Una nueva plataforma sofisticada de phishing as-a-Service (PHAAS) llamada Lucid ha dirigido a 169 entidades en 88 países que utilizan mensajes de agradecimiento propagados a través de Apple iMessage y Rich Communication Services (RCS) para Android.
El punto de venta único de Lucid radica en su arma de las plataformas de comunicación legítimas para dejar de lado los mecanismos tradicionales de detección basados en SMS.
«Su modelo escalable basado en suscripción permite que los ciberdelincuentes realicen campañas de phishing a gran escala para cosechar detalles de la tarjeta de crédito para fraude financiero», dijo la compañía suiza de seguridad cibernética ProDaft en un informe técnico compartido con The Hacker News.
«Lucid aprovecha la tecnología RCS de Apple iMessage y Android, sin pasar por los filtros de spam tradicionales de SMS y aumentando significativamente las tasas de entrega y éxito».
Se evalúa que Lucid es el trabajo de un equipo de piratería de habla china llamada Grupo Xinxin (también conocido como Tecnología Negra), con las campañas de phishing que se dirigen principalmente a Europa, el Reino Unido y los Estados Unidos con la intención de robar datos de tarjetas de crédito e información de identificación personal (PII).
Los actores de amenaza detrás del servicio, lo que es más importante, han desarrollado otras plataformas PHAA como Lighthouse y Darcula, la última de las cuales se ha actualizado con capacidades para clonar el sitio web de cualquier marca para crear una versión de phishing. El desarrollador de Lucid es un actor de amenaza con nombre en código LARVA-242, que también es una figura clave en el grupo de xinxina.
Las tres plataformas PHAAS comparten superposiciones en plantillas, piscinas de objetivos y tácticas, aludiendo a una economía subterránea floreciente donde los actores de habla china están aprovechando el telegrama para anunciar su wáez sobre una suscripción para los motivos basados en las ganancias.
Se ha encontrado que las campañas de phishing que dependen de estos servicios se hacen pasar por servicios postales, compañías de mensajería, sistemas de pago de peajes y agencias de reembolso de impuestos, empleando a las plantillas de phishing convincentes para que engañen a las víctimas para que proporcionen información delicada.
Las actividades a gran escala se alimentan en el backend a través de las granjas de dispositivos de iPhone y los emuladores de dispositivos móviles que se ejecutan en los sistemas de Windows para enviar cientos de miles de mensajes de estafas que contienen enlaces falsos de manera coordinada. Los números de teléfono que se dirigirán se adquieren a través de varios métodos, como violaciones de datos y foros de delito cibernético.
«Para las restricciones de clic en el enlace de iMessage, emplean ‘por favor responda con las técnicas y’ para establecer una comunicación bidireccional», explicó ProDaft. «Para el filtrado RCS de Google, giran constantemente de envío de dominios/números para evitar el reconocimiento de patrones».
«Para iMessage, esto implica la creación de ID de Apple temporales con nombres de visualización de suplantación, mientras que la explotación de RCS aprovecha las inconsistencias de implementación del operador en la verificación del remitente».
Además de ofrecer herramientas de automatización que simplifican la creación de sitios web de phishing personalizables, las páginas en sí incorporan técnicas avanzadas anti-detección y evasión como bloqueo de IP, filtrado de agente de usuario y URL de un solo uso de tiempo limitado.
Lucid también apoya la capacidad de monitorear la actividad de las víctimas y registrar cada interacción con los enlaces de phishing en tiempo real a través de un panel, lo que permite a sus clientes extraer la información ingresada. Los detalles de la tarjeta de crédito presentados por las víctimas están sujetos a pasos de verificación adicionales. El panel se construye utilizando el marco PHP de Webman de código abierto.
«El Panel Lucid Phaas ha revelado un ecosistema altamente organizado e interconectado de plataformas de phishing como servicio operadas por actores de amenazas de habla china, principalmente bajo el grupo Xinxin», dijo la compañía.
«El Grupo Xinxin desarrolla y utiliza estas herramientas y ganancias para vender información de la tarjeta de crédito robada mientras monitorea y apoya activamente el desarrollo de servicios de PHAA similares».
Vale la pena señalar que los hallazgos del espejo PRODAFT que la de la Unidad 42 de Palo Alto Networks, que recientemente llamó a los actores de amenaza no especificados para utilizar el patrón de dominio «com-» para registrar más de 10,000 dominios para propagar varias estafas de phishing SMS a través de Apple Imessage.
El desarrollo se produce cuando Barracuda advirtió sobre un «pico masivo» en los ataques de faas a principios de 2025 utilizando Tycoon 2FA, EvilProxy y Sneaky 2FA, con cada servicio que representa el 89%, 8%y el 3%de todos los incidentes de Phaas, respectivamente.
«Los correos electrónicos de phishing son la puerta de entrada para muchos ataques, desde robo de credenciales hasta fraude financiero, ransomware y más», dijo la investigadora de seguridad de Barracuda Deerendra Prasad. «Las plataformas que alimentan el phishing como servicio son cada vez más complejas y evasivas, lo que hace que los ataques de phishing más fueran para las herramientas de seguridad tradicionales para detectar y más potentes en términos del daño que pueden hacer».