A Smishing Triad, grupo de cibercrime associado à China, foi responsável pelo registro de mais de 194 mil domínios maliciosos entre 1º de janeiro de 2024 e o momento atual, segundo levantamento da Palo Alto Networks Unit 42. A operação utiliza SMS falsos sobre multas de pedágio e entregas não concluídas para obter dados sensíveis de vítimas em vários países.
Embora os domínios sejam registrados em um provedor de Hong Kong e usem nameservers chineses, a maior parte da infraestrutura está hospedada em serviços de nuvem populares nos Estados Unidos, informam os pesquisadores Reethika Ramesh, Zhanhao Chen, Daiping Liu, Chi-Wei Liu, Shehroze Farooqi e Moe Ghasemisharif.
Alcance global e lucro bilionário
De acordo com o The Wall Street Journal, as campanhas de smishing renderam ao grupo mais de US$ 1 bilhão nos últimos três anos. Relatório divulgado nesta semana pela Fortra mostra que os kits de phishing da Smishing Triad passaram a mirar com mais intensidade contas de corretoras: os ataques contra esse segmento cresceram cinco vezes no segundo trimestre de 2025 em comparação ao mesmo período de 2024.
Após comprometer as contas, os invasores chegam a manipular preços de ações por meio da tática conhecida como “ramp and dump”, segundo a pesquisadora Alexis Ober.
Estrutura “phishing-as-a-service”
O coletivo evoluiu de fornecedor de kits de phishing para uma comunidade ativa que reúne desenvolvedores, corretores de dados, vendedores de domínios descartáveis, provedores de hospedagem, spammers, validadores de números e verificadores de listas de bloqueio, formando um ecossistema completo de PhaaS (phishing como serviço).
Perfil dos domínios
Dos 136.933 domínios raiz mapeados, 68,06 % (cerca de 93,2 mil) foram registrados pela Dominet (HK) Limited. Sufixos “.com” predominam, mas houve aumento na criação de endereços “.gov” nos últimos três meses.
Imagem: Internet
A vida útil dos domínios é curta: 29,19 % permanecem ativos por no máximo dois dias; 71,3 %, por menos de uma semana; 82,6 %, por até duas semanas; e menos de 6 % ultrapassam três meses. Ao todo, 194.345 FQDNs resolvem para 43.494 endereços IP únicos, principalmente nos EUA, hospedados na Cloudflare.
Serviços mais imitados
- O Serviço Postal dos EUA (USPS) lidera as falsificações, com 28.045 domínios.
- Iscas envolvendo pedágios somam cerca de 90 mil endereços fraudulentos.
- Infraestrutura com maior tráfego está localizada nos EUA, seguida por China e Singapura.
- As campanhas também simulam bancos, corretoras de criptomoedas, serviços de entrega, forças policiais, estatais, caronas, hotéis, redes sociais e e-commerce na Rússia, Polônia e Lituânia.
Métodos de engano
Em ataques que se passam por órgãos governamentais, as vítimas são direcionadas a páginas que alegam cobranças de pedágio ou taxas pendentes. Algumas páginas usam a isca “ClickFix”, que solicita a execução de código malicioso sob a justificativa de validação de CAPTCHA.
A Unit 42 reforça que a campanha não é isolada aos pedágios norte-americanos, mas sim uma operação descentralizada e de alcance mundial, com o registro de milhares de domínios todos os dias para driblar ferramentas de detecção.
Com informações de The Hacker News