Китайська група Smishing Triad, пов’язана з фішингом через SMS, зареєструвала понад 194 000 шкідливих доменів з січня 2024 року, за даними Palo Alto Networks Unit 42. Ці домени імітують глобальні сервіси: банки, криптобіржі, поштові служби, поліцію, державні підприємства, електронні платіжки за проїзд, каршеринг, готелі, соцмережі та e-commerce. Основні цілі — Росія, Польща, Литва. Інфраструктура реєструється через гонконгського реєстратора Dominet (HK) Limited з китайськими nameservers, але хоститься переважно на американських хмарах, як Cloudflare. З 136 933 кореневих доменів 68% — під Dominet, переважно .com, але зросли .gov. Домени “живуть” недовго: 29% — до 2 днів, 71% — менше тижня, лише 6% — понад 3 місяці. Це дозволяє уникати виявлення. Найчастіше імітується USPS (28 045 FQDN), а приманки — про неоплачені штрафи чи доставку. Трафік переважно з США, Китаю, Сінгапуру. Група еволюціонувала від постачальника фішинг-кітів до PhaaS-екосистеми з ролями: розробники, брокери даних, продавці доменів, хостери, спамери, сканери номерів та блоклистів.

Вплив кампанії величезний: за 3 роки — понад $1 млрд доходу, за даними WSJ. У Q2 2025 атаки на брокерські акаунти зросли в 5 разів (Fortra), з крадіжкою даних для “ramp and dump” — маніпуляцій акціями. Рекомендації: моніторити короткочасні домени, SMS-трафік на приманки, верифікувати урядові сповіщення. Посилювати MFA поза SMS, виявляти аномалії в торгівлі. Колаборативна розвідка для розгрому PhaaS. Ця операція підкреслює глобальну загрозу мобільного фішингу, де швидкість і обсяг переважають над стелсністю.