Las bandas chinas de phishing se están convirtiendo en una fuerza a tener en cuenta.

Las comunidades de phishing como servicio (PhaaS) en idioma chino se están expandiendo en un área históricamente dominada por grupos ciberdelincuentes de habla rusa.

El Grupo de Inteligencia sobre Amenazas de Google (GTIG) analizó una docena de ofertas activas de PhaaS que operan en comunidades clandestinas de habla china y encontró servicios maduros, varios de los cuales probablemente estén vinculados a actividades delictivas más amplias en la región.

Casi todas las organizaciones legítimas imitadas por estos servicios de phishing eran entidades no chinas, lo que sugiere que esta actividad rara vez tiene como objetivo a la propia China.

Los investigadores observaron que Telegram sirve como canal común para promocionar servicios de phishing, un patrón que coincide con la actividad en el ecosistema más amplio del cibercrimen en idioma chino.

GTIG identificó un “cambio fundamental”: pasar de la recopilación estática de contraseñas a la interceptación y tokenización en tiempo real.

Los atacantes utilizan paneles de administración en tiempo real que les permiten interactuar con las víctimas durante las actividades de phishing. Estos sistemas pueden capturar las contraseñas de un solo uso mientras los usuarios las introducen, creando una vía para eludir las protecciones de autenticación multifactor (MFA).

“En lugar de simplemente obtener acceso a las cuentas, estas operaciones se centran en explotar el aprovisionamiento de monederos digitales para transformar los datos de pago robados en activos tokenizados dentro de los ecosistemas”, escribió Google .

“Este cambio, combinado con el uso de canales de entrega cifrados como RCS e iMessage para eludir los filtros de seguridad tradicionales de las operadoras en los mensajes SMS, representa una tendencia emergente cuyo objetivo es obtener un control directo y no autorizado sobre las cuentas financieras de la víctima.”

La IA se está convirtiendo en una parte importante de la actividad de phishing.

Varios operadores de PhaaS en idioma chino adoptaron herramientas de IA para aumentar la escala y reducir la dependencia de la infraestructura estática de phishing.

Darcula, una plataforma PhaaS vinculada a UNC5814, muestra cómo la IA se está integrando en los servicios de phishing. La plataforma reemplazó las plantillas estáticas con generadores de páginas impulsados por IA y herramientas de automatización de navegadores como Puppeteer.

Esto permite a los usuarios clonar sitios web legítimos replicando su código HTML, CSS, JavaScript y elementos visuales mediante la URL de un sitio web de destino. Dado que cada página de phishing es única y no se basa en plantillas estáticas, los métodos de detección basados en firmas resultan cada vez menos efectivos.

Los operadores de phishing se aprovechan de los hábitos cotidianos de los consumidores.

YY Lai Yu, una plataforma de phishing como servicio que se anunció por primera vez en 2024, ofrece una perspectiva de hasta qué punto estas operaciones de phishing se han localizado.

El servicio admite ataques de phishing en 119 países y se ha centrado principalmente en Japón. Desde finales de 2025, la plataforma ofrece más de 400 plantillas de phishing que abarcan marcas y servicios japoneses.

Las campañas se extendieron más allá de los servicios bancarios y se adentraron en la vida cotidiana de los consumidores, utilizando temas relacionados con puntos de fidelización, programas de recompensas y ofertas de subsidios a la electricidad. La plataforma también implementó dominios que imitaban servicios de transporte público local, aplicaciones de pago, plataformas de comercio electrónico y marcas de videojuegos.

“Para proteger esta infraestructura altamente localizada, los sitios de phishing incluían una pantalla antibot única de verificación humana que aparecía antes de la página de phishing propiamente dicha. Al requerir un clic manual para continuar, este mecanismo dificultó con éxito el análisis automatizado por parte de los proveedores de seguridad, lo que añadió una capa de sigilo a la campaña localizada”, señalaron los investigadores.

GTIG también observó que los servicios de phishing desplegaban infraestructura automatizada dirigida a usuarios en América, Europa, Australia y Oriente Medio.

«La multitud de sofisticadas plataformas PhaaS disponibles para su compra y el enfoque de los ciberdelincuentes en la explotación de la tokenización de monederos digitales y la elusión de la autenticación multifactor demuestran que el ecosistema criminal con sede en China continúa evolucionando, lo que permite a los ciberdelincuentes con habilidades técnicas limitadas llevar a cabo operaciones de phishing», concluyó Google.

Fuente y redacción: helpnetsecurity.com

La IA se está convirtiendo en una parte importante de la actividad de phishing.

Los operadores de phishing se aprovechan de los hábitos cotidianos de los consumidores.

Hackers usan archivos SVG para meter el malware QBot a sistemas Windows

Se multiplican por 135 los enlaces falsos de WhatsApp: cuidado con los que abres.

Las infinitas caras del Phishing.