Smishing Triad Threat Actor

Na-link ang isang malakihang smishing campaign sa mahigit 194,000 malisyosong domain mula noong Enero 1, 2024, na nagta-target ng malawak na hanay ng mga serbisyo sa buong mundo. Ginagamit ng kampanya ang mga mapanlinlang na mensaheng SMS upang linlangin ang mga user na magbunyag ng sensitibong impormasyon, na kadalasang nagpapanggap bilang mga paglabag sa toll o maling naihatid na mga pakete.

Sa kabila ng mga domain na nirerehistro sa pamamagitan ng isang registrar na nakabase sa Hong Kong at gumagamit ng mga Chinese nameserver, ang imprastraktura ng pag-atake ay pangunahing gumagana mula sa mga serbisyo ng cloud na naka-host sa US, na nagpapakita ng isang setup na ipinamamahagi sa buong mundo.

The Smishing Triad: Mga Aktor ng Banta na Nakaugnay sa China

Ang kampanya ay nauugnay sa isang grupong naka-link sa China na kilala bilang Smishing Triad, na kilalang-kilala sa pagbaha ng mga mobile device na may mga mapanlinlang na abiso. Sa nakalipas na tatlong taon, ang mga kampanyang ito ay napatunayang lubos na kumikita, na bumubuo ng higit sa $1 bilyon para sa mga aktor ng pagbabanta.

Itinatampok ng mga kamakailang natuklasan ang isang makabuluhang ebolusyon sa kanilang mga taktika. Ang mga phishing kit ay lalong nagta-target ng mga brokerage account upang magnakaw ng mga kredensyal sa pagbabangko at mga code ng pagpapatunay. Ang mga pag-atake sa mga account na ito ay tumaas ng limang beses noong Q2 2025 kumpara sa parehong panahon noong 2024. Kapag nakompromiso, minamanipula ng mga umaatake ang mga presyo ng stock gamit ang mga scheme ng 'ramp and dump', na nag-iiwan ng kaunting papel na daanan.

Phishing-as-a-Service: Isang Well-Oiled Criminal Ecosystem

Ang Smishing Triad ay nagbago mula sa isang simpleng provider ng phishing kit tungo sa isang aktibong komunidad ng Phishing-as-a-Service (PhaaS), na binubuo ng maraming dalubhasang aktor:

• Mga developer ng phishing kit – gumawa ng mga tool.
• Mga broker ng data – nagbibigay ng mga target na numero ng telepono.
• Mga nagbebenta ng domain – magrehistro ng mga disposable domain para sa pagho-host ng mga phishing site.
• Mga nagbibigay ng hosting – magpanatili ng mga server.
• Mga Spammer – mamahagi ng mga mapanlinlang na mensahe nang malawakan.
• Liveness scanner – i-verify ang mga aktibong numero ng telepono.
• Mga blocklist scanner – suriin ang mga domain laban sa mga blocklist para sa pag-ikot.

Nagbibigay-daan ang ecosystem na ito para sa mabilis na pag-deploy at patuloy na pagbagay, na ginagawang mahirap ang pagtuklas at pagkagambala.

Pagpaparehistro ng Domain at Diskarte sa Churn

Ipinapakita ng pagsusuri na halos 93,200 sa 136,933 root domain (68.06%) ang nakarehistro sa ilalim ng Dominet (HK) Limited. Karamihan sa mga ito ay gumagamit ng .com prefix, bagama't nagkaroon ng pagtaas sa mga .gov na pagpaparehistro ng domain sa mga nakalipas na buwan.

Ang kampanya ay lubos na umaasa sa mabilis na paglilipat ng domain:

• 29.19% ng mga domain ay aktibo sa loob ng dalawang araw o mas kaunti
• 71.3% ay aktibo sa ilalim ng isang linggo
• 82.6% ay aktibo sa loob ng dalawang linggo o mas kaunti
• Wala pang 6% ang nakaligtas sa loob ng tatlong buwan

Ang churn na ito, na sinamahan ng 194,345 FQDNs na nagre-resolve sa 43,494 na natatanging IP (karamihan sa US sa Cloudflare), ay nagbibigay-daan sa mga threat actor na patuloy na makaiwas sa pagtuklas.

Infrastructure Insights at Global Reach

Ang mga pangunahing natuklasan mula sa pagsusuri sa imprastraktura ng kampanya ay kinabibilangan ng:

• Ang US Postal Service ay ang pinakaginagaya na serbisyo, na may 28,045 FQDNs.
• Nangibabaw ang mga pang-akit ng toll service, na may humigit-kumulang 90,000 phishing FQDNs.
• Ang mga domain na bumubuo ng pinakamataas na trapiko ay pangunahing naka-host sa US, na sinusundan ng China at Singapore.

Ang mga biktima ay tina-target sa maraming sektor, kabilang ang mga bangko, palitan ng cryptocurrency, mga serbisyo sa paghahatid, pwersa ng pulisya, mga negosyong pag-aari ng estado, mga serbisyo sa toll, mga carpooling app, serbisyo sa hospitality, social media, at mga platform ng e-commerce sa mga bansa tulad ng Russia, Poland, at Lithuania.

Ang mga kampanya ng pagpapanggap ng gobyerno ay kadalasang nagre-redirect ng mga user sa mga landing page na nagke-claim ng mga hindi nabayarang toll o mga singil sa serbisyo, kung minsan ay gumagamit ng mga pang-akit ng ClickFix upang linlangin ang mga user na magsagawa ng malisyosong code na itinago bilang mga pag-verify ng CAPTCHA.

Desentralisadong Banta na may Pandaigdigang Epekto

Ang kampanyang Smishing Triad ay nagpapakita ng pandaigdigang pag-abot at desentralisasyon. Nagrerehistro at umiikot ang mga attacker sa libu-libong domain araw-araw, na ginagaya ang iba't ibang serbisyo upang mapakinabangan ang epekto. Ang mga sumising campaign na nagta-target sa mga serbisyo ng toll sa US ay kumakatawan lamang sa isang bahagi ng isang malawak, lubos na umaangkop, at kumikitang kriminal na negosyo na patuloy na umuunlad sa laki.