PhaaS cinesi intercettano OTP in tempo reale e tokenizzano wallet digitali

I PhaaS cinesi evolvono verso una nuova fase del phishing industrializzato, basata su intercettazione real-time dei codici OTP, bypass della MFA e tokenizzazione delle carte nei wallet digitali controllati dagli attaccanti. Il Google Threat Intelligence Group analizza una dozzina di piattaforme mature nell’underground in lingua cinese e descrive un ecosistema criminale che non si limita più a rubare password, ma interagisce in diretta con la vittima durante la sessione di phishing. Gli operatori sfruttano RCS e iMessage per consegnare esche cifrate, aggirare i filtri tradizionali degli operatori telefonici e aumentare il tasso di successo delle campagne. I pannelli di amministrazione mostrano in tempo reale credenziali, codici monouso e dati sensibili appena inseriti dall’utente, consentendo all’attaccante di usarli prima della scadenza. Il focus economico si sposta così verso il provisioning di carte di pagamento nei wallet digitali, con transazioni contactless, prelievi ATM e frodi ad alto valore. Questa evoluzione distingue nettamente i PhaaS cinesi dai modelli russi e mostra un mercato professionale che integra phishing, vendita di PII, registrazione domini, hosting VPS, money laundering e persino dispositivi IMSI catcher.

L’ecosistema PhaaS cinese cresce come mercato criminale integrato

Il Google Threat Intelligence Group descrive l’ecosistema PhaaS in lingua cinese come un mercato maturo, aperto e fortemente integrato con altri servizi criminali. A differenza di molti servizi russi, spesso orientati contro grandi organizzazioni e bersagli aziendali ad alto valore, i PhaaS cinesi colpiscono il pubblico generale con campagne opportunistiche ma molto scalabili. Gli operatori pubblicizzano apertamente i propri servizi su Telegram, evitano piattaforme più controllate come WeChat o Tencent QQ e mostrano spesso immagini di stili di vita lussuosi per attrarre affiliati e clienti. Il servizio non si limita alla fornitura di pagine di phishing, ma include pacchetti completi con dati personali rubati, registrazione di domini, noleggio di server VPS, supporto allo spamming, servizi di riciclaggio e strumenti di intercettazione mobile. Questa struttura abbassa drasticamente la barriera d’ingresso per criminali con competenze tecniche limitate. L’affiliato non deve costruire infrastruttura, scrivere codice o gestire complessi flussi di monetizzazione: acquista un servizio pronto e lo usa contro target internazionali, spesso fuori dalla Cina.

I pannelli live permettono il bypass immediato della MFA

La svolta tecnica più rilevante riguarda il passaggio dalla raccolta statica di credenziali all’intercettazione real-time. Quando la vittima inserisce username e password nella pagina malevola, i dati compaiono immediatamente nel pannello di amministrazione dell’attaccante. Se il servizio legittimo richiede un codice OTP, l’operatore avvia la stessa procedura sul proprio dispositivo e attende che la vittima inserisca il codice nella pagina di phishing. A quel punto il codice viene catturato e usato in pochi secondi, prima della scadenza. Questo meccanismo consente di superare molte implementazioni tradizionali di MFA basate su SMS, email o app di autenticazione con codici monouso. L’attacco non richiede malware sul dispositivo della vittima, perché sfrutta la sincronizzazione tra inganno visivo e azione manuale dell’operatore. I pannelli live rendono quindi il phishing più simile a una sessione interattiva di furto d’identità che a una semplice raccolta dati. La finestra temporale tra compromissione e monetizzazione si riduce drasticamente, aumentando l’efficacia delle campagne.

