¡Un correo electrónico me llevó a investigar una de las mayores campañas de PHISHING del momento!

¡Un correo electrónico me llevó a investigar una de las mayores campañas de PHISHING del momento!

02/05/2026

Autor: Juan Mathews Rebello Santos

1. RESUMEN EJECUTIVO

Este informe técnico documenta la investigación forense realizada por mí al recibir un correo electrónico fraudulento que contenía una supuesta notificación de premio y un depósito financiero pendiente. El análisis reveló una sofisticada infraestructura cibercriminal que opera campañas de phishing, scareware y fraude de afiliados a escala internacional.

Durante la investigación, identifiqué una cadena de redirecciones que consta de:

  • spam electrónico con ingeniería social;
  • abuso de la infraestructura de Cloudflare Pages;
  • compromiso de los empleados gubernamentales en la República Democrática del Congo;
  • Infraestructura de Comando y Control (C2);
  • uso del Algoritmo de Generación de Dominios (DGA);
  • Certificados SSL comodín;
  • y monetización a través de los programas de afiliados de Norton/Gen Digital a través de Impact Radius.

La operación demuestra un alto nivel de profesionalismo técnico, evasión antianálisis y automatización de campañas maliciosas.

2. ORIGEN DE LA INVESTIGACIÓN

La investigación comenzó después de que recibí un correo electrónico claramente falsificado enviado a la dirección:

[email protected]

El asunto del mensaje era:

Código de premio

El contenido del correo electrónico mezclaba texto árabe con mensajes de urgencia financiera, una estrategia utilizada para obstaculizar los filtros antispam y aumentar la apariencia de legitimidad.

Extracto identificado:

شكراً على مشاركتك في المسابقة
يرجى الاحتفاظ بالكود للمراجعة عند السحب

Traducción aproximada:

“Gracias por participar en el concurso.
Conserve el código para verificarlo durante el sorteo”.

El mensaje también incluía un supuesto código promocional:

Código: 9132289937520370

Sin embargo, el verdadero objetivo del correo electrónico era engañar al usuario para que hiciera clic en un enlace malicioso insertado en el medio del mensaje:

⚠️ Urgente: Su depósito de $3,639.00 está en espera. Confirma ahora:
https://obs.regideso.cd/?8nqrpm

El contenido también mostraba mi dirección de correo electrónico para agregar una sensación de personalización y legitimidad:

[email protected]

El análisis demostró que el correo electrónico fue creado para combinar:

  • premios falsos;
  • urgencia financiera;
  • idioma extranjero;
  • ingeniería social;
  • y ocultamiento parcial de la estafa.

El objetivo era inducir a la víctima a hacer clic inmediatamente.

3. CADENA DE REDIRECCIÓN MALICIOSA

Al acceder al enlace:

https://obs.regideso.cd/?8nqrpm

Identifiqué que el dominio sólo funcionaba como relevo intermedio dentro de la operación.

El flujo completo observado durante la investigación fue:

Correo no deseado
↓
obs.regideso.cd
↓
lino-wharf-river.pages.dev
↓
Subdominios aleatorios de yandehyto.com
↓
Dominios finales de scareware/phishing

Entre los destinos finales identificados se encuentran:

  • pelnoriva.tienda
  • baleiddiste.com
  • phidathracce.com

Esta arquitectura demuestra una cadena profesional de ofuscación de infraestructura, lo que dificulta el seguimiento, el bloqueo automatizado y el análisis forense.

4. ANÁLISIS DE RELÉS COMPROMETIDOS

El dominio:

obs.regideso.cd

resuelto a la IP:

161.35.30.54

alojado en la infraestructura de DigitalOcean.

El activo parecía pertenecer a la empresa pública de suministro de agua de la República Democrática del Congo:

*REGIDESO SA

Durante el análisis del entorno web, identifiqué:

  • archivos PHP no autorizados;
  • guiones que actúan como redirectores;
  • Exposición al entorno de Laravel;
  • backend operando en modo de depuración.

Archivos observados:

info.php index.php

También se expusieron rutas absolutas del servidor interno:

C:\api-facturas\api-facturas\

La exposición de esta información confirma graves fallas de endurecimiento y una configuración insegura del marco de Laravel.

5. INFRAESTRUCTURA DE MANDO Y CONTROL (C2)

El núcleo de la operación estaba centralizado en un servidor que operaba como:

  • redirector central;
  • rastreador de clics;
  • puerta de enlace de monetización;
  • y controlador de campaña.

Punto final identificado:

/hacer clic.php

6. TÉCNICAS DE EVASIÓN

6.1 Encubrimiento contra análisis

Identifiqué que el servidor implementó encubrimiento activo contra:

  • investigadores;
  • escáneres automatizados;
  • IP del centro de datos;
  • herramientas como curl y Nmap.

