Una operación dirigida por INTERPOL el mes pasado provocó la interrupción de francotiradoruna plataforma de phishing como servicio (PhaaS) de una década, dijo el jueves Group-IB.
El esfuerzo, cuyo nombre en código es Operación Ramz, tuvo lugar entre octubre de 2025 y febrero de 2026, y en él las autoridades de 13 países de la región de Medio Oriente y África del Norte (MENA) realizaron 201 arrestos.
Entre ellos se encontraba Guedz, el principal desarrollador y administrador de Sniper Dz, un servicio PhaaS que se dice que recopiló más de 45.000 registros de víctimas. La detención fue realizada por la Policía Nacional de Argelia. Con el paso de los años, la plataforma se rebautizó como Joker Dz, Storm Dz y Spam Dz.
Como parte de la Operación Ramz, el sitio web utilizado para ofrecer capacidades PhaaS a otros ciberdelincuentes fue eliminado. Las autoridades también confiscaron hardware que contenía software y scripts de phishing.
«Activo desde al menos 2015, Sniper Dz evolucionó hasta convertirse en una sofisticada plataforma criminal que ofrece kits de phishing listos para usar, infraestructura de alojamiento y soporte operativo a los ciberdelincuentes», dijo la empresa de ciberseguridad con sede en Singapur. dicho.
Desde entonces, se han identificado más de 20.000 dominios únicos asociados con el servicio PhaaS. El conjunto de herramientas se dirigió principalmente a 30 organizaciones globales importantes, incluidas PayPal, Facebook, Instagram, Yahoo, Netflix y Steam, utilizando 80 plantillas de phishing implementadas en cinco idiomas, incluidos árabe, inglés, francés, español y hebreo.
Las campañas de phishing que utilizaban Sniper Dz señalaron a los usuarios de tecnología, redes sociales y plataformas de transmisión en varias geografías al hacerse pasar por marcas populares y entidades gubernamentales utilizando sitios web de imitación convincentes con el objetivo de recopilar credenciales, información personal y otros datos confidenciales.
«Más allá del tradicional robo de credenciales, la plataforma también aprovechó técnicas de ingeniería social que explotaron la popularidad y credibilidad de figuras públicas en todo Medio Oriente y África del Norte», explicó Group-IB. «Los actores de amenazas crearon cuentas falsas en las redes sociales haciéndose pasar por personalidades políticas conocidas y las utilizaron para promover enlaces de phishing disfrazados de ofertas promocionales o acceso gratuito a Internet».
Sniper Dz fue objeto de un análisis exhaustivo realizado por la Unidad 42 de Palo Alto Networks en octubre de 2024, que detalló el uso por parte del actor de amenazas de un canal de Telegram con más de 7.300 suscriptores para compartir videos tutoriales y las opciones que ofrece para alojar las páginas de phishing en su propia infraestructura detrás de un servidor proxy.
Lo que hizo que Sniper Dz se destacara del abarrotado mercado PhaaS es que ofrecía toda su infraestructura de forma gratuita, lo que facilitaba a los aspirantes a ciberdelincuentes llevar a cabo campañas de phishing a escala. En cambio, las vías de monetización se basaron en el robo de credenciales y el tráfico de víctimas.
«Las credenciales robadas podrían recolectarse a través de campañas de phishing, mientras que los usuarios que no proporcionaron sus credenciales aún podrían ser redirigidos a fraudes de facturación del operador, suscripciones premium de SMS, esquemas de abuso de notificaciones del navegador y otras campañas fraudulentas impulsadas por afiliados», Group-IB dicho.