La tokenizzazione dei wallet trasforma il furto dati in frode immediata

I PhaaS cinesi puntano sempre più alla tokenizzazione delle carte di pagamento dentro wallet digitali controllati dagli attaccanti. Dopo aver rubato credenziali e codici OTP, l’operatore prova a provisionare la carta della vittima su un proprio dispositivo. Una volta completato il processo, la carta viene trasformata in un token spendibile attraverso pagamenti contactless, acquisti ad alto valore e in alcuni casi prelievi ATM. Questa strategia cambia la monetizzazione del phishing perché riduce la necessità di trasferire fondi attraverso canali bancari più esposti ai controlli. Il dato rubato diventa immediatamente un asset operativo. Gli attaccanti possono usare il wallet come strumento di spesa, aggirando parte delle frizioni associate al furto tradizionale di credenziali bancarie. I template dedicati a brokerage e piattaforme finanziarie permettono invece takeover di account per wire fraud, manipolazione di titoli e frodi più complesse. La tokenizzazione rappresenta quindi un passaggio critico: non serve più soltanto entrare nell’account della vittima, ma trasformare la sua identità finanziaria in uno strumento di pagamento controllato dall’attaccante.

YY Lai Yu usa oltre 400 template e punta sul Giappone

Il servizio YY Lai Yu, noto anche come YY来鱼, rappresenta uno dei casi più avanzati dell’ecosistema cinese. Lanciato ad agosto 2024 e gestito da un team che include YY Lai Yu, Jeffrey Carrie e Very casual, supporta campagne di phishing in 119 paesi ma mostra un’enfasi particolare sul Giappone. Dal novembre 2025 la piattaforma offre oltre 400 template, abbandonando le classiche esche bancarie generiche e puntando sullo stile di vita digitale dei residenti giapponesi. I brand imitati includono Amazon, Apple, DMM, Epos Card, JA Bank, JCB Card, JR, Matsui Securities, Mercari, Monex, Nintendo, Nomura Securities, Orico Card, PayPay, Rakuten Securities e Sagawa Express. Gli operatori sfruttano abitudini locali come punti fedeltà in scadenza, comunicazioni logistiche e sussidi energetici stagionali per costruire urgenza credibile. Il kit usa domini distinti per impersonare pagamenti, e-commerce, trasporti e gaming. Un controllo anti-bot umano verifica l’utente prima di mostrare la pagina di phishing, ostacolando analisi automatizzate e crawler di sicurezza.

Il pannello YY Lai Yu automatizza domini, BIN e gestione dei target

Il pannello amministrativo di YY Lai Yu mostra il livello di maturità del modello PhaaS cinese. Gli affiliati possono interrogare i dati phishati, filtrare le informazioni raccolte, bloccare carte in base al BIN, gestire paesi target e registrare nuovi domini tramite Alibaba direttamente dall’interfaccia. Questa integrazione trasforma il phishing in un servizio end-to-end, dove l’operatore non deve uscire dal pannello per passare dalla creazione dell’esca alla gestione dei dati rubati. Il supporto a centinaia di template consente campagne localizzate su larga scala, mentre il focus sul Giappone dimostra una comprensione molto precisa delle abitudini digitali locali. La piattaforma non si limita a imitare pagine bancarie, ma replica ecosistemi quotidiani: shopping, gaming, trasporti, consegne, pagamenti e investimenti. Questa attenzione culturale aumenta la credibilità delle esche e riduce la percezione di rischio da parte delle vittime. Il phishing moderno diventa così una forma di ingegneria sociale industrializzata, adattata alle micro-abitudini del mercato bersaglio.

RCS e iMessage sostituiscono gli SMS nelle campagne più evolute

Gli operatori PhaaS cinesi usano sempre più spesso Rich Communication Services e iMessage come canali di consegna delle esche. La scelta non è casuale: questi protocolli offrono crittografia end-to-end, funzioni avanzate e una percezione di maggiore affidabilità rispetto ai tradizionali SMS. Le ricevute di lettura, gli indicatori di digitazione, le immagini ad alta risoluzione e le chat di gruppo rendono il messaggio più credibile e riducono la diffidenza della vittima. Allo stesso tempo, la crittografia limita la capacità degli operatori telefonici di ispezionare i link malevoli e bloccare le campagne prima della consegna. L’onere della protezione si sposta quindi dal carrier al dispositivo e alle piattaforme applicative. Gli attaccanti sfruttano questo vuoto per diffondere link che sembrano provenire da servizi legittimi, corrieri, banche, piattaforme di pagamento o retailer. L’uso di RCS e iMessage dimostra che il phishing non evolve solo nelle pagine malevole, ma anche nei canali di delivery. La fiducia degli utenti nei sistemi di messaggistica moderna diventa una superficie d’attacco.

