Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Suplantación de identidad (phishing) Actor de amenaza de la tríada de smishing

Actor de amenaza de la tríada de smishing

Por Mezo en Suplantación de identidad (phishing), Amenaza persistente avanzada (APT)
Traducir a:

Desde el 1 de enero de 2024, se ha detectado una campaña masiva de smishing vinculada a más de 194 000 dominios maliciosos, dirigida a una amplia gama de servicios en todo el mundo. La campaña utiliza mensajes SMS engañosos para sonsacar a los usuarios información confidencial, simulando a menudo infracciones de peaje o paquetes extraviados.

A pesar de que los dominios están registrados a través de un registrador con sede en Hong Kong y utilizan servidores de nombres chinos, la infraestructura de ataque opera principalmente desde servicios en la nube alojados en Estados Unidos, lo que refleja una configuración distribuida globalmente.

La tríada del smishing: actores de amenazas vinculados a China

La campaña se atribuye a un grupo vinculado a China conocido como la Tríada Smishing, tristemente célebre por inundar dispositivos móviles con notificaciones fraudulentas. En los últimos tres años, estas campañas han resultado altamente rentables, generando más de mil millones de dólares para los responsables.

Hallazgos recientes evidencian una evolución significativa en sus tácticas. Los kits de phishing se dirigen cada vez más a cuentas de corretaje para robar credenciales bancarias y códigos de autenticación. Los ataques a estas cuentas se quintuplicaron en el segundo trimestre de 2025 en comparación con el mismo período de 2024. Una vez comprometidas, los atacantes manipulan los precios de las acciones mediante esquemas de «desplome y caída», dejando un mínimo rastro documental.

Phishing como servicio: un ecosistema criminal bien engrasado

La Tríada del Smishing se ha transformado de un simple proveedor de kits de phishing en una comunidad de Phishing como Servicio (PhaaS) altamente activa, que comprende múltiples actores especializados:

  • Los desarrolladores de kits de phishing crean las herramientas.
  • Agentes de datos: suministran números de teléfono objetivo.
  • Vendedores de dominios: registran dominios desechables para alojar sitios de phishing.
  • Proveedores de alojamiento web: mantienen los servidores.
  • Los spammers distribuyen mensajes fraudulentos a gran escala.
  • Escáneres de vida: verifican números de teléfono activos.
  • Escáneres de listas de bloqueo: comprueban si los dominios coinciden con las listas de bloqueo para su rotación.

Este ecosistema permite un despliegue rápido y una adaptación constante, lo que dificulta la detección y la interrupción.

Estrategia de registro y retención de dominios

El análisis revela que casi 93.200 de los 136.933 dominios raíz (el 68,06 %) están registrados a nombre de Dominet (HK) Limited. La mayoría de estos utilizan el prefijo .com, aunque en los últimos meses se ha observado un aumento en los registros de dominios .gov.

La campaña depende en gran medida de la rápida rotación de dominios:

  • El 29,19% de los dominios estuvieron activos durante dos días o menos.
  • El 71,3% estuvo activo durante menos de una semana.
  • El 82,6% estuvo activo durante dos semanas o menos.
  • Menos del 6% sobrevivió más de tres meses

Esta rotación, combinada con 194.345 FQDN que se resuelven en 43.494 IP únicas (principalmente en EE. UU. en Cloudflare), permite a los actores de amenazas evadir continuamente la detección.

Información sobre infraestructura y alcance global

Entre las principales conclusiones del análisis de la infraestructura de la campaña se incluyen:

  • El Servicio Postal de los Estados Unidos es el servicio más suplantado, con 28.045 FQDN.
  • Los señuelos de servicios de peaje predominan, con aproximadamente 90.000 FQDN de phishing.
  • Los dominios que generan mayor tráfico se alojan principalmente en Estados Unidos, seguidos de China y Singapur.

Las víctimas son atacadas en múltiples sectores, incluyendo bancos, casas de cambio de criptomonedas, servicios de entrega, fuerzas policiales, empresas estatales, servicios de peaje, aplicaciones de viajes compartidos, servicios de hostelería, redes sociales y plataformas de comercio electrónico en países como Rusia, Polonia y Lituania.

Las campañas de suplantación de identidad gubernamental a menudo redirigen a los usuarios a páginas de destino que alegan peajes o cargos por servicio impagos, a veces utilizando señuelos de ClickFix para engañar a los usuarios y hacer que ejecuten código malicioso disfrazado de verificaciones CAPTCHA.

Amenaza descentralizada con impacto global

La campaña de la Tríada del Smishing demuestra su alcance global y descentralización. Los atacantes registran y utilizan miles de dominios diariamente, imitando diversos servicios para maximizar su impacto. Las campañas de smishing dirigidas a los servicios de peaje estadounidenses representan solo una faceta de una vasta, altamente adaptable y lucrativa empresa criminal que continúa evolucionando a gran escala.

Tendencias

Mas Visto

Cargando...