Interpol desmantela Sniper Dz
Una
operación liderada por la INTERPOL
el mes pasado logró desmantelar Sniper Dz, una plataforma de phishing como
servicio (PhaaS) que operaba desde hacía una década, según
informó Group-IB.
La operación liderada por Interpol,
denominada Ramz, se llevó a cabo entre octubre de 2025 y febrero de 2026, y en ella
participaron autoridades de 13 países de la región de Oriente Medio y Norte de
África (MENA), quienes realizaron 201 arrestos.
Entre los detenidos se encontraba Guedz, principal desarrollador y
administrador de Sniper Dz, un servicio PhaaS que, según se informa, había
recopilado más de 45.000 registros de víctimas. El arresto fue realizado por
la Policía Nacional de Argelia. A lo largo de los años, la plataforma cambió
de nombre a Joker Dz, Storm Dz y Spam Dz.
Como parte de la Operación Ramz, se desmanteló el sitio web utilizado para
ofrecer servicios PhaaS a otros ciberdelincuentes. Las autoridades también
incautaron hardware que contenía software y scripts de phishing.
«Activa desde al menos 2015, Sniper Dz se ha convertido en una sofisticada
plataforma criminal que ofrece kits de phishing listos para usar,
infraestructura de alojamiento y soporte operativo a ciberdelincuentes», declaró la empresa de ciberseguridad con sede en Singapur.
Desde entonces, se han identificado más de 20.000 dominios únicos asociados al
servicio PhaaS. El kit de herramientas se dirigió principalmente a 30
importantes organizaciones globales, como PayPal, Facebook, Instagram, Yahoo,
Netflix y Steam, utilizando 80 plantillas de phishing disponibles en cinco
idiomas: árabe, inglés, francés, español y hebreo.
Las campañas de phishing que utilizaban Sniper Dz se dirigían a usuarios de
plataformas tecnológicas, redes sociales y streaming en diversas regiones,
suplantando la identidad de marcas populares y entidades gubernamentales
mediante sitios web falsos muy convincentes, con el objetivo de obtener
credenciales, información personal y otros datos confidenciales.
Más allá del robo de credenciales tradicional, la plataforma también empleó
técnicas de ingeniería social que explotaron la popularidad y credibilidad de
figuras públicas en Oriente Medio y el Norte de África. Los ciberdelincuentes
crearon cuentas falsas en redes sociales suplantando la identidad de
personalidades políticas conocidas y las utilizaron para promocionar enlaces
de phishing disfrazados de ofertas promocionales o acceso gratuito a
internet».
Sniper Dz fue objeto de un
análisis exhaustivo realizado por Palo Alto Networks Unit 42
en octubre de 2024, que detalló el uso que hacía el ciberdelincuente de un
canal de Telegram con más de 7.300 suscriptores para compartir vídeos
tutoriales y las opciones que ofrecía para alojar las páginas de phishing en
su propia infraestructura, detrás de un servidor proxy.
Lo que diferenciaba a Sniper Dz del saturado mercado de PhaaS era que
ofrecía toda su infraestructura de forma gratuita, facilitando a los aspirantes a ciberdelincuentes la realización de campañas
de phishing a gran escala. Las vías de monetización, en cambio, se basaban en
el robo de credenciales y el tráfico de las víctimas.
«Las credenciales robadas podrían obtenerse mediante campañas de phishing,
mientras que los usuarios que no proporcionaran sus credenciales podrían ser
redirigidos a fraudes de facturación de operadores, suscripciones premium de
SMS, esquemas de abuso de notificaciones del navegador y otras campañas de
estafa impulsadas por afiliados», dijo Group-IB.
Europol desmantela AudiA6
En un comunicado emitido el jueves,
Europol afirmó
que el
desmantelamiento de AudiA6
interrumpió una
«clave de financiación utilizada para blanquear cientos de millones de
euros en ganancias ilícitas». Se estima que el servicio se utilizó para blanquear más de 336 millones de
euros (unos 389 millones de dólares) desde su lanzamiento en 2021.
«La plataforma se había convertido en un centro neurálgico para los
operadores de ransomware y los ciberdelincuentes que buscaban cobrar activos
digitales robados ocultando el rastro del dinero a las autoridades».
Se sospecha que los operadores de AudiA6 también administraban un foro de
ciberdelincuencia en la dark web conocido como Dark2Web, donde los
ciberdelincuentes anunciaban servicios ilícitos y se conectaban con otros
actores de amenazas en todo el mundo.
Como parte de la operación llevada a cabo el 10 de junio de 2026, se
realizaron varias acciones coordinadas, entre ellas:
-
La detención de dos presuntos administradores de nacionalidad ucraniana y
rusa en Georgia. - Tres registros patrimoniales.
- La eliminación de 25 dominios y la incautación de más de 30 servidores.
- La incautación de más de 80 vehículos y múltiples propiedades en Georgia.
-
La congelación de criptoactivos por valor de 692.000 € (798.000 $) y la
incautación de 86.000 € (99.400 $) en criptomonedas. - El bloqueo de las cuentas de Telegram utilizadas por la red.
«De los aproximadamente 10.333 bitcoins depositados, unos 393,39 BTC (con
un valor aproximado de 19.234.331 dólares en el momento de las
transacciones) se recibieron directamente de mercados de la dark web
conocidos, organizaciones de ransomware, servicios de ciberdelincuencia y
otras fuentes ilícitas, mientras que fondos adicionales se depositaron
indirectamente desde fuentes ilícitas en las carteras de AudiA6»,
declaró el Departamento de Justicia.
AudiA6 ha sido descrita como una operación de lavado de criptomonedas a escala
industrial que se basaba en miles de cuentas de intercambio fraudulentas
abiertas con identidades robadas o compradas. Este servicio criminal ha sido
vinculado a más de 15 investigaciones en todo el mundo relacionadas con
ataques de ransomware y robo masivo de criptomonedas.
Antes de su desarticulación, AudiA6 se promocionaba como un servicio de mezcla
de criptomonedas que garantizaba anonimato y rapidez. Permitía a los clientes
transferir sus ganancias ilícitas a monederos controlados por el grupo y
recibir fondos «limpios» a cambio en menos de una hora mediante una compleja
cadena de transacciones diseñada para ocultar el origen de los fondos.
Estas transacciones se realizaban a través de plataformas de mensajería
privada, y los operadores cobraban comisiones que oscilaban entre el 3% y el
10%.
Según Europol,
durante la investigación se identificaron más de 6.000 registros de
verificación de identidad (KYC) vinculados a cuentas de mulas de dinero.
«Muchas de estas cuentas estaban conectadas a intermediarios de habla rusa
reclutados específicamente para facilitar el blanqueo de capitales a través
de plataformas de intercambio de criptomonedas».
También se alega que AudiA6 utilizó proveedores de correo electrónico
comerciales y direcciones de correo electrónico vinculadas a dominios bajo su
control para registrar cuentas de mulas de dinero en diversas plataformas de
intercambio de criptomonedas.
En un informe publicado en noviembre de 2021,
Intel 471 reveló
que AudiA6 requería un saldo mínimo de 27 bitcoins y cobraba una comisión fija
de entre el 3% y el 5,5%. En diciembre de 2025,
un análisis de TRM Labs descubrió
que los fondos robados en el hackeo de LastPass de 2022 se canalizaron a
través de Cryptex y AudiA6.