Sommario
Tra aprile e maggio 2025, emerge con chiarezza il ruolo crescente delle piattaforme phishing-as-a-service nella nuova economia del cybercrimine. In prima linea si colloca Darcula, un toolkit specializzato che non solo automatizza la generazione di pagine fraudolente, ma integra ora anche capacità avanzate di intelligenza artificiale generativa, abbattendo la barriera tecnica per criminali non specializzati.
La piattaforma, sviluppata da un’organizzazione con connessioni cinesi e distribuita tramite canali Telegram, si basa su un’infrastruttura modulare denominata Magic Cat, che ha già facilitato il furto di oltre 884.000 carte di credito in soli sette mesi, per un totale di 13 milioni di clic tracciati su link malevoli inviati via SMS, iMessage e RCS.
Questa analisi tecnica esplora il funzionamento interno di Darcula, la sua recente evoluzione AI-driven, il volume e la geolocalizzazione delle operazioni e il livello di sofisticazione raggiunto dalle sue implementazioni nel contesto globale del phishing industrializzato.
Evoluzione AI-driven: phishing multilingua e siti fraudolenti su misura
Il 23 aprile 2025, Darcula viene aggiornato con un modulo nativo di intelligenza artificiale generativa, capace di costruire interfacce phishing complesse in tempi rapidissimi. Il framework consente agli operatori di creare form di raccolta dati personalizzati, tradotti automaticamente nella lingua della vittima, e dotati di campi coerenti con la localizzazione geografica del bersaglio.
Il sistema utilizza modelli LLM per elaborare richieste generiche e restituire siti phishing perfettamente aderenti all’identità visiva di aziende legittime. Le tecniche di form engineering sono affiancate da generatori semantici che permettono l’adattamento automatico di linguaggio, tono, dizione e layout.
Netcraft, che ha documentato l’aggiornamento, evidenzia come questa funzione riduca drasticamente il tempo necessario per sferrare attacchi efficaci, aprendo la porta a cybercriminali con scarse competenze tecniche, e rendendo possibile il lancio di campagne complesse anche in ambienti finora non colpiti per motivi linguistici o culturali.
Magic Cat come backend operativo: architettura e persistenza
Il motore operativo di Darcula, denominato Magic Cat, agisce come una vera e propria piattaforma criminale distribuita, in grado di orchestrare l’invio di messaggi smishing, raccogliere dati in tempo reale, e convertire le carte rubate in crediti spendibili.
Le pagine phishing generate dal toolkit utilizzano tecniche di streaming lato server per visualizzare in tempo reale ogni carattere digitato dalle vittime, offrendo agli operatori la possibilità di intervenire istantaneamente per richiedere ulteriori dati, come PIN o OTP.
Secondo l’analisi di Mnemonic, il backend integra API per l’interazione con gateway SMS e dispone di una dashboard amministrativa evoluta, che consente la supervisione simultanea di più campagne attive. Le operazioni sono distribuite tramite SIM farm e modem in parallelo, gestiti da team criminali internazionali coordinati su canali Telegram privati.
Scala globale e danni economici: il caso dei 884.000 numeri di carta rubati
I numeri tracciati tra il 2023 e il 2024 confermano la portata industriale del progetto: 884.000 numeri di carta sottratti, 13 milioni di clic su link malevoli, e circa 19.000 utenti che, solo in Norvegia, hanno fornito dati sensibili dopo aver ricevuto messaggi di smishing. Le campagne hanno impiegato oltre 20.000 domini di phishing attivi, replicando brand di spedizioni, servizi postali, portali bancari e fornitori di energia.
Le vittime sono state colpite principalmente tramite messaggi che simulavano multe stradali, notifiche di pacchi e avvisi bancari, tutti costruiti per sfruttare un contesto plausibile e una tempistica efficace.
Le comunicazioni sono passate tramite iMessage e RCS, una caratteristica che aumenta l’efficacia dello smishing e aggira i sistemi di filtraggio dei messaggi SMS tradizionali. Questo ha permesso di colpire sia dispositivi Android che iOS, con un tasso di interazione notevolmente superiore alla media.
Identità e infrastruttura: l’ecosistema criminale dietro Darcula
Le investigazioni OSINT condotte da NRK e da analisti europei hanno permesso di identificare un giovane sviluppatore cinese, Yucheng C., come figura chiave nello sviluppo della piattaforma. L’azienda a cui era affiliato sostiene di essere coinvolta solo nella “creazione di software per siti web”, ma documenti interni, repository GitHub e conversazioni Telegram suggeriscono un coinvolgimento diretto nella messa in vendita e nell’aggiornamento del toolkit.
Il gruppo Darcula appare legato a una più ampia rete di attori noti come Smishing Triad, una costellazione di gruppi loosely connected attivi principalmente in Asia ma operativi a livello globale.
Il toolkit Lucid e la suite Lighthouse, citate come connesse a Darcula, condividono componenti e modelli di attacco, indicando una filiera software criminale specializzata in phishing modulare e adattivo.
