Il business delle frodi digitali ha un nome: Darcula, una piattaforma di phishing-as-a-service che in soli sette mesi, tra il 2023 e il 2024, è riuscita a sottrarre i dati di 884.000 carte di credito. Un'operazione orchestrata attraverso 13 milioni di clic su link malevoli inviati via messaggio a vittime in tutto il mondo. L'inchiesta, frutto di una collaborazione tra testate giornalistiche europee come NRK, Bayerischer Rundfunk, Le Monde e la società di sicurezza norvegese Mnemonic, ha portato all'identificazione di circa 600 operatori criminali e del principale creatore della piattaforma, gettando luce su un ecosistema criminale in rapida espansione.
Dietro questo sofisticato sistema si cela "Magic Cat", un potente toolkit di phishing che rappresenta il cuore tecnologico dell'operazione Darcula. Gli investigatori, infiltrandosi nei gruppi Telegram associati al network criminale, hanno scoperto foto di fattorie di SIM, modem e prove di stili di vita lussuosi finanziati con i proventi delle truffe. L'analisi forense ha seguito le tracce digitali fino a un individuo cinese e a un account GitHub collegato allo sviluppo della piattaforma.
Secondo quanto riportato da NRK, il principale responsabile sarebbe un ventiquattrenne originario della provincia di Henan, in Cina, collegato a un'azienda che avrebbe creato Magic Cat. Un portavoce della società ha dichiarato che l'individuo sarebbe un ex dipendente, negando qualsiasi coinvolgimento in attività fraudolente e sostenendo che l'azienda vende esclusivamente "software per la creazione di siti web". Nonostante l'azienda abbia ammesso che Magic Cat viene utilizzato per il phishing promettendo di interromperne lo sviluppo, una nuova versione è stata rilasciata poco dopo.
L'evoluzione di un ecosistema criminale sofisticato
Darcula non è una semplice piattaforma di phishing, ma un vero e proprio servizio avanzato che prende di mira utenti Android e iPhone in oltre 100 paesi. Utilizza circa 20.000 domini che imitano marchi noti per rubare le credenziali degli account delle vittime. I messaggi di phishing si presentano comunemente come notifiche di multe per pedaggi stradali o avvisi di spedizione di pacchi, contenenti link a siti fraudolenti accuratamente costruiti.
I ricercatori di Netcraft, che per primi hanno evidenziato questa crescente minaccia nel marzo 2024, hanno notato come Darcula si distinguesse da servizi simili per la sua capacità di utilizzare RCS e iMessage invece dei tradizionali SMS, rendendo i suoi attacchi più efficaci e meno identificabili. Nel febbraio 2025, gli stessi ricercatori hanno riportato un'evoluzione significativa della piattaforma, che ora permette agli operatori di generare automaticamente kit di phishing per qualsiasi marchio.
Le innovazioni non si sono fermate: ad aprile 2025, Darcula ha introdotto funzionalità di intelligenza artificiale generativa, consentendo ai criminali di creare truffe personalizzate con l'aiuto di strumenti LLM in qualsiasi lingua e per qualsiasi tema. Oltre a questo, la piattaforma ha implementato nuove funzionalità stealth, un convertitore da carta di credito a carta virtuale e un pannello di amministrazione semplificato, rendendo l'operazione ancora più accessibile anche a criminali meno esperti.
L'inchiesta di NRK ha rivelato che circa 600 truffatori individuali utilizzano Darcula per rubare informazioni sulle carte di pagamento dalle vittime a livello globale. Questi operatori sono organizzati in gruppi Telegram chiusi, che NRK ha monitorato per oltre un anno, scoprendo che la maggior parte comunica in cinese e gestisce fattorie di SIM e configurazioni hardware per inviare messaggi di testo di massa e processare le carte rubate attraverso terminali dedicati.
Tra gli operatori identificati, spicca un utente basato in Thailandia, noto come 'x66/Kris', che sembra occupare una posizione elevata nella gerarchia dell'organizzazione e gestire volumi particolarmente alti di traffico malevolo facilitato da Darcula. Tutte le informazioni raccolte dai ricercatori e dagli investigatori sono state condivise con le autorità di polizia competenti, nella speranza di fermare questa vasta operazione di cybercrimine internazionale.