Se ha observado una operación vinculada a Vietnam recientemente descubierta que utiliza una hoja de aplicación de Google como «retransmisión de phishing» para distribuir correos electrónicos de phishing con el objetivo de comprometer cuentas de Facebook.
La actividad ha sido nombrada en código. CuentaDumpling por Guardio, con el plan vendiendo las cuentas robadas a través de una tienda ilícita dirigida por los actores de la amenaza. En total, se estima que unas 30.000 cuentas de Facebook fueron pirateadas como parte de la campaña.
«Lo que encontramos no fue un solo kit de phishing», escribió el investigador de seguridad Shaked Chen en un informe compartido con The Hacker News. «Era una operación viva con paneles de operador en tiempo real, evasión avanzada, evolución continua y un circuito criminal-comercial que silenciosamente se alimenta de las mismas cuentas que ayuda a robar».
Los hallazgos son solo el ejemplo más reciente de cómo los actores de amenazas vietnamitas continúan adoptando diversas tácticas para obtener acceso no autorizado a las cuentas de Facebook de las víctimas, que luego se venden en ecosistemas subterráneos para obtener ganancias monetarias.
El punto de partida de los últimos ataques es un correo electrónico de phishing dirigido a propietarios de cuentas comerciales de Facebook, afirmando ser de Meta Support e instándolos a presentar una apelación o correr el riesgo de que su cuenta se elimine permanentemente. Los correos electrónicos se envían desde una dirección de Google AppSheet («noreply@appsheet.com»), lo que les permite evitar los filtros de spam.
Este falso sentido de urgencia se utiliza para dirigir a los usuarios a una página web falsa diseñada para recopilar sus credenciales. Vale la pena señalar que KnowBe4 informó sobre una campaña similar en mayo de 2025.
En las últimas semanas, estas campañas han adoptado varios tipos de señuelos diseñados para inducir un «pánico meta-relacionado». Estos van desde la inhabilitación de cuentas y quejas de derechos de autor hasta revisiones de verificación, reclutamiento de ejecutivos y alertas de inicio de sesión en Facebook. Los cuatro grupos principales identificados por Guardio se enumeran a continuación:
- Páginas del centro de ayuda de Facebook alojadas en Netlify que permiten ataques de apropiación de cuentas, además de recopilar fechas de nacimiento, números de teléfono y fotografías de identificación emitidas por el gobierno. En última instancia, los datos se reenvían a un canal de Telegram controlado por el atacante.
- Señuelos de evaluación con insignia azul que guían a las víctimas a las páginas «Comprobación de seguridad» o «Meta | Centro de privacidad» alojadas en Vercel que están cerradas por una verificación CAPTCHA falsa antes de dirigir a los usuarios a la página de inicio de phishing para recopilar detalles de contacto, información comercial, credenciales (después de un reintento forzado) y códigos de autenticación de dos factores (2FA) y exfiltrarlos a un canal de Telegram.
- Archivos PDF alojados en Google Drive que se hacen pasar por instrucciones para completar la verificación de la cuenta para dirigir a los usuarios a recopilar contraseñas, códigos 2FA, fotografías de identificación gubernamental y capturas de pantalla del navegador a través de html2canvas. Los documentos PDF se generan utilizando una cuenta gratuita de Canva.
- Ofertas de trabajo falsas que se hacen pasar por empresas como WhatsApp, Meta, Adobe, Pinterest, Apple y Coca-Cola para establecer una relación con los destinatarios y pedirles que se unan a una llamada o continúen la discusión en sitios controlados por atacantes.
En conjunto, se ha descubierto que los canales de Telegram asociados con los tres primeros grupos contienen alrededor de 30.000 registros de víctimas, la mayoría de las cuales están ubicadas en los EE. UU., Italia, Canadá, Filipinas, India, España, Australia, el Reino Unido, Brasil y México, y se les ha bloqueado el acceso a sus propias cuentas.
En cuanto a quién está detrás de la operación, la evidencia irrefutable proviene de los archivos PDF generados como parte del tercer grupo utilizando la cuenta gratuita de Canva, con metadatos que enumeran un nombre vietnamita «PHẠM TÀI TÂN» como autor de los archivos. Una mayor inteligencia de código abierto ha llevado al descubrimiento de un sitio web («phamtaitan(.)vn»), donde ofrecen servicios de marketing digital.
En una publicación compartida en X en febrero de 2023, el responsable del sitio web dijo que «se especializa en brindar servicios de marketing digital, recursos de marketing y consultoría sobre estrategias efectivas de marketing digital».
«En conjunto, forman una imagen consistente de una gran mega operación con base en Vietnam», dijo Chen. «Esta campaña es más grande que un simple abuso de AppSheet. Es una ventana al mercado oscuro en torno a los activos robados de Facebook, donde el acceso, la identidad comercial, la reputación de los anuncios e incluso la recuperación de cuentas se han convertido en productos comercializables. Otra entrada en el patrón que seguimos apareciendo: plataformas confiables reutilizadas como capas de entrega, alojamiento y monetización».