Esquema de Phishing GTFire: Evitando la detección mediante servicios de Google

GTFire es una campaña global de phishing que utiliza enlaces de translate.goog como capa de redirección y dominios .web.app (Firebase) para alojar páginas de inicio de sesión fraudulentas; las credenciales se exfiltran mediante solicitudes HTTP GET a servidores C2 (scripts All-in-1.php sobre LiteSpeed) y la campaña ha afectado a miles de credenciales relacionadas con más de mil organizaciones en más de 100 países. El informe documenta patrones de generación de dominios, la cadena de redirección y ofuscación (incluyendo IDN/Punycode y parámetros Base64), la victimología, IOCs observados y recomendaciones para defensores y CERTs.