Ghostwriter : phishing Gmail et vol de 2FA contre la Pologne

Ghostwriter intensifie sa campagne de phishing contre les élites politiques polonaises

Le CERT Polska a publié le 17 juin 2026 une alerte détaillant l'ampleur et les méthodes de la campagne de phishing menée par le groupe UNC1151, également connu sous le nom de Ghostwriter, ciblant les comptes Gmail personnels de responsables politiques, fonctionnaires, journalistes et chercheurs en sécurité polonais. Actif depuis au moins 2017 et attribué par plusieurs gouvernements occidentaux aux services de renseignement biélorusses, ce groupe se distingue par des opérations d'influence combinant piratage informatique et diffusion de désinformation coordonnée.

La campagne actuelle, débutée en mars 2026, marque un pivot stratégique notable : Ghostwriter a délaissé ses cibles habituelles liées aux infrastructures gouvernementales formelles pour concentrer ses efforts sur les comptes de messagerie personnels de ses cibles. Ce choix est délibéré — les comptes Gmail professionnels des organisations gouvernementales bénéficient généralement de protections renforcées (Workspace Enterprise, Titan Security Keys imposées, CASB), tandis que les comptes personnels des mêmes individus restent souvent protégés uniquement par une authentification à deux facteurs par SMS ou application TOTP.

La mécanique du phishing utilisée par UNC1151 dans cette campagne est particulièrement soignée. Les victimes reçoivent un email imitant fidèlement une alerte de sécurité officielle Google, signalant une tentative de connexion suspecte depuis un pays étranger et invitant à vérifier l'activité du compte. L'email reproduit les codes visuels exacts des communications de Google (logo, palette de couleurs, mise en page) et est expédié depuis des domaines enregistrés sous des TLD peu surveillés (.icu, .digital, .top) présentés de manière à masquer l'adresse d'expéditeur réelle via des techniques de spoofing d'affichage.

Le lien contenu dans l'email redirige vers une page de faux login Google hébergée soit sur des plateformes légitimes abusées (Netlify en particulier), soit sur des sites web polonais compromis préalablement dont les vulnérabilités ont été exploitées à cet effet. Cette stratégie d'hébergement sur l'infrastructure légitime vise à contourner les filtres anti-phishing basés sur la réputation de domaine — une URL Netlify passera plus facilement les proxys sécurisés qu'un domaine enregistré la veille.

Ce qui distingue cette campagne des opérations de phishing de masse, c'est sa dimension en temps réel. Après que la victime saisit ses identifiants sur la fausse page Google, le kit de phishing les relaie immédiatement vers l'infrastructure des attaquants qui les utilisent pour se connecter au vrai compte Google de la cible. Google envoie alors un code 2FA légitime sur le téléphone de la victime. La fausse page invite simultanément la cible à saisir ce code, intercepté en quelques secondes avant son expiration, permettant aux attaquants de compléter le processus d'authentification malgré la protection 2FA. Cette technique dite AiTM (Adversary-in-The-Middle) rend inefficaces les codes TOTP (Google Authenticator, Authy) et les SMS de vérification.

Une fois le compte compromis, Ghostwriter procède méthodiquement. Les chercheurs de Recorded Future et du CERT Polska ont documenté une séquence d'exfiltration systématique : exportation complète des contacts Gmail, téléchargement des pièces jointes sensibles, recherche ciblée par mots-clés (noms de collègues, projets sensibles, informations budgétaires), puis réexpédition de courriels sensibles vers des adresses de collecte contrôlées par les attaquants avant de couvrir leurs traces en supprimant les logs d'activité récents.

