Aktor zagrożenia Smishing Triad

Od 1 stycznia 2024 roku zakrojona na szeroką skalę kampania smishingu została powiązana z ponad 194 000 złośliwych domen, atakując szeroką gamę usług na całym świecie. Kampania wykorzystuje zwodnicze wiadomości SMS, aby nakłonić użytkowników do ujawnienia poufnych informacji, często podszywając się pod nadużycia opłat drogowych lub nieprawidłowo dostarczone przesyłki.

Mimo że domeny zarejestrowano za pośrednictwem rejestratora z siedzibą w Hongkongu i wykorzystano chińskie serwery nazw, infrastruktura ataku działa głównie w oparciu o usługi w chmurze hostowane w USA, co odzwierciedla globalnie rozproszoną konfigurację.

Triada smishingu: aktorzy zagrożenia powiązani z Chinami

Kampania jest przypisywana powiązanej z Chinami grupie znanej jako Smishing Triad, znanej z zalewania urządzeń mobilnych fałszywymi powiadomieniami. W ciągu ostatnich trzech lat kampanie te okazały się wysoce dochodowe, generując dla cyberprzestępców ponad miliard dolarów.

Najnowsze odkrycia wskazują na znaczącą ewolucję ich taktyk. Zestawy phishingowe coraz częściej atakują konta maklerskie w celu kradzieży danych uwierzytelniających i kodów uwierzytelniających. Liczba ataków na te konta wzrosła pięciokrotnie w drugim kwartale 2025 roku w porównaniu z tym samym okresem w 2024 roku. Po włamaniu atakujący manipulują cenami akcji, stosując metody „ramp and dump”, pozostawiając minimalną ilość papierowych śladów.

Phishing jako usługa: dobrze naoliwiony ekosystem przestępczy

Smishing Triad przekształciła się z prostego dostawcy narzędzi do phishingu w niezwykle aktywną społeczność Phishing-as-a-Service (PhaaS), składającą się z wielu wyspecjalizowanych aktorów:

• Twórcy narzędzi phishingowych – tworzą narzędzia.
• Brokerzy danych – dostarczają docelowe numery telefonów.
• Sprzedawcy domen – rejestrują domeny jednorazowe w celu hostowania stron phishingowych.
• Dostawcy usług hostingowych – utrzymują serwery.
• Spamerzy – rozsyłają na dużą skalę fałszywe wiadomości.
• Skanery aktywności – weryfikują aktywne numery telefonów.
• Skanery list blokowanych – sprawdzają domeny pod kątem rotacji na listach blokowanych.

Ekosystem ten umożliwia szybkie wdrażanie i stałą adaptację, co utrudnia wykrywanie i zakłócanie działania.

Rejestracja domen i strategia odejść

Analiza ujawnia, że prawie 93 200 z 136 933 domen głównych (68,06%) jest zarejestrowanych pod nazwą Dominet (HK) Limited. Większość z nich używa prefiksu .com, chociaż w ostatnich miesiącach nastąpił wzrost liczby rejestracji domen .gov.

Kampania opiera się w dużej mierze na szybkiej rotacji domen:

• 29,19% domen było aktywnych przez dwa dni lub krócej
• 71,3% było aktywnych przez okres krótszy niż tydzień
• 82,6% było aktywnych przez dwa tygodnie lub krócej
• Mniej niż 6% przeżyło dłużej niż trzy miesiące

Taka rotacja, w połączeniu z 194 345 nazwami FQDN odpowiadającymi 43 494 unikalnym adresom IP (głównie w USA w ramach Cloudflare), umożliwia atakującym ciągłe unikanie wykrycia.

Wgląd w infrastrukturę i zasięg globalny

Oto najważniejsze ustalenia z analizy infrastruktury kampanii:

• Najczęściej podszywaną usługą jest US Postal Service – jest ich 28 045 w pełni kwalifikowanych nazw domen.
• Dominującą formą phishingu są usługi płatne, a liczba FQDN wynosi około 90 000.
• Największy ruch generują przede wszystkim domeny w USA, a następnie w Chinach i Singapurze.

Ofiary padają ofiarą oszustw w wielu sektorach, w tym w bankach, na giełdach kryptowalut, w firmach dostawczych, policji, przedsiębiorstwach państwowych, firmach poboru opłat, aplikacjach do wspólnych przejazdów, w branży hotelarskiej, mediach społecznościowych i na platformach handlu elektronicznego w takich krajach jak Rosja, Polska i Litwa.

Kampanie podszywające się pod instytucje rządowe często kierują użytkowników na strony docelowe, na których podają się za niezapłacone opłaty drogowe lub za usługi, czasami wykorzystując wabiki ClickFix, aby nakłonić użytkowników do wykonania złośliwego kodu podszywającego się pod weryfikację CAPTCHA.

Zdecentralizowane zagrożenie o globalnym wpływie

Kampania Smishing Triad dowodzi globalnego zasięgu i decentralizacji. Atakujący rejestrują i przeglądają tysiące domen dziennie, naśladując różne usługi, aby zmaksymalizować skuteczność. Kampanie smishingowe wymierzone w amerykańskie usługi płatne to tylko jeden z aspektów ogromnego, wysoce adaptacyjnego i dochodowego przedsięwzięcia przestępczego, które stale ewoluuje na dużą skalę.