SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

13 jun 2026

Segu-Info » , , » Interpol y Europol desmantelan operaciones Sniper Dz y AudiA6

Interpol y Europol desmantelan operaciones Sniper Dz y AudiA6

13 jun 2026, 11:33:00 a.m.   Comenta primero!
  , ,  

Interpol desmantela Sniper Dz

Una operación liderada por la INTERPOL el mes pasado logró desmantelar Sniper Dz, una plataforma de phishing como servicio (PhaaS) que operaba desde hacía una década, según informó Group-IB.

La operación liderada por Interpol, denominada Ramz, se llevó a cabo entre octubre de 2025 y febrero de 2026, y en ella participaron autoridades de 13 países de la región de Oriente Medio y Norte de África (MENA), quienes realizaron 201 arrestos.

Entre los detenidos se encontraba Guedz, principal desarrollador y administrador de Sniper Dz, un servicio PhaaS que, según se informa, había recopilado más de 45.000 registros de víctimas. El arresto fue realizado por la Policía Nacional de Argelia. A lo largo de los años, la plataforma cambió de nombre a Joker Dz, Storm Dz y Spam Dz.

Como parte de la Operación Ramz, se desmanteló el sitio web utilizado para ofrecer servicios PhaaS a otros ciberdelincuentes. Las autoridades también incautaron hardware que contenía software y scripts de phishing.

"Activa desde al menos 2015, Sniper Dz se ha convertido en una sofisticada plataforma criminal que ofrece kits de phishing listos para usar, infraestructura de alojamiento y soporte operativo a ciberdelincuentes", declaró la empresa de ciberseguridad con sede en Singapur.

Desde entonces, se han identificado más de 20.000 dominios únicos asociados al servicio PhaaS. El kit de herramientas se dirigió principalmente a 30 importantes organizaciones globales, como PayPal, Facebook, Instagram, Yahoo, Netflix y Steam, utilizando 80 plantillas de phishing disponibles en cinco idiomas: árabe, inglés, francés, español y hebreo.

Las campañas de phishing que utilizaban Sniper Dz se dirigían a usuarios de plataformas tecnológicas, redes sociales y streaming en diversas regiones, suplantando la identidad de marcas populares y entidades gubernamentales mediante sitios web falsos muy convincentes, con el objetivo de obtener credenciales, información personal y otros datos confidenciales.

Más allá del robo de credenciales tradicional, la plataforma también empleó técnicas de ingeniería social que explotaron la popularidad y credibilidad de figuras públicas en Oriente Medio y el Norte de África. Los ciberdelincuentes crearon cuentas falsas en redes sociales suplantando la identidad de personalidades políticas conocidas y las utilizaron para promocionar enlaces de phishing disfrazados de ofertas promocionales o acceso gratuito a internet».

Sniper Dz fue objeto de un análisis exhaustivo realizado por Palo Alto Networks Unit 42 en octubre de 2024, que detalló el uso que hacía el ciberdelincuente de un canal de Telegram con más de 7.300 suscriptores para compartir vídeos tutoriales y las opciones que ofrecía para alojar las páginas de phishing en su propia infraestructura, detrás de un servidor proxy.

Lo que diferenciaba a Sniper Dz del saturado mercado de PhaaS era que ofrecía toda su infraestructura de forma gratuita, facilitando a los aspirantes a ciberdelincuentes la realización de campañas de phishing a gran escala. Las vías de monetización, en cambio, se basaban en el robo de credenciales y el tráfico de las víctimas.

"Las credenciales robadas podrían obtenerse mediante campañas de phishing, mientras que los usuarios que no proporcionaran sus credenciales podrían ser redirigidos a fraudes de facturación de operadores, suscripciones premium de SMS, esquemas de abuso de notificaciones del navegador y otras campañas de estafa impulsadas por afiliados", dijo Group-IB.

Europol desmantela AudiA6

En un comunicado emitido el jueves, Europol afirmó que el desmantelamiento de AudiA6 interrumpió una "clave de financiación utilizada para blanquear cientos de millones de euros en ganancias ilícitas". Se estima que el servicio se utilizó para blanquear más de 336 millones de euros (unos 389 millones de dólares) desde su lanzamiento en 2021.

"La plataforma se había convertido en un centro neurálgico para los operadores de ransomware y los ciberdelincuentes que buscaban cobrar activos digitales robados ocultando el rastro del dinero a las autoridades".

Se sospecha que los operadores de AudiA6 también administraban un foro de ciberdelincuencia en la dark web conocido como Dark2Web, donde los ciberdelincuentes anunciaban servicios ilícitos y se conectaban con otros actores de amenazas en todo el mundo.

Como parte de la operación llevada a cabo el 10 de junio de 2026, se realizaron varias acciones coordinadas, entre ellas:

  • La detención de dos presuntos administradores de nacionalidad ucraniana y rusa en Georgia.
  • Tres registros patrimoniales.
  • La eliminación de 25 dominios y la incautación de más de 30 servidores.
  • La incautación de más de 80 vehículos y múltiples propiedades en Georgia.
  • La congelación de criptoactivos por valor de 692.000 € (798.000 $) y la incautación de 86.000 € (99.400 $) en criptomonedas.
  • El bloqueo de las cuentas de Telegram utilizadas por la red.

"De los aproximadamente 10.333 bitcoins depositados, unos 393,39 BTC (con un valor aproximado de 19.234.331 dólares en el momento de las transacciones) se recibieron directamente de mercados de la dark web conocidos, organizaciones de ransomware, servicios de ciberdelincuencia y otras fuentes ilícitas, mientras que fondos adicionales se depositaron indirectamente desde fuentes ilícitas en las carteras de AudiA6", declaró el Departamento de Justicia.

AudiA6 ha sido descrita como una operación de lavado de criptomonedas a escala industrial que se basaba en miles de cuentas de intercambio fraudulentas abiertas con identidades robadas o compradas. Este servicio criminal ha sido vinculado a más de 15 investigaciones en todo el mundo relacionadas con ataques de ransomware y robo masivo de criptomonedas.

Antes de su desarticulación, AudiA6 se promocionaba como un servicio de mezcla de criptomonedas que garantizaba anonimato y rapidez. Permitía a los clientes transferir sus ganancias ilícitas a monederos controlados por el grupo y recibir fondos "limpios" a cambio en menos de una hora mediante una compleja cadena de transacciones diseñada para ocultar el origen de los fondos.

Estas transacciones se realizaban a través de plataformas de mensajería privada, y los operadores cobraban comisiones que oscilaban entre el 3% y el 10%.

Según Europol, durante la investigación se identificaron más de 6.000 registros de verificación de identidad (KYC) vinculados a cuentas de mulas de dinero. "Muchas de estas cuentas estaban conectadas a intermediarios de habla rusa reclutados específicamente para facilitar el blanqueo de capitales a través de plataformas de intercambio de criptomonedas".

También se alega que AudiA6 utilizó proveedores de correo electrónico comerciales y direcciones de correo electrónico vinculadas a dominios bajo su control para registrar cuentas de mulas de dinero en diversas plataformas de intercambio de criptomonedas.

En un informe publicado en noviembre de 2021, Intel 471 reveló que AudiA6 requería un saldo mínimo de 27 bitcoins y cobraba una comisión fija de entre el 3% y el 5,5%. En diciembre de 2025, un análisis de TRM Labs descubrió que los fondos robados en el hackeo de LastPass de 2022 se canalizaron a través de Cryptex y AudiA6.

Fuente: THN I | THN II



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!