Cuando detectó un entorno sospechoso, el servidor respondió con:

HTTP/1.1 302Encontrado
Ubicación: http://yahoo.com/

o:

Ubicación: http://google.com/

Esta técnica reduce drásticamente la exposición de la página de destino maliciosa a los sistemas de seguridad.

6.2 DGA y DNS comodín

Durante la investigación, identifiqué un uso extensivo de DNS comodín en el dominio:

yandehyto.com

Cualquier subdominio aleatorio se resolvió correctamente en el servidor C2.

Ejemplos identificados:

  • q5tzrz.yandehyto.com *sj9k9f.yandehyto.com
  • whonou.yandehyto.com

Esta técnica permite la rotación infinita de URLs sin necesidad de registrar nuevos dominios.

6.3 Certificados SSL comodín

El operador utilizó certificados Wildcard válidos emitidos por Let's Encrypt:

*.yandehyto.com

Esto permitió HTTPS válido para todos los subdominios generados dinámicamente, lo que aumentó la credibilidad de la estafa.

7. ANÁLISIS DE SCAREWARE DE CARGA ÚTIL

Después de las redirecciones, la víctima fue redirigida a páginas alojadas en:

  • pelnoriva.tienda
  • baleiddiste.com
  • phidathracce.com

Estas páginas ejecutaron JavaScript malicioso simulando la interfaz de:

  • Protección total de McAfee

El código contenía funciones como:

start_circleProgress()

que simulaba análisis antivirus falsos y mostraba amenazas inexistentes:

*Win32/Hoax.Renos.HX * Troyano IRC/Backdor.Sd.FRV

También identifiqué:

  • uso de la API de pantalla completa;
  • bloqueo de navegación;
  • captura de enfoque de pestaña;
  • interceptación de onbeforeunload.

El objetivo era generar presión psicológica para inducir a la víctima a adquirir inmediatamente un antivirus.

8. FRAUDE DE AFILIADOS

La monetización final se produjo mediante redirecciones a páginas legítimas desde:

NortonLifeLock Generación Digital

La campaña abusó de la plataforma de afiliados:

  • Radio de impacto

Identificadores encontrados:

ID de socio: 3076190
ID de campaña: 4405

El modelo operativo convirtió el miedo inducido por el scareware en una comisión financiera.

9. PRUEBA FORENSE

Redirección HTTP

HTTP/1.1 302 encontrado
Servidor: nginx/1.28.0
Fecha: viernes 1 de mayo de 2026 20:12:37 GMT
Ubicación: https://sj9k9f.yandehyto.com/click.php?lp=1&uclick=d7qg...

Detección de encubrimiento:

[Detección activada] -> Redirigir a http://yahoo.com/

Certificado SSL

profundidad=0 CN = yandehyto.com

Nombre alternativo del sujeto X509v3:
DNS:*.yandehyto.com
DNS:yandehyto.com

Emisor:
C = Estados Unidos
O = vamos a cifrar
CN = E7

10. INDICADORES DE COMPROMISO (IOC)

IP

  • 161.35.30.54

Dominios

  • smilingtooth.com.sa *obs.regideso.cd
  • linen-wharf-river.pages.dev *yandehyto.com
  • baleiddiste.com
  • phidathracce.com
  • pelnoriva.tienda
  • pelnoriva.pelnoriva.tienda

Subdominios DGA

  • q5tzrz.yandehyto.com
  • sj9k9f.yandehyto.com
  • whonou.yandehyto.com

ID de afiliado

ID de socio de Impact Radius: 3076190
ID de campaña: 4405

11. CONCLUSIÓN

Con base en toda la investigación realizada, concluí que la campaña analizada representa una operación cibercriminal altamente profesional, utilizando:

  • suplantación de identidad;
  • programas de terror;
  • encubrimiento; *DGA;
  • abuso de infraestructura legítima;
  • fraude de afiliados;
  • y servidores de terceros comprometidos.

La operación demuestra una fuerte capacidad técnica en:

  • evasión antianálisis;
  • ingeniería social;
  • monetización fraudulenta;
  • automatización de campañas;
  • y ocultación de infraestructura.

12. REFERENCIAS CONFIABLES Y ANÁLISIS DE URL

A continuación se muestran los enlaces que prueban el análisis de dominios y URL en plataformas de inteligencia de amenazas.

VirusTotal

AlienVault OTX

AbusoIPDB

Censys

Senderos de seguridad

urlscan.io

Shodan

Nota: Las actividades maliciosas y los indicadores de compromiso ya han sido reportados a las autoridades correspondientes.