Los investigadores de ciberseguridad advierten una campaña de phishing SMS «generalizada y continua» que ha estado dirigida a los usuarios de Toll Road en los Estados Unidos para el robo financiero desde mediados de octubre de 2024.
«Los ataques de amenaza de Strishing Road están siendo llevados a cabo por múltiples actores de amenaza de motivación financiera que utilizan el kit de amordazos desarrollado por ‘Wang Duo Yu'», los investigadores de Cisco Talos Azim Khodjibaev, Chetan Raghuprasad y Joey Chen evaluaron con confianza moderada.
Las campañas de phishing, según la compañía, se hacen pasar por sistemas de recolección de peajes electrónicos de EE. UU. Como E-ZPass, envían mensajes de SMS e iMessage de Apple a personas en Washington, Florida, Pensilvania, Virginia, Texas, Ohio, Illinois y Kansas sobre un peaje no pagado y haciendo clic en un enlace falso enviado en el chat.
Vale la pena señalar que algunos aspectos de la campaña de phishing de peaje fueron destacados previamente por el periodista de seguridad Brian Krebs en enero de 2025, con la actividad remontada a un servicio de phishing SMS con sede en China llamado Lighthouse que se anuncia en Telegram.
Mientras que Apple iMessage desactiva automáticamente los enlaces en mensajes recibidos de remitentes desconocidos, los textos de amordazos instan a los destinatarios a responder con «y» para activar el enlace, una táctica observada en kits de phishing como Darcula y Xiū Gǒu.
Si la víctima hace clic en el enlace y visite el dominio, se les solicita que resuelva un desafío CaptCha basado en imágenes falsos, después de lo cual se redirigen a una página falsa de E-ZPass (por ejemplo, «EZP-VA (.lcom» o «E-ZPass (.) Com-Etcjr (.) Xin») donde se les pide que ingresen su nombre y código ZIP para acceder a la factura.
Luego se les pide a los objetivos que continúen más allá para realizar el pago en otra página fraudulenta, momento en el cual toda la información personal y financiera ingresada se desvía a los actores de amenazas.
Talos señaló que los actores de múltiples amenazas están operando las campañas de stepador de carreteras de peaje al hacer uso de un kit de phishing desarrollado por el dúo de Wang Yu, y que ha observado kits de amordazos similares utilizados por otro grupo de delito cibernético chino conocido como la tríada de amordazos.
Curiosamente, el dúo de Wang Yu también se alega que es el creador de los kits de phishing utilizados por la tríada de amordazos, según el investigador de seguridad Grant Smith. «El creador es un estudiante actual de informática en China que está utilizando las habilidades que está aprendiendo a hacer un centavo bastante paralelo», reveló Smith en un amplio análisis en agosto de 2024.
La tríada de Smishing es conocida por realizar ataques de amordazos a gran escala dirigidos a los servicios postales en al menos 121 países, utilizando señuelos de entrega de paquetes fallidos para obtener a los destinatarios de mensajes para que haga clic en enlaces falsos que solicitan su información personal y financiera bajo la apariencia de una supuesta tarifa de servicio para la pertenencia a la entrega.
Además, los actores de amenaza que usan estos kits han intentado inscribir los detalles de la tarjeta de las víctimas en una billetera móvil, lo que les permite cobrar aún más sus fondos a escala utilizando una técnica conocida como Ghost Tap.
También se ha encontrado que los kits de phishing se encuentran traseros en que la información de la tarjeta de crédito/débito capturada también se exfiltran a los creadores, una técnica conocida como doble robo.
«El dúo de Wang Yu ha creado y diseñado kits de smishing específicos y ha estado vendiendo acceso a estos kits en sus canales de telegrama», dijo Talos. «Los kits están disponibles con diferentes opciones de infraestructura, con un precio de US $ 50 cada uno para un desarrollo de funciones completa, $ 30 cada uno para el desarrollo de proxy (cuando el cliente tiene un dominio personal y un servidor), $ 20 cada uno para actualizaciones de versión y $ 20 para todos los demás soporte misceláneo».
A partir de marzo de 2025, se cree que el grupo de delitos electrónicos ha centrado sus esfuerzos en un nuevo kit de phishing de faro que está dirigido a la cosecha de credenciales de bancos y organizaciones financieras en Australia y la región de Asia-Pacífico, según Silent Push.
Los actores de amenaza también afirman tener «más de 300 personal de recepción en todo el mundo» para apoyar varios aspectos del fraude y los esquemas de efectivo asociados con el kit de phishing.
«Spondeando Tríada también está vendiendo sus kits de phishing a otros actores de amenazas alineados maliciosamente a través de Telegram y probablemente otros canales», dijo la compañía. «Estas ventas hacen que sea difícil atribuir los kits a cualquier subgrupo, por lo que los sitios se atribuyen actualmente aquí bajo el paraguas de tríada de Smithing».
En un informe publicado el mes pasado, ProDaft reveló que Lighthouse comparte superposiciones tácticas con kits de phishing como Lucid y Darcula, y que opera independientemente del grupo Xinxin, el grupo cibernético detrás del kit lúcido. La compañía de ciberseguridad suiza está rastreando el dúo Wang Yu (también conocido como Lao Wang) como Larva-241.
«Un análisis de los ataques realizados utilizando los paneles lúcidos y Darcula reveló que Lighthouse (dúo de Lao Wang / Wang Yu) comparte similitudes significativas con el grupo de xinxina en términos de orientación, páginas de destino y patrones de creación de dominios», señaló Productaft.
La empresa de seguridad cibernética Resecurity, que fue la primera en documentar la tríada de amordazamiento en 2023 y también ha estado rastreando las campañas de peaje de estafa, dijo que el sindicato de amordazos ha utilizado más de 60,000 nombres de dominio, lo que hace que sea desafiante para Apple y Google para bloquear la actividad fraudulenta de manera efectiva.
«El uso de servicios de SMS a granel subterráneo permite a los ciberdelincuentes escalar sus operaciones, dirigiendo a millones de usuarios simultáneamente», dijo ReseCurity. «Estos servicios permiten a los atacantes enviar eficientemente miles o millones de mensajes de IM fraudulentos, dirigidos a usuarios individualmente o grupos de usuarios basados en datos demográficos específicos en varias regiones».