Mastodon Mastodon Mastodon Mastodon

Operación Ramz: caída de Sniper Dz, plataforma PhaaS en MENA

Foto del autor

CyberSecureFox Editorial Team

Publicado:

Según la empresa Group-IB, una operación internacional liderada por INTERPOL llevó al desmantelamiento de Sniper Dz, una plataforma de «phishing como servicio» (PhaaS) que, según se informa, funcionaba desde 2015 y proporcionaba a los ciberdelincuentes una infraestructura gratuita para la ejecución de ataques de phishing. La operación con nombre en clave Operation Ramz, llevada a cabo presuntamente entre octubre de 2025 y febrero de 2026 por fuerzas de seguridad de 13 países de Oriente Medio y el Norte de África, terminó con 201 detenciones y la incautación de equipos con software de phishing. Se recomienda a los usuarios de PayPal, Facebook, Instagram, Yahoo, Netflix y Steam, cuyas credenciales podrían haberse visto comprometidas a través de esta plataforma, que cambien sus contraseñas y revisen la actividad de sus cuentas.

Alcance e infraestructura técnica de la plataforma

Según el comunicado de prensa de Group-IB, Sniper Dz constituía un ecosistema criminal maduro que ofrecía kits de phishing listos para usar, infraestructura de alojamiento y soporte operativo. A lo largo de su existencia, la plataforma cambió de nombre en varias ocasiones, operando también bajo las marcas Joker Dz, Storm Dz y Spam Dz.

Según los investigadores, las principales características técnicas de la plataforma eran las siguientes:

  • Más de 20.000 dominios únicos vinculados a campañas de phishing
  • 80 plantillas de phishing, desplegadas en cinco idiomas: árabe, inglés, francés, español y hebreo
  • Ataques dirigidos a usuarios de 30 grandes organizaciones globales, incluidas PayPal, Facebook, Instagram, Yahoo, Netflix y Steam
  • Más de 45.000 registros de víctimas recopilados a través de la plataforma
  • Posibilidad de alojar páginas de phishing en la propia infraestructura de la plataforma, detrás de un servidor proxy

Las campañas de phishing se dirigían a usuarios de servicios tecnológicos, redes sociales y plataformas de streaming en varias regiones. Los atacantes imitaban marcas populares y organismos públicos mediante sitios falsos convincentes para la recogida de credenciales y datos personales.

Modelo de negocio único y métodos de monetización

La característica clave de Sniper Dz, que la distinguía de sus competidores en el mercado PhaaS, era una infraestructura completamente gratuita para sus usuarios. Esto reducía significativamente la barrera de entrada para ciberdelincuentes novatos, permitiéndoles llevar a cabo campañas de phishing sin inversiones iniciales.

Tal como describe Group-IB, la monetización se basaba en dos líneas. La primera era la recogida directa de credenciales robadas mediante las campañas de phishing. La segunda consistía en redirigir a los usuarios que no facilitaban sus credenciales hacia esquemas de fraude con pagos móviles, suscripciones a SMS premium, abuso de notificaciones del navegador y otras campañas fraudulentas de afiliación. En la práctica, la plataforma obtenía beneficios de cada visitante de una página de phishing, independientemente de si introducía o no sus datos.

Ingeniería social en la región MENA

Además del phishing estándar orientado al robo de credenciales, los operadores de Sniper Dz, según los investigadores, utilizaban activamente la ingeniería social explotando la popularidad y autoridad de figuras públicas de Oriente Medio y el Norte de África. Los atacantes creaban cuentas falsas en redes sociales que imitaban a conocidos líderes políticos y, a través de ellas, difundían enlaces de phishing disfrazados de ofertas publicitarias o de acceso gratuito a internet. Este enfoque demuestra la adaptación de las tácticas de phishing a las particularidades regionales y al contexto cultural de la audiencia objetivo.

Evaluación del impacto y contexto

El desmantelamiento de Sniper Dz es significativo por varios motivos. El modelo de distribución gratuita de la infraestructura de phishing implicaba que la plataforma daba servicio potencialmente a miles de operadores con habilidades técnicas mínimas. La magnitud de 20.000 dominios y 45.000 registros de víctimas probablemente solo refleje una parte del daño real, teniendo en cuenta un periodo de actividad de una década.

Los usuarios más expuestos al riesgo eran los de grandes servicios de consumo en la región MENA y en países francófonos, precisamente las audiencias a las que se dirigían las plantillas lingüísticas de la plataforma. No obstante, las plantillas en inglés y español ampliaban el alcance geográfico de los ataques mucho más allá de la región.

Importante aclaración: todos los datos sobre la operación Ramz, incluido el número de detenciones y la participación de 13 países, se basan exclusivamente en los informes de Group-IB. No existen declaraciones oficiales de INTERPOL ni de las fuerzas de seguridad nacionales en las fuentes disponibles, lo que exige cautela a la hora de valorar la exhaustividad y precisión de las cifras aportadas.

Recomendaciones

Para los usuarios de los servicios contra los que se dirigieron las campañas de Sniper Dz:

  • Cambie las contraseñas de sus cuentas de PayPal, Facebook, Instagram, Yahoo, Netflix y Steam, especialmente si recibió enlaces sospechosos en estos idiomas: árabe, francés, español o hebreo
  • Active la autenticación multifactor en todos los servicios mencionados; esto neutraliza las credenciales robadas
  • Revise el historial de inicios de sesión y las sesiones activas de sus cuentas para detectar accesos no autorizados
  • Compruebe sus suscripciones a servicios móviles; si detecta suscripciones premium a SMS que no reconoce, póngase en contacto con su operador de telefonía

Para organizaciones y equipos de seguridad:

  • Revise los registros en busca de accesos a dominios previamente asociados con Sniper Dz (los indicadores concretos de compromiso no se han revelado en los informes públicos de Group-IB)
  • Refuerce el filtrado de correos de phishing teniendo en cuenta las plantillas multilingües que imitan a grandes marcas de consumo
  • Lleve a cabo acciones de concienciación entre los empleados sobre la táctica de utilizar cuentas falsas de figuras públicas para difundir enlaces de phishing

A pesar del desmantelamiento de la infraestructura de Sniper Dz, las credenciales robadas ya podrían haberse vendido o utilizado. La acción prioritaria es activar la autenticación multifactor en todas las cuentas que pudieran haber sido objetivo de esta plataforma y rotar las contraseñas, especialmente si se utilizaba la misma contraseña en varios de los servicios incluidos en la lista de objetivos de Sniper Dz.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio