A Evolução dos Serviços de Phishing Chinês: PhaaS, Interceptação em Tempo Real e o Fim do MFA Tradicional

O ecossistema chinês de PhaaS está evoluindo rapidamente, com serviços maduros que permitem interceptação em tempo real de OTPs, bypass de MFA e tokenização de dados de pagamento em carteiras digitais. Diferente dos grupos russos, esses operadores focam em alvos globais, usam canais criptografados como RCS e iMessage, e automatizam a criação de páginas de phishing com IA. Para empresas brasileiras, a lição é clara: treinamento de usuários não basta — é preciso migrar para autenticação FIDO2/WebAuthn e adotar verificação baseada em risco.

Enquanto os atores de ameaças de língua russa dominaram historicamente o cenário de phishing-as-a-service (PhaaS), um ecossistema rival cresce rapidamente no submundo de língua chinesa. O Google Threat Intelligence Group (GTIG) analisou uma dúzia de ofertas atuais de PhaaS nesse mercado — todas maduras e muitas intrinsecamente ligadas ao ecossistema criminal mais amplo da região. Esses serviços não apenas reduzem a barreira de entrada para cibercriminosos chineses, mas também revelam padrões mais amplos sobre a evolução da engenharia social e do roubo de credenciais. No final do ano passado, o Google tomou medidas legais contra um provedor de PhaaS e, desde então, tem trabalhado para endossar leis e implementar salvaguardas técnicas contra esse tipo de golpe.

Dentro desse ecossistema, o GTIG observou uma mudança fundamental: a coleta estática de senhas cedeu lugar à interceptação em tempo real e tokenização. Usando painéis administrativos ao vivo, os atacantes podem interagir com as vítimas em tempo real para capturar one-time passcodes (OTPs), permitindo que burlem a autenticação multifator (MFA) instantaneamente. Em vez de simplesmente obter acesso à conta, essas operações focam em explorar o provisionamento de carteiras digitais para transformar dados de pagamento roubados em ativos tokenizados dentro de ecossistemas controlados pelos criminosos. Essa mudança — combinada com o uso de canais de entrega criptografados como RCS e iMessage para contornar filtros de segurança tradicionais das operadoras em mensagens SMS — representa uma evolução onde o objetivo não é mais apenas um login, mas obter controle direto e não autorizado sobre as contas financeiras da vítima.

O ecossistema PhaaS de língua chinesa

O ecossistema PhaaS de língua chinesa não é apenas um espelho regional das operações russas — é um mercado distinto, moldado por uma cultura profissional única. Quase todas as organizações legítimas imitadas por esses serviços de phishing são entidades não chinesas, sugerindo que raramente miram a China.

• Impacto público: Diferentemente das grandes ofertas de PhaaS baseadas na Rússia, que geralmente miram clientes de grandes organizações, os serviços de phishing anunciados em comunidades de língua chinesa costumam ser projetados para atingir o público geral de forma mais oportunista.
• Operações abertas: Ao contrário de seus equivalentes de língua russa, os provedores de serviços de phishing de língua chinesa frequentemente operam abertamente, com menos preocupação com segurança operacional. Por exemplo, os atores de ameaças que administram esses serviços postam regularmente fotos de seus estilos de vida luxuosos no Telegram.
• Foco no Telegram: Os anúncios dos serviços de phishing são publicados regularmente no Telegram, em vez de canais como WeChat (Weixin) ou Tencent QQ, que são regionalmente mais populares. Essa abordagem é consistente com o ecossistema mais amplo do cibercrime de língua chinesa.
• Oferta extensa: Embora o PhaaS seja o núcleo dessas operações, esses desenvolvedores também costumam oferecer inúmeros serviços auxiliares, formando uma oferta completa, madura e extensa. Isso inclui venda de informações pessoais identificáveis (PII), registro de nomes de domínio e serviços de hospedagem VPS, aluguel de servidores, serviços de lavagem de dinheiro, dispositivos de interceptação (IMSI catchers) e serviços de envio de mensagens (auxílio a spam). Alguns fornecedores de plataforma também estão envolvidos na negociação de informações de cartões de pagamento roubados.

TTPs notáveis do PhaaS de língua chinesa

1. Entrega via RCS e iMessage: Esses ataques começam explorando a confiança em comunicações modernas. Em vez de SMS tradicional, os operadores de PhaaS de língua chinesa utilizam fortemente o Rich Communication Services (RCS) e o Apple iMessage. Protocolos com criptografia ponta a ponta dificultam que a infraestrutura de entrega do servidor inspecione ou filtre links maliciosos, tornando a proteção no dispositivo crítica. As mensagens também contêm recursos de engajamento mais extensos (como confirmações de leitura, indicadores de digitação, funcionalidades de grupo, além da capacidade de enviar imagens de alta resolução, vídeos e arquivos maiores). Isso as torna ideais para operações de engenharia social, já que os chamarizes parecem notavelmente legítimos para o usuário comum.
2. Interceptação em tempo real: Quando uma vítima clica em um link malicioso e insere suas credenciais, os dados são exibidos instantaneamente em um painel administrativo. Isso permite que o adversário interaja com a vítima em tempo real. Enquanto a vítima é solicitada a inserir um OTP, o atacante dispara simultaneamente a mesma solicitação de OTP em seu próprio dispositivo. A vítima insere o código na página de phishing, e o atacante o captura segundos antes de expirar.
3. Alavancagem de carteiras digitais para monetização: Uma característica definidora dessas operações é a exploração do provisionamento de carteiras digitais para monetizar detalhes de pagamento roubados. Os atacantes usam credenciais e OTPs capturados para provisionar o cartão da vítima em uma carteira digital em um dispositivo controlado por eles. Uma vez tokenizado, o cartão pode ser usado para transações de alto valor, pagamentos por aproximação e saques em ATM. Embora o roubo de dados de cartão de pagamento seja o foco, esse ecossistema também desenvolve templates voltados para corretagem, que podem facilitar account takeovers (ATO) tradicionais para fraudes bancárias e manipulação de ações.
4. Automação baseada em IA: Múltiplos operadores de PhaaS de língua chinesa adotaram IA para suas operações, permitindo escala e furtividade. Um exemplo é a plataforma Darcula PhaaS, que o GTIG relaciona ao grupo UNC5814. Ela abandonou templates estáticos, utilizando geradores de páginas com IA e ferramentas de automação de navegador como Puppeteer. Isso permite que usuários clonem sites legítimos replicando seu HTML, CSS, JavaScript e elementos visuais apenas fornecendo a URL do site alvo. Como cada página de phishing é única — ao contrário de templates estáticos — os métodos de detecção baseados em assinatura tornam-se cada vez menos eficazes.

Localização como serviço (Localization-as-a-Service)

O ecossistema PhaaS de língua chinesa migrou para um modelo altamente automatizado, capaz de gerar conteúdo localizado para diversos mercados internacionais. Diferentemente dos kits de phishing tradicionais, que historicamente dependiam de templates estáticos e mal traduzidos, esses operadores fornecem infraestrutura para fluência cultural em escala. Oferecendo desde geradores de páginas com IA até assistência de entrega específica por região, eles permitem que afiliados com baixa qualificação técnica lancem campanhas de alto realismo.

YY Lai Yu (YY来鱼): um estudo de caso em localização

YY Lai Yu (YY来鱼), anunciado pela primeira vez em agosto de 2024, é um exemplo de oferta PhaaS que proporciona um ecossistema digital localizado. Embora a plataforma suporte phishing em 119 países, seu maior foco tem sido o Japão. Gerenciado por uma equipe central que inclui "YY Lai Yu", "Jeffrey Carrie" e "Very casual", o serviço fornece a atores de ameaças de língua chinesa a infraestrutura localizada necessária para atingir efetivamente o ecossistema de consumidores japoneses.

Desde novembro de 2025, o YY Lai Yu ofereceu mais de 400 templates de phishing aos seus clientes, indo além dos chamarizes bancários genéricos para mirar também o estilo de vida digital dos residentes japoneses. Esses templates incluíam diversos idiomas e marcas japonesas, como Amazon, Apple, DMM, Epos Card, JA Bank, JCB Card, JR (Estrada de Ferro), Matsui Securities, Mercari, Monex, Nintendo, Nomura Securities, Orico Card, PayPay, Rakuten Securities e Sagawa Express. No entanto, em vez de apenas fornecer páginas de conta falsas, os atores de ameaças exploraram profundamente os hábitos de consumo locais, desenvolvendo chamarizes de "pontos" (积分) e resgate de recompensas, pressionando as vítimas a resgatar pontos de fidelidade supostamente expirando por dinheiro ou mercadorias. Demonstrando um profundo conhecimento do clima econômico local, os operadores também exploraram preocupações com o custo de vida, criando chamarizes em torno do Subsídio de Eletricidade de Inverno do Japão.

Ao implantar domínios distintos que personificam desde transporte local e aplicativos de pagamento até grandes plataformas de e-commerce e jogos, o YY Lai Yu exemplifica o quão abrangentes essas ofertas de PhaaS se tornaram. Para proteger essa infraestrutura altamente localizada, os sites de phishing apresentavam uma tela de verificação humana anti-bot exclusiva, que aparecia antes da página de phishing real. Ao exigir um clique manual para prosseguir, esse mecanismo dificultava a análise automatizada por fornecedores de segurança, adicionando uma camada de furtividade à campanha localizada.

Como a maioria dos outros serviços, o YY Lai Yu utiliza RCS e iMessage para enviar mensagens criptografadas em massa e oferece suporte a interações sincronizadas com as vítimas para colher dados de cartão de pagamento e OTPs. O painel administrativo permite que os usuários consultem seus dados pescados, bloqueiem ou destaquem certos tipos de cartão de acordo com seu número BIN, bloqueiem países ou territórios individuais e registrem e gerenciem novos domínios para suas páginas de phishing usando o serviço de registro de domínios da Alibaba. Além disso, os administradores do painel podem criar novos usuários operadores e atribuir permissões. O serviço também oferece domínios que podem ser comprados diretamente no painel administrativo.

Enquanto o YY Lai Yu mostra um foco em países como Japão, o ecossistema PhaaS chinês mais amplo lança uma ampla rede global. O GTIG observou outros serviços proeminentes implantando rotineiramente infraestrutura automatizada para comprometer usuários nas Américas, Europa, Austrália e Oriente Médio—incluindo, potencialmente, o Brasil.

Perspectivas

A popularidade contínua desses serviços demonstra um interesse sustentado em fraudes de cartão de pagamento por parte de atores de ameaças baseados na China. A multitude de plataformas PhaaS sofisticadas disponíveis para compra e o foco dos atores de ameaças na exploração da tokenização de carteiras digitais e bypass de MFA mostram que o ecossistema criminal chinês continua evoluindo, capacitando atores com habilidades técnicas limitadas a realizar operações de phishing.

Medidas de segurança contra phishing padrão (como treinamento de conscientização do usuário) continuam sendo uma primeira linha de defesa importante. No entanto, a proliferação do ecossistema PhaaS de língua chinesa reforça a necessidade de controles técnicos que vão além da educação do usuário. Por exemplo, a migração para infraestrutura FIDO2/WebAuthn representa uma contramedida eficaz contra a interceptação em tempo real de OTPs de autenticação de conta. Embora chaves de segurança não impeçam um usuário de inserir dados de pagamento diretamente em um site de phishing inédito, aumentar a dificuldade de alavancar credenciais roubadas reduz radicalmente as oportunidades do adversário. Essas atualizações de autenticação corporativa devem ser combinadas com verificação baseada em risco e fingerprinting de dispositivos pelos bancos emissores durante o processo de provisionamento de carteiras digitais.

À medida que esses operadores continuam refinando suas ferramentas, o objetivo dos defensores deve mudar de simplesmente "detectar" um phishing para tornar as credenciais da vítima tecnicamente impossíveis de serem usadas. Atualizações frequentes e contínuas dessas plataformas indicam que os operadores de PhaaS de língua chinesa estão aperfeiçoando suas ferramentas para maximizar o impacto global.

Perguntas Frequentes

• O que torna o ecossistema chinês de PhaaS diferente do russo?
  Diferente dos serviços russos, que miram grandes organizações, o PhaaS chinês tem alvo mais oportunista no público geral, opera abertamente em Telegram com baixa segurança operacional e oferece um ecossistema completo — desde venda de PII até serviços de lavagem de dinheiro e interceptação de IMSI.

• Como esses serviços conseguem bypassar o MFA?
  Eles usam painéis de administração em tempo real: quando a vítima insere suas credenciais, o atacante dispara simultaneamente uma solicitação de OTP no próprio dispositivo. O código gerado é inserido na página falsa e capturado segundos antes de expirar, permitindo contornar a autenticação multifator.

• O que é tokenização de carteira digital e como é usada?
  Tokenização é o processo de converter dados de cartão de pagamento em um token que pode ser provisionado em uma carteira digital (ex.: Apple Pay, Google Pay). Os atacantes usam credenciais e OTPs capturados para adicionar o cartão da vítima a um dispositivo controlado por eles, permitindo transações de alto valor e saques em ATM.

• Como as empresas brasileiras podem se proteger contra essas ameaças?
  Além do treinamento de usuários, é essencial migrar para autenticação FIDO2/WebAuthn, que elimina a eficácia da interceptação em tempo real de OTPs. Bancos emissores devem implementar verificação baseada em risco e fingerprinting de dispositivos durante o provisionamento de carteiras digitais.

• Por que o uso de RCS e iMessage é preocupante?
  Esses protocolos usam criptografia ponta a ponta, impedindo que operadoras e filtros de segurança inspecionem o conteúdo das mensagens. Isso torna a detecção de links maliciosos muito mais difícil, transferindo a responsabilidade para dispositivos e aplicativos de mensageria.

---

Artigo originalmente publicado por Google Threat Intelligence Group em Cloud Blog.