钓鱼三合会威胁行为者

翻译为：

自2024年1月1日起，一场大规模的短信钓鱼活动已与超过19.4万个恶意域名关联，攻击目标遍及全球，涵盖多种服务。该活动利用欺骗性短信诱骗用户泄露敏感信息，短信内容通常伪装成欠费通知或包裹误送。

尽管这些域名是通过香港的域名注册商注册的，并且使用了中国域名服务器，但攻击基础设施主要在美国托管的云服务上运行，这反映出一种全球分布式的设置。

此次网络钓鱼活动被认为是与中国有关联的“短信钓鱼三合会”（Smishing Triad）所为，该组织以向移动设备发送大量欺诈性短信而臭名昭著。过去三年，这些网络钓鱼活动获利颇丰，为攻击者带来了超过10亿美元的收益。

最新研究结果显示，网络钓鱼攻击策略发生了显著变化。钓鱼工具包越来越多地针对证券账户，窃取银行凭证和验证码。2025年第二季度针对此类账户的攻击数量比2024年同期增长了五倍。一旦账户被攻破，攻击者便会利用“拉高出货”策略操纵股价，且几乎不留下任何痕迹。

Smishing Triad 已从一个简单的网络钓鱼工具包提供商转型为一个高度活跃的网络钓鱼即服务 (PhaaS) 社区，该社区由多个专业参与者组成：

该生态系统允许快速部署和不断适应，使得检测和破坏变得困难。

分析显示，在136,933个根域名中，近93,200个（68.06%）注册在Dominet (HK) Limited名下。其中大部分使用.com前缀，但近几个月来.gov域名的注册量有所上升。

该营销活动严重依赖于域名快速更替：

这种频繁变更，再加上 194,345 个 FQDN 解析到 43,494 个唯一 IP 地址（大部分位于美国，使用 Cloudflare），使得威胁行为者能够不断逃避检测。

该竞选活动基础设施分析的主要发现包括：

受害者遍布多个行业，包括银行、加密货币交易所、快递服务、警察部队、国有企业、收费服务、拼车应用程序、酒店服务、社交媒体和电子商务平台，这些国家包括俄罗斯、波兰和立陶宛。

冒充政府机构的攻击活动通常会将用户重定向到声称有未支付通行费或服务费的着陆页，有时还会利用 ClickFix 诱饵来欺骗用户执行伪装成 CAPTCHA 验证的恶意代码。

“短信钓鱼三部曲”攻击活动展现了其全球覆盖范围和去中心化特征。攻击者每天注册并轮换使用数千个域名，模仿各种服务以最大化攻击效果。针对美国收费服务的短信钓鱼活动仅仅是这个庞大、适应性强且利润丰厚的犯罪集团的一个缩影，而该集团仍在不断大规模地演变。

搜索