Phishing kit CoGUI richt zich op Japanse bedrijven voor financieel gewin

Japanse autoriteiten hebben onlangs details gepubliceerd over een toename van phishingactiviteit gericht op financiële organisaties. Het doel van de dreigingsactoren is om toegang te krijgen tot de accounts van slachtoffers voor financieel gewin, en in de meeste gevallen om illegale winsten te gebruiken om Chinese aandelen te kopen. Proofpoint-onderzoekers noemen deze phishing kit CoGUI en zien een opmerkelijke toename van grootschalige campagnes in Japan. De meeste waargenomen campagnes misbruiken populaire consumenten- of betaalmerken in phishing lokmiddelen, waaronder Amazon, PayPay en Rakuten. In april 2025 werden lokmiddelen met als thema tarieven gebruikt, naar aanleiding van recente aankondigingen van de Amerikaanse overheid.

Dreigingsactoren verspreiden de CoGUI phishkit door middel van een groot aantal berichten, gericht op Japanse organisaties. Volgens de data is Japan hierdoor een van de meest aangevallen landen op basis van campagnevolume. Grootschalige phishing gericht op Japan is echter niet nieuw. In 2020 publiceerde Proofpoint een rapport over Japanse phishing campagnes gericht op Japan met behulp van vergelijkbare technieken.

Proofpoint kan niet bevestigen of het aankopen van Chinese aandelen gerelateerd is aan CoGUI, maar het is een mogelijke uitkomst van credential phishing. Onderzoekers observeerden meer financiële CoGUI-campagnes in april 2025, na de wederzijdse tariefaankondiging door de Amerikaanse overheid. Sommige CoGUI-campagnes maakten gebruik van lokmiddelen met als thema tarieven.

Campagne details

CoGUI is een kit die gebruik maakt van geavanceerde ontwijkingstechnieken, waaronder geofencing, header fencing en fingerprinting, om detectie door geautomatiseerde browsersystemen en sandboxes te vermijden. Deze methoden stellen de kit in staat om selectief specifieke geografische regio’s te targeten en tegelijkertijd beveiligingsmaatregelen te ontwijken. Dit maakt het een aanzienlijke bedreiging voor potentiële slachtoffers in de beoogde landen.

De campagnes omvatten doorgaans een groot aantal berichten, variërend van honderdduizenden tot tientallen miljoenen per campagne. Campagnes zijn tijdsgebonden reeksen gerelateerde activiteiten. In het geval van CoGUI omvatten deze doorgaans activiteiten die gedurende drie tot vijf dagen worden uitgevoerd.

De meeste CoGUI-campagnes doen zich voor als Amazon, maar het onderzoek toont aan dat de dreigingsactor zich voordoet als betaalkaarten, transportkaarten, populaire banken, retailers zoals Rakuten en Apple, en de Japanse nationale belastingdienst.

De waargenomen campagnes bevatten URL’s in de berichten die, indien gefilterd, leiden tot credential phishing websites. Opmerkelijk is dat waargenomen CoGUI-campagnes geen mogelijkheden bevatten om multifactor authenticatie- (MFA) credentials te verzamelen. MFA-verzamelingsmogelijkheden komen standaard voor in de meest frequent waargenomen e-mail credential phishing-services. Het is dus ongebruikelijk dat een dergelijke veelvoorkomende kit deze functie niet bevat.

Best practices om phishing te bestrijden

Phishing kits gebruiken lokmiddelen die vertrouwde merken en diensten nabootsen. Zo vergroten ze de kans dat gebruikers op de URL-payloads klikken. Deze lokmiddelen creëren vaak een gevoel van urgentie om een taak te voltooien. Hierbij presenteert de URL een handige manier voor het slachtoffer om deze taak snel af te ronden. Om deze gevaarlijke maar vaak succesvolle lokmiddelen te bestrijden, is het belangrijk om niet onmiddellijk op links te klikken.

Neem de tijd, bezoek de officiële website van de dienst en log in om de beweringen van de lokmiddelen verder te onderzoeken. Organisaties worden geadviseerd om gebruikers voor te lichten over phishing die populaire merken imiteert en dit te melden aan IT-teams wanneer dit wordt waargenomen. Ook wordt geadviseerd om multifactor authenticatie te implementeren voor alle applicaties en diensten. Voor volledige bescherming tegen MFA-phishing worden FIDO (Fast IDentity Online) of andere fysieke beveiligingstokens aanbevolen. Deze voorzichtige aanpak vermindert de gevolgen van het exfiltreren van gebruikerscredentials en betalingsinformatie.

Lees hier het volledige onderzoek.