incydentem tożsamościowym.

To dobrze łączy się z materiałem o phishingu omijającym MFA w modelu AiTM. MFA, czyli uwierzytelnianie wieloskładnikowe, nadal jest ważne, ale nie kończy tematu. W kampaniach tożsamościowych trzeba patrzeć także na sesje, urządzenia, reguły pocztowe i zachowanie po logowaniu.

Co firmy powinny zmienić

Pierwsza zmiana dotyczy filtrowania linków. Legalna platforma w URL nie powinna automatycznie obniżać ryzyka. GitHub, Google, Microsoft, Vercel, Jira, Dropbox czy inne znane usługi mogą być elementem kampanii. Detekcja musi patrzeć na kontekst, przekierowania i końcowy formularz, nie tylko na reputację pierwszej domeny.

Druga zmiana dotyczy monitorowania logowań. Jeśli kampania kradnie poświadczenia, obrona nie kończy się na usunięciu wiadomości. Trzeba wykrywać nietypowe logowania, nowe urządzenia, niestandardowe lokalizacje, aktywność po godzinach, nowe reguły pocztowe i próby dostępu do danych.

Trzecia zmiana dotyczy korelacji. C2, czyli command and control, to infrastruktura, przez którą atakujący odbiera dane i steruje elementami kampanii. Jeżeli firma widzi powtarzalne wzorce przekierowań, podobne landing pages, powiązane domeny C2 i nietypowe logowania, powinna traktować to jako jedną kampanię, a nie kilka oderwanych incydentów.

Czwarta zmiana dotyczy awareness. Użytkownicy powinni rozumieć, że zaufana platforma pośrednia nie gwarantuje bezpieczeństwa. Link może zaczynać się niewinnie, a kończyć na fałszywym formularzu. Dlatego liczy się cały proces, a nie pierwszy element łańcucha.

Jak ćwiczyć taki scenariusz

Dobry scenariusz testowy nie powinien wyglądać jak oczywisty spam. Może udawać informację HR, powiadomienie od współpracownika, wiadomość z systemu albo dokument wymagający logowania. Może używać pośredniego linku do legalnej platformy i dopiero później prowadzić do fałszywego logowania.

Mierzyć trzeba kilka decyzji: czy użytkownik kliknął, czy zauważył zmianę kontekstu, czy wpisał hasło, czy zgłosił wiadomość i czy zespół bezpieczeństwa potrafił szybko powiązać zgłoszenie z logami. O tym piszemy szerzej w materiale Testy phishingowe dla firm. Jak sprawdzić realną odporność pracowników, a nie tylko kliknięcia.

W takim scenariuszu ważne jest też sprawdzenie działań po przejęciu konta. Czy organizacja wykrywa nowe reguły pocztowe. Czy widzi logowania z nietypowych lokalizacji. Czy potrafi wymusić reset sesji. Czy ma proces sprawdzania, do jakich danych konto miało dostęp.

Wniosek

Operation HookedWing jest ciekawy nie dlatego, że używa jednej przełomowej techniki. Jest ciekawy dlatego, że pokazuje siłę konsekwencji. Przez lata można utrzymywać kampanię, zmieniać infrastrukturę, wykorzystywać legalne platformy i kraść poświadczenia z wielu sektorów.

Dla organizacji najważniejsza lekcja jest prosta: phishing nie kończy się na wiadomości. To proces, który może obejmować zaufaną platformę, personalizowaną stronę, formularz, geolokalizację, przejęcie konta i późniejsze działania na tożsamości. Obrona też musi być procesem.