La operación "Zaboy sviney" sube de nivel: ahora los hackers roban dinero directamente desde la nube de Google.
Un solo clic descuidado puede costar cientos de miles de dólares
Tras las sonoras sanciones de EE. UU. contra la red de ciberdelincuentes Triad Nexus parecía que su infraestructura sufriría de manera significativa. Sin embargo, al cabo de un año el grupo no solo restableció sus operaciones, sino que también reforzó notablemente la protección de sus actividades, complicando la labor de las fuerzas del orden y de las empresas en todo el mundo.
Según Silent Push, Triad Nexus sigue siendo uno de los ecosistemas de fraude más rentables. Desde 2020 la red se ha vinculado a pérdidas por más de 200 millones de dólares. Los ingresos principales provienen de los esquemas «Pig Butchering» y de estafas de criptomonedas, donde el perjuicio medio por víctima alcanza los 150.000 dólares. Tras las sanciones de 2025, los operadores desplazaron su foco hacia los mercados emergentes, al tiempo que mantuvieron el interés por empresas occidentales.
El grupo utiliza activamente el llamado «lavado de infraestructura». En lugar de servidores dudosos, los atacantes secuestran o compran cuentas en servicios en la nube de Amazon, Cloudflare, Google y Microsoft. Este esquema da a los sitios falsos la apariencia de recursos legítimos y aumenta la confianza incluso entre audiencias experimentadas. Al mismo tiempo, la base técnica principal sigue vinculada a la red CTG Server Limited, pero se distribuye en numerosos segmentos para complicar su detección. Se explicó anteriormente cómo FUNNULL enmascaró operaciones a través de la infraestructura de proveedores de nube estadounidenses.
Triad Nexus puso en serie la falsificación de marcas conocidas. En la red se encontraron copias exactas de sitios web de bancos, servicios de pago y marcas de lujo como Tiffany, Cartier y Chanel. Una línea aparte es la imitación de servicios logísticos y estatales, incluido Vietnam Post. A través de esos recursos los atacantes recopilan credenciales, información personal y realizan operaciones financieras con la participación de más de 25 bancos importantes.
Tras las sanciones la red empezó a bloquear a usuarios desde Estados Unidos. Al intentar abrir muchos sitios desde direcciones IP estadounidenses aparece un mensaje de indisponibilidad por motivos legales. Ese enfoque ayuda a ocultar la actividad ante los reguladores. Paralelamente, Triad Nexus desarrolla activamente operaciones en países hispanohablantes, Vietnam e Indonesia, usando versiones localizadas de las plataformas fraudulentas.
Otro elemento de camuflaje es la creación de empresas tapadera «limpias». Bajo la apariencia de servicios CDN legales como Bole CDN o CDN1.ai, los atacantes atraen clientes y socios, ocultando la conexión con la infraestructura de FUNNULL previamente comprometida. Para comunicarse usan mensajería, incluido Telegram, donde los operadores contactan directamente a potenciales compradores de servicios.
El informe dedica atención especial al aumento de la complejidad de la arquitectura técnica. Si antes la red se apoyaba en un número limitado de dominios, ahora se usan cientos de cadenas aleatorias de CNAME que ocultan la ubicación real de los servidores. Para analizar esos esquemas los especialistas desarrollaron la herramienta CNAME Chain Lookup, que permite rastrear toda la cadena de redirecciones y detectar los nodos finales de la infraestructura.
Los autores del informe consideran que las medidas de protección tradicionales ya no son eficaces contra redes de este tipo. Triad Nexus muestra un alto nivel de automatización y de flexibilidad, lo que exige pasar a una protección proactiva y a un análisis más profundo del tráfico de red.