Le rythme opérationnel de la campagne est notable : selon le CERT Polska, de nouveaux domaines de phishing apparaissent presque quotidiennement, principalement en semaine, ce qui suggère une équipe structurée travaillant selon des horaires de bureau. Depuis mars 2026, plus de 200 domaines ont été identifiés et signalés. Les profils ciblés — parlementaires, assistants de cabinet, journalistes d'investigation couvrant la Biélorussie et l'Ukraine, officiers de défense — dessinent une carte cohérente avec les objectifs stratégiques du renseignement biélorusse : surveiller les élites politiques polonaises, leurs positions sur la crise ukrainienne et les dynamiques internes du gouvernement.

Face à cette menace, le CERT Polska a émis plusieurs recommandations prioritaires. La mesure la plus efficace reste l'activation d'une clé de sécurité physique FIDO2/WebAuthn (YubiKey, Google Titan Key) comme second facteur : contrairement aux codes TOTP ou SMS, les clés FIDO2 sont liées cryptographiquement à l'origine du site web légitime et ne peuvent pas être interceptées par un proxy AiTM. Les organisations sont également invitées à déclarer immédiatement tout compte potentiellement compromis aux équipes de réponse aux incidents.

Pourquoi cette campagne illustre l'évolution des opérations APT contre les démocraties

La campagne de Ghostwriter contre les comptes Gmail polonais s'inscrit dans une tendance plus large observée depuis 2023 : les groupes APT liés à des États autoritaires privilégient de plus en plus le ciblage des comptes personnels de fonctionnaires et d'élus, plutôt que l'intrusion directe dans les systèmes informatiques gouvernementaux. Ce déplacement tactique répond à une logique simple — les défenses périmètriques des administrations ont considérablement progressé, mais les individus qui y travaillent conservent des habitudes numériques personnelles souvent insuffisamment protégées. Les données les plus sensibles transitent parfois davantage par les boîtes mail personnelles des décideurs que par les systèmes classifiés.

Pour les entreprises françaises, même si elles ne sont pas les cibles directes de cette campagne, les enseignements sont directs. Les cadres dirigeants, les responsables de business development actifs dans des zones géopolitiques sensibles, ou les avocats travaillant sur des dossiers d'arbitrage international constituent des profils d'intérêt pour des groupes similaires à Ghostwriter. La frontière entre espionnage étatique et espionnage économique s'est considérablement brouillée au cours des dernières années, et le phishing AiTM ciblant Gmail n'est plus réservé aux cibles gouvernementales.

D'un point de vue technique, cette campagne illustre l'obsolescence croissante du second facteur par SMS et TOTP face aux attaques AiTM sophistiquées. Des études récentes de Google et Microsoft indiquent que les clés FIDO2 constituent le seul second facteur résistant à 100% aux attaques de phishing en temps réel. Les organisations soumises à NIS2 ou gérant des données particulièrement sensibles (santé, défense, finance) devraient sérieusement envisager le déploiement de clés physiques pour leurs comptes à haut risque, y compris pour les comptes personnels des collaborateurs exposés.

Enfin, la dimension informationnelle des opérations de Ghostwriter mérite d'être soulignée. UNC1151 ne se contente pas de voler des données : le groupe utilise les accès compromis pour diffuser de la désinformation en se faisant passer pour des personnalités légitimes, injecter de faux documents dans des débats politiques, et amplifier des narratifs favorables aux intérêts biélorusses et russes. Cette combinaison hacking et désinformation représente une menace hybride qui dépasse le cadre purement technique et touche à la souveraineté informationnelle des démocraties ciblées.

Ce qu'il faut retenir

• Ghostwriter/UNC1151 cible depuis mars 2026 les comptes Gmail personnels de personnalités politiques polonaises via du phishing AiTM contournant le 2FA classique par SMS et TOTP.
• Les codes TOTP et SMS ne protègent pas contre ces attaques en temps réel : seules les clés FIDO2/WebAuthn offrent une résistance efficace au phishing de type AiTM.
• Les entreprises opérant dans des contextes géopolitiques sensibles doivent étendre leurs politiques d'authentification forte aux comptes personnels de leurs collaborateurs exposés.