Um grupo de cibercriminosos, conhecido como Smishing Triad, está por trás de uma vasta operação de smishing que envolve mais de 194 mil domínios maliciosos desde o início de 2024. A investigação da Palo Alto Networks Unit 42 revelou que, embora os domínios sejam registrados por uma empresa de Hong Kong e utilizem servidores de nomes chineses, a infraestrutura de ataque está majoritariamente hospedada em serviços de nuvem dos Estados Unidos.
O Smishing Triad, vinculado à China, engana usuários com mensagens fraudulentas sobre multas de trânsito e entregas de pacotes, levando-os a fornecer informações sensíveis. Essa prática já gerou mais de US$ 1 bilhão em lucros nos últimos três anos, de acordo com o The Wall Street Journal. Recentemente, ataques visando contas de corretoras aumentaram cinco vezes no segundo trimestre de 2025, comparado ao mesmo período do ano anterior.
Os criminosos utilizam táticas de “ramp and dump” para manipular preços de ações, dificultando o rastreamento das fraudes. O grupo evoluiu de um fornecedor de kits de phishing para uma comunidade ativa que integra desenvolvedores de kits, corretores de dados, vendedores de domínios, provedores de hospedagem, spammers, e verificadores de listas de bloqueio.
O estudo da Unit 42 identificou que 68,06% dos domínios são registrados pela Dominet (HK) Limited. A maioria dos domínios ativos tem vida curta, com 71,3% durando menos de uma semana. Essa rápida rotatividade é uma estratégia para evitar detecção. A infraestrutura de ataque é majoritariamente localizada nos EUA, com a Cloudflare sendo um dos principais provedores de hospedagem.
A campanha finge ser serviços de correio, bancos, e plataformas de mídia social, entre outros. Em ataques que imitam serviços governamentais, os usuários são redirecionados para páginas que alegam cobranças não pagas, usando até mesmo iscas como o ClickFix para induzir a execução de códigos maliciosos sob o pretexto de verificações CAPTCHA.
Fonte: https://thehackernews.com/2025/10/smishing-triad-linked-to-194000.html
