Rabattoffert för flera licenser
Hotdatabas Nätfiske Smishing Triad Hotskådespelare

Smishing Triad Hotskådespelare

Med Mezo år Nätfiske, Advanced Persistent Threat (APT)
Översätt till:

En storskalig smishingkampanj har kopplats till över 194 000 skadliga domäner sedan den 1 januari 2024, och riktar sig mot en mängd olika tjänster världen över. Kampanjen utnyttjar vilseledande SMS-meddelanden för att lura användare att lämna ut känslig information, ofta utgivna som avgiftsöverträdelser eller fellevererade paket.

Trots att domänerna registreras via en Hongkong-baserad registrar och använder kinesiska namnservrar, drivs attackinfrastrukturen huvudsakligen från amerikanska molntjänster, vilket återspeglar en globalt distribuerad uppställning.

Smishing-triaden: Hotaktörer med kopplingar till Kina

Kampanjen tillskrivs en Kina-kopplad grupp känd som Smishing Triad, ökänd för att översvämma mobila enheter med bedrägliga meddelanden. Under de senaste tre åren har dessa kampanjer visat sig vara mycket lönsamma och genererat mer än 1 miljard dollar för hotaktörerna.

Nyligen genomförda rön visar på en betydande utveckling av deras taktik. Nätfiskepaket riktar sig i allt högre grad mot mäklarkonton för att stjäla bankuppgifter och autentiseringskoder. Attackerna mot dessa konton ökade femfaldigt under andra kvartalet 2025 jämfört med samma period 2024. När angriparna väl har komprometterats manipulerar de aktiekurserna med hjälp av "ramp and dump"-metoder, vilket lämnar minimala pappersspår.

Nätfiske som tjänst: Ett väloljat kriminellt ekosystem

Smishing Triad har förvandlats från en enkel leverantör av nätfiskepaket till en mycket aktiv Phishing-as-a-Service (PhaaS)-community, bestående av flera specialiserade aktörer:

  • Utvecklare av nätfiskepaket – skapa verktygen.
  • Datamäklare – tillhandahåller måltelefonnummer.
  • Domänsäljare – registrera engångsdomäner för att hosta nätfiskewebbplatser.
  • Hostingleverantörer – underhåller servrar.
  • Spammare – distribuerar bedrägliga meddelanden i stor skala.
  • Liveness-skannrar – verifiera aktiva telefonnummer.
  • Blocklistskannrar – kontrollera domäner mot blocklistor för rotation.

Detta ekosystem möjliggör snabb implementering och konstant anpassning, vilket gör det svårt att upptäcka och störa.

Domänregistrering och kundborttagningsstrategi

Analys visar att nästan 93 200 av 136 933 rotdomäner (68,06 %) är registrerade under Dominet (HK) Limited. Majoriteten av dessa använder prefixet .com, även om det har skett en ökning av .gov-domänregistreringar de senaste månaderna.

Kampanjen är starkt beroende av snabb domänomsättning:

  • 29,19 % av domänerna var aktiva i två dagar eller mindre
  • 71,3 % var aktiva i mindre än en vecka
  • 82,6 % var aktiva i två veckor eller mindre
  • Färre än 6 % överlevde längre än tre månader

Denna churn, i kombination med 194 345 FQDN:er som löses upp till 43 494 unika IP-adresser (främst i USA på Cloudflare), gör det möjligt för hotaktörerna att kontinuerligt undvika upptäckt.

Insikter om infrastruktur och global räckvidd

Viktiga resultat från kampanjens infrastrukturanalys inkluderar:

  • US Postal Service är den mest imiterade tjänsten, med 28 045 FQDN-nummer.
  • Avgiftsbeteendet dominerar, med ungefär 90 000 nätfiske-FQDN:er.
  • Domäner som genererar högst trafik finns främst i USA, följt av Kina och Singapore.

Offren riktas in i flera sektorer, inklusive banker, kryptovalutabörser, leveranstjänster, polisstyrkor, statligt ägda företag, vägtulltjänster, samåkningsappar, hotell- och restaurangtjänster, sociala medier och e-handelsplattformar i länder som Ryssland, Polen och Litauen.

Myndigheternas kampanjer för personifiering omdirigerar ofta användare till landningssidor som gör anspråk på obetalda vägtullar eller serviceavgifter, och utnyttjar ibland ClickFix-lockbete för att lura användare att köra skadlig kod förklädd till CAPTCHA-verifieringar.

Decentraliserat hot med global påverkan

Smishing Triad-kampanjen visar på global räckvidd och decentralisering. Angripare registrerar och cyklar igenom tusentals domäner dagligen och imiterar olika tjänster för att maximera effekten. Smishing-kampanjer som riktar sig mot amerikanska vägtullstjänster representerar bara en aspekt av en omfattande, mycket anpassningsbar och lönsam kriminell verksamhet som fortsätter att utvecklas i stor skala.

Trendigt

Mest sedda

Läser in...