Darcula usa AI e Puppeteer per creare pagine di phishing uniche

La piattaforma Darcula, collegata al cluster UNC5814, rappresenta la fase più automatizzata di questa evoluzione. Il servizio integra strumenti di generazione basati su AI e automazione browser tramite Puppeteer. Gli affiliati possono fornire l’URL del sito legittimo e il sistema replica automaticamente HTML, CSS, JavaScript ed elementi visivi, generando pagine di phishing molto fedeli e spesso uniche. Questa capacità indebolisce i rilevamenti basati su signature, perché ogni pagina può presentare differenze sufficienti a sfuggire ai controlli statici. L’uso dell’intelligenza artificiale consente inoltre di adattare il contenuto a lingue, mercati e contesti locali senza richiedere competenze avanzate di sviluppo web. Darcula rende industriale la localizzazione del phishing e permette di creare campagne ad alta fedeltà in tempi ridotti. Il modello riduce i costi, aumenta la velocità di lancio e rende più difficile il lavoro dei team di threat intelligence. In questo quadro, l’AI non sostituisce l’attaccante ma amplifica la sua capacità di produzione, variazione ed evasione.

Google spinge FIDO2 e WebAuthn contro l’intercettazione OTP

Il Google Threat Intelligence Group ha già intrapreso azioni legali contro almeno un provider PhaaS e continua a sostenere misure tecniche e normative più robuste. L’analisi sottolinea però che la sola educazione degli utenti non basta più. Quando l’attacco avviene in tempo reale e usa pagine ad alta fedeltà, anche utenti attenti possono essere indotti a consegnare credenziali e codici OTP. La transizione verso standard come FIDO2 e WebAuthn rappresenta una delle contromisure più efficaci perché riduce la possibilità di riutilizzare credenziali intercettate su domini diversi. Le chiavi di sicurezza hardware e l’autenticazione passkey legata al dominio rendono molto più difficile il bypass real-time basato su OTP. Questo non impedisce automaticamente il furto di dati di pagamento, ma limita la weaponizzazione delle credenziali rubate. Le banche devono inoltre rafforzare le verifiche risk-based, il fingerprinting dei dispositivi e i controlli durante il provisioning dei wallet digitali. La difesa deve spostarsi dal semplice rilevamento della pagina malevola all’impossibilità tecnica di trasformare il dato rubato in accesso operativo.

Le frodi PhaaS cinesi mostrano il futuro del phishing finanziario

L’evoluzione dei PhaaS cinesi mostra una trasformazione profonda del phishing finanziario. Il modello non si basa più su campagne rudimentali, pagine statiche e furto passivo di password, ma su sessioni live, automazione AI, localizzazione culturale, canali cifrati e monetizzazione immediata tramite wallet digitali. Gli operatori agiscono in modo relativamente aperto, promuovono i servizi su Telegram e mostrano una sicurezza operativa debole, ma compensano questa esposizione con velocità, scalabilità e un ecosistema criminale completo. Il focus su target internazionali riduce il rischio interno in Cina e consente di colpire mercati ad alto valore come Giappone, Stati Uniti ed Europa. La combinazione tra RCS, iMessage, OTP real-time, tokenizzazione wallet e AI cambia il rapporto tra phishing e frode: il furto non è più un evento isolato, ma un flusso continuo che va dalla consegna dell’esca alla monetizzazione. Per banche, piattaforme digitali e utenti finali, la lezione è chiara. La protezione deve diventare strutturale, resistente al phishing e capace di bloccare l’abuso dei dati anche quando la vittima cade nella trappola.