Rabattilbud med flere licenser
Trusseldatabase Phishing Smishing Triad Threat Actor

Smishing Triad Threat Actor

Med Mezo i Phishing, Advanced Persistent Threat (APT)
Oversæt til:

En storstilet smishing-kampagne har været forbundet med over 194.000 ondsindede domæner siden 1. januar 2024, og er rettet mod en bred vifte af tjenester verden over. Kampagnen udnytter vildledende sms-beskeder til at narre brugere til at videregive følsomme oplysninger, ofte udgivet for at være overtrædelser af betalingssystemer eller fejlleverede pakker.

Selvom domænerne er registreret gennem en registrar med base i Hong Kong og bruger kinesiske navneservere, opererer angrebsinfrastrukturen primært fra amerikansk-hostede cloud-tjenester, hvilket afspejler en globalt distribueret opsætning.

Smishing-triaden: Trusselaktører med tilknytning til Kina

Kampagnen tilskrives en gruppe med tilknytning til Kina kendt som Smishing Triad, der er berygtet for at oversvømme mobile enheder med falske meddelelser. I løbet af de seneste tre år har disse kampagner vist sig yderst profitable og genereret mere end 1 milliard dollars til trusselsaktørerne.

Nylige resultater fremhæver en betydelig udvikling i deres taktikker. Phishing-kits er i stigende grad målrettet mod mæglerkonti for at stjæle bankoplysninger og godkendelseskoder. Angreb på disse konti steg fem gange i 2. kvartal 2025 sammenlignet med samme periode i 2024. Når angriberne er kompromitteret, manipulerer de aktiekurserne ved hjælp af 'ramp and dump'-ordninger, hvilket efterlader minimale papirspor.

Phishing-as-a-Service: Et veludviklet kriminelt økosystem

Smishing Triad har transformeret sig fra en simpel udbyder af phishing-kit til et yderst aktivt Phishing-as-a-Service (PhaaS)-fællesskab, der består af flere specialiserede aktører:

  • Udviklere af phishing-kit – skab værktøjerne.
  • Datamæglere – leverer målrettede telefonnumre.
  • Domænesælgere – registrer engangsdomæner til hosting af phishing-sider.
  • Hostingudbydere – vedligeholder servere.
  • Spammere – distribuerer falske beskeder i stor skala.
  • Liveness-scannere – verificer aktive telefonnumre.
  • Bloklistescannere – tjek domæner mod bloklister for rotation.

Dette økosystem muliggør hurtig implementering og konstant tilpasning, hvilket gør detektion og forstyrrelser udfordrende.

Domæneregistrering og churn-strategi

Analyser viser, at næsten 93.200 ud af 136.933 roddomæner (68,06%) er registreret under Dominet (HK) Limited. Størstedelen af disse bruger præfikset .com, selvom der har været en stigning i .gov-domæneregistreringer i de seneste måneder.

Kampagnen er i høj grad afhængig af hurtig domæneomsætning:

  • 29,19% af domænerne var aktive i to dage eller mindre
  • 71,3% var aktive i under en uge
  • 82,6% var aktive i to uger eller mindre
  • Mindre end 6% overlevede længere end tre måneder

Denne churn, kombineret med 194.345 FQDN'er, der resulterer i 43.494 unikke IP'er (primært i USA på Cloudflare), gør det muligt for trusselsaktørerne løbende at undgå at blive opdaget.

Infrastrukturindsigt og global rækkevidde

De vigtigste resultater fra kampagnens infrastrukturanalyse omfatter:

  • US Postal Service er den mest efterlignede tjeneste med 28.045 FQDN'er.
  • Lokkemidler til betalingstjenester dominerer med omkring 90.000 phishing-FQDN'er.
  • Domæner med den højeste trafik hostes primært i USA, efterfulgt af Kina og Singapore.

Ofrene er målrettet på tværs af flere sektorer, herunder banker, kryptovalutabørser, leveringstjenester, politistyrker, statsejede virksomheder, vejafgiftstjenester, samkørselsapps, hotel- og restaurationstjenester, sociale medier og e-handelsplatforme i lande som Rusland, Polen og Litauen.

Regeringskampagner med efterligning omdirigerer ofte brugere til landingssider, der hævder ubetalte vejafgifter eller servicegebyrer, og udnytter nogle gange ClickFix-lokkemidler til at narre brugere til at udføre ondsindet kode forklædt som CAPTCHA-verifikationer.

Decentraliseret trussel med global indvirkning

Smishing Triad-kampagnen demonstrerer global rækkevidde og decentralisering. Angribere registrerer og cykler gennem tusindvis af domæner dagligt og efterligner forskellige tjenester for at maksimere effekten. Smishing-kampagner rettet mod amerikanske betalingstjenester repræsenterer blot én facet af en omfattende, yderst tilpasningsdygtig og profitabel kriminel virksomhed, der fortsætter med at udvikle sig i stor skala.

Trending

Mest sete

Indlæser...