Una sofisticada campaña de phishing surgió en mayo de 2025, dirigida a los ciudadanos estadounidenses a través de una suplantación coordinada de las agencias del Departamento de Motorías (DMV) coordinados.
Esta operación a gran escala utilizó técnicas de phishing SMS combinadas con infraestructura web engañosa para cosechar información personal y financiera de víctimas desprevenidas en múltiples estados.
Los atacantes emplearon mensajes alarmantes sobre violaciones de peaje no remuneradas, dirigiendo a los destinatarios a sitios web fraudulentos de DMV que provocaron el pago inmediato de multas nominales para resolver problemas legales ficticios.
El vector de ataque principal de la campaña involucró mensajes de SMS enviados a partir de números de teléfono falsificados, muchos rastreados hasta los orígenes en Filipinas, con remitentes aprovechando técnicas de falsificación sofisticadas para mejorar la legitimidad.
SMS falsificado (Fuente – Punto de verificación)
Las víctimas recibieron mensajes amenazantes que citan códigos legales fabricados como “(nombre de estado) Código administrativo 15C-16.003” y advertencias de suspensión de la licencia o sanciones legales si no se tomaron medidas inmediatas.
Estos mensajes ordenaron a los usuarios que hicieran clic en enlaces maliciosos que conducen a sitios web de phishing con temas estatales diseñados para recopilar información personal y credenciales de tarjetas de crédito bajo la apariencia de verificación de identidad.
Sitio web de Phishing (fuente – Punto de verificación)
Investigadores de punto de control anotado que la campaña demostró una notable sofisticación y escala técnicas, con el Centro de Quejas de Delitos de Internet del FBI recibiendo más de 2,000 quejas relacionadas dentro de un solo mes.
El impacto generalizado de la operación provocó alertas oficiales de múltiples estados, incluidos Nueva York, Nueva Jersey, Pensilvania, Florida, Texas y California, mientras que los medios de comunicación nacionales, incluidos CBS News, Fox News, The New York Post, y Time Magazine proporcionaron una amplia cobertura para crear conciencia pública.
Análisis y atribución de infraestructura
El análisis técnico reveló una operación de phishing altamente estructurada que utiliza infraestructura compartida y patrones consistentes en todos los dominios maliciosos.
Dominios de phishing registrados (Fuente – Punto de verificación)
Los atacantes emplearon una estructura de dominio predecible siguiendo el patrón https: // (state_id) dmv.gov- (4-letter-string) .cfd/pay, con la mayoría de los dominios alojados en la dirección IP maliciosa 49.51.75.162.
El análisis descubrió seis archivos HTML asignados a diferentes estados, cada uno con firmas de hash únicas que incluyen Pennsylvania (5C7B246EC5B654C6BA0C86C89BA5CBAA61D68536EFC32) y California (5DF0FCC2B6B3D3E52FB635C0B7BAC41D27B5B75CBFEB1).
Las páginas DMV clonadas utilizaron TLD predecibles (Fuente – Punto de verificación)
La campaña utilizó infraestructura DNS uniforme con todos los dominios que apuntan a Alidns.com y los servidores de nombres DNS8.alidns.com, mientras que la dirección de contacto SOA mostró constantemente (correo electrónico protegido).
El análisis DOM reveló que cada sitio web de phishing contenía activos estáticos idénticos que incluyen archivos JavaScript (c18umyzn.js, flicexij.js), archivos CSS (c0zfn5gx.css) y activos de imagen (bhcjxi3x.gif, bkbiyrmz.svg).
La reutilización de estos activos en los dominios indicó fuertemente el uso de un kit de phishing centralizado conocido como “faro”, utilizado anteriormente contra los DMV de EE. UU., Con comentarios en el idioma chino en el código fuente que refuerza la atribución a un actor de amenaza con sede en China.
¿Eres de los equipos SOC/DFIR! – Interactuar con malware en el sandbox y encontrar IOC relacionados. – Solicitar Tria gratis de 14 días
