La société de cybersécurité **Group-IB** a mis au jour une opération de phishing à grande échelle ciblant les fans de football désireux d'obtenir des billets pour la Coupe du Monde de la **FIFA** 2026. L'opération, baptisée GHOST STADIUM, implique un réseau de plus de 300 domaines frauduleux conçus pour voler les identifiants et les détails de paiement. **GHOST STADIUM : Une impersonation méticuleuse** Observé depuis novembre 2025, GHOST STADIUM est l'un des quatre acteurs de menace indépendants identifiés par **Group-IB** ciblant le tournoi. Ces acteurs ont collectivement enregistré plus de 4 300 domaines frauduleux usurpant l'identité du site officiel de la **FIFA** depuis août 2025. Environ 3 800 de ces domaines sont actuellement en attente, prêts à être activés à l'approche du tournoi. **Détails du kit de phishing** Les acteurs de la menace utilisent un kit de phishing développé avec Layui 2.7.6m, une bibliothèque d'interface utilisateur open-source chinoise. Selon **Group-IB**, cette bibliothèque est « pratiquement inconnue en dehors de la communauté des développeurs chinois ». Le kit reproduit le système de connexion de la **FIFA**, redirigeant les utilisateurs vers le site légitime après avoir capturé leurs identifiants. La page de phishing demande également un paramètre de réinitialisation de mot de passe, permettant à l'attaquant de bloquer la victime hors de son compte et de revendre les billets associés. Des commentaires en chinois ont été trouvés intégrés dans le code source. L'analyse de l'infrastructure a révélé des certificats SSL partagés et des identifiants de suivi Meta Pixel sur l'ensemble des plus de 300 domaines, reliant le réseau aux mêmes comptes publicitaires Facebook. **Impact financier** **Group-IB** estime que 79 des domaines de phishing identifiés vendaient exclusivement des billets premium et de catégorie hospitalité, à des prix compris entre 1 500 $ et 10 000 $ ou plus. Avec plus de 600 inscriptions de victimes observées sur un seul domaine, la société estime que les pertes potentielles pour la fraude aux billets premium seules pourraient varier de 71 millions à 474 millions de dollars. Les pertes totales sur tous les niveaux de fraude, y compris le vol d'identifiants et la vente de billets de catégorie inférieure, « pourraient raisonnablement atteindre des milliards ». La campagne est principalement distribuée par le biais de publicités payantes sur Facebook, offrant des billets à des prix aussi bas que 60 $ pour des sièges officiellement tarifés à des milliers de dollars, avec un message « premier arrivé, premier servi » pour faire pression sur les achats. **Recommandations** **Group-IB** conseille aux fans d'acheter des billets uniquement via fifa.com, tapé directement dans un navigateur, et de considérer tout domaine utilisant une variante avec trait d'union du nom de la **FIFA** comme frauduleux. La société a informé les autorités compétentes et a mené son enquête de mars à mai 2026. [](https://www.recordedfuture.com/?utm_source=therecord&utm_medium=ad)