Cybersecurity-onderzoekers hebben details bekendgemaakt van een phishing-campagne waarbij de aanvallers legitieme, door Google gegenereerde berichten nabootsen door de Application Integration-service van Google Cloud te misbruiken om e-mails te verspreiden.
Deze activiteit maakt volgens Check Point gebruik van het vertrouwen dat is gekoppeld aan de Google Cloud-infrastructuur om de berichten vanaf een legitiem e-mailadres (“noreply-application-integration@google(.)com”) te verzenden, zodat ze traditionele e-mailbeveiligingsfilters kunnen omzeilen en een grotere kans hebben om in de inbox van gebruikers terecht te komen.
“De e-mails bootsen routinematige bedrijfsmeldingen na, zoals voicemailwaarschuwingen en bestandstoegang of toestemmingsverzoeken, waardoor ze normaal en betrouwbaar overkomen voor de ontvangers”, aldus het cyberbeveiligingsbedrijf.
Er is waargenomen dat aanvallers 9.394 phishing-e-mails hebben verzonden naar ongeveer 3.200 klanten gedurende een periode van 14 dagen, waargenomen in december 2025, waarbij de getroffen organisaties zich in de VS, Azië-Pacific, Europa, Canada en Latijns-Amerika bevonden.
De kern van de campagne is het misbruik van de taak ‘E-mail verzenden’ van Application Integration, waarmee gebruikers aangepaste e-mailmeldingen kunnen verzenden vanuit een integratie. Google merkt in zijn ondersteuningsdocumentatie op dat er slechts maximaal 30 ontvangers aan de taak kunnen worden toegevoegd.
Het feit dat deze e-mails kunnen worden geconfigureerd om naar willekeurige e-mailadressen te worden verzonden, toont aan dat de bedreigingsacteur een legitieme automatiseringsmogelijkheid in zijn voordeel kan misbruiken en e-mails kan verzenden vanaf domeinen die eigendom zijn van Google, waardoor DMARC- en SPF-controles effectief worden omzeild.
“Om het vertrouwen verder te vergroten, volgden de e-mails de stijl en structuur van Google-meldingen nauwgezet, inclusief de vertrouwde opmaak en taal”, aldus Check Point. “De lokmiddelen verwezen vaak naar voicemailberichten of beweringen dat de ontvanger toegang had gekregen tot een gedeeld bestand of document, zoals toegang tot een ‘Q4’-bestand, waardoor ontvangers werden gevraagd op ingesloten links te klikken en onmiddellijk actie te ondernemen.”
De aanvalsketen bestaat uit een omleidingsstroom in meerdere fasen die begint wanneer een e-mailontvanger op een link klikt die wordt gehost op storage.cloud.google(.)com, een andere vertrouwde Google Cloud-service. De inspanning wordt gezien als een nieuwe poging om het wantrouwen van gebruikers te verminderen en het een laagje legitimiteit te geven.
De link leidt de gebruiker vervolgens door naar inhoud die wordt aangeboden door googleusercontent(.)com, waarbij hem een nep-CAPTCHA of op afbeeldingen gebaseerde verificatie wordt gepresenteerd die als een barrière fungeert door te voorkomen dat geautomatiseerde scanners en beveiligingshulpmiddelen de aanvalsinfrastructuur onderzoeken, terwijl echte gebruikers er wel doorheen kunnen.
Zodra de validatiefase is voltooid, wordt de gebruiker naar een valse Microsoft-inlogpagina geleid die wordt gehost op een niet-Microsoft-domein, waarbij uiteindelijk alle inloggegevens worden gestolen die door de slachtoffers zijn ingevoerd.
Als reactie op de bevindingen heeft Google de phishing-inspanningen geblokkeerd die misbruik maken van de e-mailmeldingsfunctie binnen Google Cloud Application Integration, en voegt eraan toe dat het meer stappen onderneemt om verder misbruik te voorkomen.
Uit de analyse van Check Point is gebleken dat de campagne zich in de eerste plaats heeft gericht op de sectoren productie, technologie, financiële dienstverlening, professionele dienstverlening en detailhandel, hoewel ook andere verticale sectoren, waaronder media, onderwijs, gezondheidszorg, energie, overheid, reizen en transport, zijn uitgekozen.
“Deze sectoren vertrouwen doorgaans op geautomatiseerde meldingen, gedeelde documenten en op toestemming gebaseerde workflows, waardoor waarschuwingen van het Google-merk bijzonder overtuigend zijn”, voegde het eraan toe. “Deze campagne benadrukt hoe aanvallers legitieme cloudautomatisering en workflowfuncties kunnen misbruiken om phishing op grote schaal te verspreiden zonder traditionele spoofing.”
