„Das ist keine plumpe Phishing-Seite, sondern eine akribisch konstruierte Nachahmung", warnt Group-IB. GHOST STADIUM setzt ein Phishing-Kit ein, das mit Layui 2.7.6m entwickelt wurde – einer chinesischen Open-Source-Bibliothek für Benutzeroberflächen, die laut Group-IB „außerhalb der chinesischen Entwicklergemeinde praktisch unbekannt" ist.

Das Kit kopiert das Anmeldesystem der FIFA, indem es den Authentifizierungsablauf des FIFA-Identitätsdienstes nachbildet. Anschließend leitet es den Nutzer unbemerkt auf die echte FIFA-Website zurück, sodass die Interaktion wie eine erfolgreiche Anmeldung wirkt. Zugleich fordert die Phishing-Seite einen Parameter zum Zurücksetzen des Passworts an. So können die Angreifer das Opfer sofort aus dem eigenen Konto aussperren und etwaige legitime Tickets weiterverkaufen.

Im Quellcode fanden die Forscher durchgängig chinesischsprachige Kommentare. Eine Analyse der Infrastruktur ergab, dass über alle mehr als 300 Domains hinweg identische SSL-Zertifikate und Meta-Pixel-Tracking-IDs eingebettet waren, was das gesamte Netzwerk mit denselben Facebook-Werbekonten verbindet.

Von den über 300 identifizierten Phishing-Domains verkauften 79 ausschließlich Tickets der Premium- und Hospitality-Kategorie zu Preisen zwischen 1.500 und 10.000 US-Dollar oder mehr. Da an einer einzelnen Domain mehr als 600 Opferregistrierungen beobachtet wurden, schätzt Group-IB die mögliche Zahl der Betroffenen allein beim Premium-Ticketbetrug auf über 47.400 Personen, mit Schäden zwischen 71 und 474 Millionen US-Dollar.

Diese Zahlen decken nur etwa ein Viertel der aktiven GHOST-STADIUM-Kampagne ab. Über alle Betrugsstufen hinweg – einschließlich Diebstahl von Zugangsdaten, Ticketverkäufen niedrigerer Kategorien und nachgelagerter Monetarisierung – könnten die Gesamtschäden laut Group-IB „durchaus in die Milliarden reichen".

Verbreitet wurde die Kampagne den Ermittlern zufolge vor allem über bezahlte Facebook-Anzeigen, die Tickets für offiziell mehrere tausend Dollar teure Plätze schon ab 60 US-Dollar anboten. Botschaften nach dem Muster „wer zuerst kommt, mahlt zuerst" sollten Käufer unter Druck setzen.

Group-IB rät Fans, Tickets ausschließlich über fifa.com zu kaufen und die Adresse direkt in den Browser einzutippen. Jede Domain, die eine FIFA-Variante mit Bindestrich verwende, sei als betrügerisch zu behandeln. Das Unternehmen hat nach eigenen Angaben die zuständigen Behörden informiert; seine Untersuchung lief von März bis Mai 2026.