Han permitido a los actores de amenazas ganar más de mil millones de dólares en los últimos tres años
Los actores de amenazas detrás de una campaña de smishing continua y a gran escala han sido atribuidos a más de 194.000 dominios maliciosos desde el 1 de enero de 2024, apuntando a una amplia gama de servicios en todo el mundo, según nuevos hallazgos de Palo Alto Networks Unit 42.
"Aunque estos dominios están registrados a través de un registrador con sede en Hong Kong y utilizan servidores de nombres chinos, la infraestructura de ataque está alojada principalmente en servicios de nube populares de Estados Unidos", dijeron los investigadores de seguridad Reethika Ramesh, Zhanhao Chen, Daiping Liu, Chi-Wei Liu, Shehroze Farooqi y Moe Ghasemisharif .
La actividad ha sido atribuida a un grupo vinculado a China conocido como Smishing Triad , que es conocido por inundar los dispositivos móviles con avisos fraudulentos de violación de peajes y entrega incorrecta de paquetes para engañar a los usuarios para que tomen medidas inmediatas y proporcionen información confidencial.
Estas campañas han demostrado ser lucrativas, permitiendo a los actores de amenazas ganar más de mil millones de dólares en los últimos tres años, según un reciente informe de The Wall Street Journal.
En un informe publicado a principios de esta semana, Fortra dijo que los kits de phishing asociados con la Smishing Triad se están utilizando cada vez más para atacar cuentas de corretaje para obtener credenciales bancarias y códigos de autenticación, y que los ataques dirigidos a estas cuentas se quintuplicaron en el segundo trimestre de 2025 en comparación con el mismo período del año pasado.
"Una vez comprometidos, los atacantes manipulan los precios de la bolsa mediante tácticas de 'ramp and dump'", declaró el investigador de seguridad Alexis Ober. "Estos métodos prácticamente no dejan rastros, lo que aumenta aún más los riesgos financieros derivados de esta amenaza".
Se dice que el colectivo adversario ha evolucionado desde un proveedor dedicado de kits de phishing a una "comunidad altamente activa" que reúne a actores de amenazas dispares, cada uno de los cuales juega un papel crucial en el ecosistema de phishing como servicio (PhaaS).
Esto incluye a los desarrolladores de kits de phishing, corredores de datos (que venden números de teléfono objetivo), vendedores de dominios (que registran dominios descartables para alojar los sitios de phishing), proveedores de alojamiento (que proporcionan servidores), spammers (que envían los mensajes a las víctimas a gran escala), escáneres de actividad (que validan números de teléfono) y escáneres de listas de bloqueo (que verifican los dominios de phishing contra listas de bloqueo conocidas para su rotación).
Imagen: El ecosistema PhaaS de Smishing Triad
El análisis de Unit 42 ha revelado que casi 93.200 de los 136.933 dominios raíz (68,06 %) están registrados bajo Dominet (HK) Limited, un registrador con sede en Hong Kong. Los dominios con el prefijo "com" representan una mayoría significativa, aunque se ha observado un aumento en el registro de dominios "gov" en los últimos tres meses.
De los dominios identificados, 39.964 (29,19%) estuvieron activos durante dos días o menos, el 71,3% de ellos estuvieron activos durante menos de una semana, el 82,6% de ellos estuvieron activos durante dos semanas o menos y menos del 6% tuvieron una vida útil más allá de los primeros tres meses de su registro.
"Este rápido crecimiento demuestra claramente que la estrategia de la campaña se basa en un ciclo continuo de nuevos dominios registrados para evadir la detección", señaló la empresa de ciberseguridad, añadiendo que los 194.345 nombres de dominio totalmente calificados (FQDN) utilizados en la resolución suman un total de 43.494 direcciones IP únicas, la mayoría de las cuales se encuentran en Estados Unidos y están alojadas en Cloudflare (AS13335).
A continuación se presentan algunos otros aspectos destacados del análisis de la infraestructura:
• El Servicio Postal de los Estados Unidos (USPS) es el servicio más suplantado, con 28.045 FQDN.
• Las campañas que utilizan servicios de peaje como señuelos son la categoría más suplantada, con alrededor de 90.000 FQDN dedicados a phishing.
• La infraestructura de ataque para los dominios que generan el mayor volumen de tráfico se encuentra en EE. UU., seguido de China y Singapur.
• Las campañas han imitado a bancos, casas de cambio de criptomonedas, servicios de correo y entrega, fuerzas policiales, empresas estatales, peajes electrónicos, aplicaciones de viajes compartidos, servicios de hospitalidad, redes sociales y plataformas de comercio electrónico en Rusia, Polonia y Lituania.
En las campañas de phishing que se hacen pasar por servicios gubernamentales, los usuarios suelen ser redirigidos a páginas de destino que reclaman peajes y otros cargos por servicios no pagados, y en algunos casos incluso utilizan señuelos de ClickFix para engañarlos y hacer que ejecuten un código malicioso con el pretexto de completar una verificación CAPTCHA.
"La campaña de smishing que suplanta servicios de peaje estadounidenses no es un caso aislado", declaró Unit 42. "Se trata de una campaña a gran escala con alcance global, que suplanta numerosos servicios en diferentes sectores. La amenaza está altamente descentralizada. Los atacantes registran y procesan miles de dominios a diario".
