СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 21:26
#ИБ

Китайская PhaaS-сеть атакует Японию через фишинг и SMS

Google раскрыл китайскую PhaaS-сеть, нацеленную на японских пользователей: под ударом финансы, промышленность и госструктуры

В конце 2025 года федеральный иск по закону RICO, поданный Google, вывел на свет масштабную китайскую киберпреступную сеть, работающую по модели Phishing as a Service (PhaaS). По данным отчета, в кампании фигурируют несколько злоумышленников, которые атакуют японских пользователей через разные каналы — от e-mail до SMS и iMessage.

По оценке исследователей, эта инфраструктура может быть связана с компрометацией примерно 115 миллионов credit cards в numerous странах. Такая активность усиливает опасения по поводу системных cyber threats, направленных против японской экономики, особенно financial и manufacturing секторов.

Почему Япония стала приоритетной целью

Авторы отчета указывают, что Япония привлекает внимание киберпреступников сразу по нескольким причинам:

  • крупная и устойчивая экономика;
  • широкая потребительская база, интересная для массового фишинга;
  • культурные особенности, которые могут препятствовать публичному раскрытию инцидентов.

Именно сочетание этих факторов делает страну удобной целью для злоумышленников, ориентированных как на массовую кражу учетных данных, так и на более точечные операции против высокоценной инфраструктуры.

Три кластера угроз: CoGUI, Smishing Triad и MirrorFace

Отдельное внимание в отчете уделено тому, что в японском сегменте киберпространства одновременно действуют три различных кластера акторов — CoGUI, Smishing Triad и MirrorFace. Их пересечение формирует сложную и многослойную threat landscape.

CoGUI проводит высокообъемные кампании целевого фишинга по электронной почте. Основная цель — кража учетных данных и номеров credit cards. При этом злоумышленники используют продвинутые техники уклонения, профилируя жертв по:

  • геолокации;
  • типу browser;
  • характеристикам device.

Smishing Triad делает ставку на SMS-платформы, прежде всего iMessage. Группа применяет бренд-специфичные phishing tactics, чтобы доставлять вредоносный контент. Отдельно отмечается, что ее операции поддерживаются subscription model для функций anti-detection, что позволяет быстро менять инфраструктуру в ответ на защитные меры.

MirrorFace связывают с китайской государственной espionage activity. Этот кластер нацелен на высокоценные объекты, включая defense contractors и research institutes. Для атак используются advanced spear-phishing techniques, опирающиеся на местный язык и контекст, что повышает убедительность сообщений и эффективность компрометации.

Одновременное давление на организации

Эксперты подчеркивают, что для компаний и учреждений риск заключается не только в наличии нескольких угроз, но и в их параллельном действии. Сотрудники финансового сектора, например, могут столкнуться с попытками атаки со стороны всех трех акторов в течение одной недели — и при этом не понять, что речь идет о пересекающихся кампаниях.

«Основная проблема заключается в том, что злоумышленники действуют не поодиночке, а в рамках взаимодополняющей экосистемы», — следует из логики отчета.

Возможный элемент LaaS

Аналитики также подозревают наличие компонента Localization as a Service (LaaS), который может влиять на эти операции. Речь идет о том, что японская языковая экспертиза и контент-стратегии могут быть разделены между разными операторами. Это повышает адаптивность атак и одновременно увеличивает уязвимость Японии.

Такой подход делает кампании более гибкими: одни участники могут специализироваться на инфраструктуре, другие — на локализации сообщений, третьи — на обходе защитных механизмов.

Что рекомендуют защитники

Отчет делает акцент на том, что организациям следует ориентироваться не только на ephemeral domains и IP-адреса, которые часто меняются, но и на поведенческие признаки атак.

В частности, рекомендуется:

  • отслеживать специфические patterns of traffic;
  • анализировать предназначенные filtering mechanisms;
  • выявлять операционные архитектуры злоумышленников;
  • оценивать их намерения по совокупности признаков, а не по отдельным индикаторам.

Именно такой подход, по мнению аналитиков, дает шанс распознавать атакующих даже тогда, когда их домены, IP-адреса и каналы доставки быстро меняются в рамках наступательной стратегии.

Вывод: ситуация вокруг Японии демонстрирует, как PhaaS, smishing и государственный phishing могут сосуществовать и усиливать друг друга. Для бизнеса и госструктур это означает необходимость перехода к более глубокой поведенческой аналитике и многоуровневой защите, рассчитанной на одновременные кампании разных типов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: