Smishing Triad

Фишинговая Секта, что Разогнала 194К Доменов и Переиграла Всех

Киберподполье снова на коне — и на этот раз его ведёт китайская банда, известная как Smishing Triad, которая буквально завалила весь интернет своим фишинговым шмурдяком. По свежей аналитике от Unit 42 (Palo Alto Networks), ребята с января 2024-го развернули 194 тысячи доменов, чтобы косить под всякие службы, банки и доставки. С виду всё чинно — домены через гонконгского регистратора, DNS в Китае, а вот хостится всё на американских облаках. Такой себе "Made in China, Deployed in the USA". И не зря старались: по данным The Wall Street Journal, за последние три года Smishing Triad выкачала больше миллиарда баксов, гоняя смс-спам и фейковые уведомления о "штрафах за проезд", "посылках" и прочей срочной фигне, на которую люди стабильно ведутся.

Эволюция от фишинг-китов до полноценного PhaaS-хаоса

Smishing Triad когда-то просто продавала фишинг-киты. Но время идёт — и теперь это целая фишинг-as-a-service империя, где каждый играет свою роль: китоделы клепают шаблоны страниц; датаброкеры торгуют номерами жертв; доменные барыги крутят одноразовые урлы; хостеры закрывают глаза и выдают сервера; спаммеры шмаляют смс пачками; лайвнес-сканеры проверяют, живы ли номера; блоклист-сканеры следят, чтобы домены не спалились раньше времени. Классика: полный стек злоумышленников, только без white hats и морали.

Цифры, от которых плачет любой SOC-аналитик

Unit 42 вычислила 136,933 рут-домена, из которых 93,200 сидят на гонконгском Dominet (HK) Limited. Почти треть доменов жили два дня или меньше, а 70% не дотянули и до недели. Меньше 6% выжили три месяца — остальное сгорает в аду ротации. Это не халатность, а стратегия: "сгорел — значит жив". Так Smishing Triad уходит от детектов и держит SOC-команды в вечном цейтноте. Всего эти домены резолвятся в 43,494 IP-адреса, и угадай, где львиная доля? Правильно — Cloudflare, США, AS13335.

Имитация жизни: кого косплеит Smishing Triad

Самый частый косплей — U.S. Postal Service, под них замаскировано 28,045 доменов. Тематикой рулит транспорт и штрафы — около 90,000 урлов гонят историю "оплати пошлину или блокировка". Следом идут банки, криптобиржи, маркетплейсы, даже госслужбы России, Польши и Литвы. Особый шик — ClickFix луры: юзеру подсовывают "CAPTCHA", а тот сам запускает скрипт, который сливает данные. Всё как надо — социальная инженерия 80-го уровня.

Финансовая магия: Ramp and Dump

Fortra отметила новый фокус триады — фишинг на брокерские аккаунты. Там воруют креды, заходят на биржу и устраивают "ramp and dump" — накручивают цену, сливают, уходят без следа. Крипта? Банки? Плевать. Любая платформа — playground для Smishing Triad.

Почему это работает

Потому что они не просто группа — это экосистема, где каждый винтик на своём месте. Они не ломают системы — они ломают людей. И пока большинство компаний борется с "phishing awareness training", Smishing Triad уже пишет следующий скрипт для массового обмана.

Финалка

Smishing Triad — это не просто банда. Это производственная линия по переработке доверчивости в кэш. 194 тысячи доменов, миллиард баксов, бесконечная ротация — и ни капли сожаления. Каждый день они придумывают новый предлог, новое имя, новый домен. И если ты получил СМС о "неоплаченной пошлине", помни — возможно, тебе пишет не служба доставки, а целая фабрика обмана, заточенная под то, чтобы ты кликнул.