Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Phishing Smishing Triad Bedreigingsacteur

Smishing Triad Bedreigingsacteur

Tegen Mezo in Phishing, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

Sinds 1 januari 2024 is een grootschalige smishingcampagne gekoppeld aan meer dan 194.000 kwaadaardige domeinen, gericht op een breed scala aan diensten wereldwijd. De campagne maakt gebruik van misleidende sms-berichten om gebruikers te misleiden tot het verstrekken van gevoelige informatie, vaak in de vorm van overtredingen van de tolheffing of verkeerd bezorgde pakketten.

Hoewel de domeinen geregistreerd staan via een registrar in Hongkong en er gebruik wordt gemaakt van Chinese naamservers, opereert de aanvalsinfrastructuur voornamelijk via in de VS gehoste cloudservices, hetgeen duidt op een wereldwijd verspreide opzet.

De Smishing Triad: aan China gelinkte dreigingsactoren

De campagne wordt toegeschreven aan een aan China gelieerde groep, bekend als de Smishing Triad, die berucht is om het overspoelen van mobiele apparaten met frauduleuze meldingen. De afgelopen drie jaar zijn deze campagnes zeer winstgevend gebleken en hebben ze de aanvallers meer dan 1 miljard dollar opgeleverd.

Recente bevindingen benadrukken een significante evolutie in hun tactieken. Phishingkits richten zich steeds vaker op effectenrekeningen om bankgegevens en authenticatiecodes te stelen. Het aantal aanvallen op deze rekeningen is in het tweede kwartaal van 2025 vervijfvoudigd ten opzichte van dezelfde periode in 2024. Eenmaal gehackt, manipuleren aanvallers de aandelenkoersen met behulp van 'ramp and dump'-technieken, waardoor er minimale papieren sporen achterblijven.

Phishing-as-a-Service: een goed geolied crimineel ecosysteem

De Smishing Triad is getransformeerd van een eenvoudige aanbieder van phishingkits tot een zeer actieve Phishing-as-a-Service (PhaaS)-community, die bestaat uit meerdere gespecialiseerde actoren:

  • Phishingkit-ontwikkelaars: maak de tools.
  • Gegevensmakelaars – leveren doeltelefoonnummers.
  • Domeinverkopers: registreer wegwerpdomeinen voor het hosten van phishingsites.
  • Hostingproviders – onderhouden servers.
  • Spammers verspreiden op grote schaal frauduleuze berichten.
  • Livenessscanners – verifiëren actieve telefoonnummers.
  • Blocklistscanners: controleer domeinen op basis van blocklijsten voor rotatie.

Dit ecosysteem maakt snelle implementatie en voortdurende aanpassing mogelijk, waardoor detectie en verstoring lastig zijn.

Domeinregistratie en churnstrategie

Uit analyse blijkt dat bijna 93.200 van de 136.933 rootdomeinen (68,06%) geregistreerd zijn onder Dominet (HK) Limited. De meeste hiervan gebruiken het .com-prefix, hoewel het aantal .gov-domeinregistraties de afgelopen maanden is toegenomen.

De campagne is sterk afhankelijk van een snelle domeinomzet:

  • 29,19% van de domeinen was twee dagen of korter actief
  • 71,3% was minder dan een week actief
  • 82,6% was twee weken of korter actief
  • Minder dan 6% overleefde langer dan drie maanden

Deze churn, gecombineerd met 194.345 FQDN's die worden omgezet naar 43.494 unieke IP's (voornamelijk in de VS op Cloudflare), zorgt ervoor dat kwaadwillenden voortdurend aan detectie kunnen ontsnappen.

Infrastructuurinzichten en wereldwijd bereik

Belangrijke bevindingen uit de infrastructuuranalyse van de campagne zijn:

  • US Postal Service is de dienst die het vaakst wordt geïmiteerd, met 28.045 FQDN's.
  • Lokmiddelen voor toldiensten domineren, met ongeveer 90.000 phishing-FQDN's.
  • De domeinen die het meeste verkeer genereren, worden voornamelijk gehost in de VS, gevolgd door China en Singapore.

Slachtoffers zijn afkomstig uit verschillende sectoren, waaronder banken, cryptobeurzen, bezorgdiensten, politiekorpsen, staatsbedrijven, toldiensten, carpool-apps, horeca, sociale media en e-commerceplatforms in landen als Rusland, Polen en Litouwen.

Imitatiecampagnes van de overheid sturen gebruikers vaak door naar landingspagina's waarop staat dat er onbetaalde tol- of servicekosten zijn. Soms wordt daarbij gebruikgemaakt van ClickFix-lokmiddelen om gebruikers ertoe te verleiden schadelijke code uit te voeren die vermomd is als CAPTCHA-verificaties.

Gedecentraliseerde dreiging met wereldwijde impact

De Smishing Triad-campagne demonstreert wereldwijde reikwijdte en decentralisatie. Aanvallers registreren en gebruiken dagelijks duizenden domeinen, waarbij ze diverse diensten nabootsen om de impact te maximaliseren. Smishingcampagnes die gericht zijn op Amerikaanse toldiensten vormen slechts één aspect van een omvangrijke, zeer adaptieve en winstgevende criminele onderneming die zich op grote schaal blijft ontwikkelen.

Trending

Meest bekeken

Bezig met laden...