lucid-phaas - RunkIntel

# Lucid PhaaS (XinXin Group) > [!warning] **Lucid PhaaS (XinXin Group)** é um grupo de ameaça atribuído a **China** ativo desde **2023**. ## Perfil **Lucid PhaaS** é uma plataforma sofisticada de Phishing-as-a-Service operada pelo grupo de cibercriminosos de língua chinesa **XinXin** (também conhecido como **Black Technology**). O principal desenvolvedor é rastreado como **LARVA-242**. A plataforma é oferecida via assinatura no Telegram, permitindo que operadores afiliados conduzam campanhas massivas de smishing em escala global. **Visão geral:** - Origem geográfica: China (operadores de língua chinesa) - Motivação primária: financeira (roubo de dados de cartão de crédito e PII) - Período de atividade: 2023 até o presente - Perfil de sofisticação: alto - Relevância para LATAM/Brasil: **alta** - campanhas ativas em múltiplos países da região - Modelo operacional: Phishing-as-a-Service (PhaaS) via Telegram **Descrição:** O Lucid se diferencia de outras plataformas de phishing por utilizar **Apple iMessage** e **Rich Commúnication Services (RCS)** do Android como vetores de entrega de smishing, ao invés de SMS tradicional. Isso permite que as mensagens maliciosas trafeguem por canais criptografados ponta-a-ponta, evadindo filtros de spam convencionais das operadoras de telecomúnicações. A plataforma opera com mais de 17.500 domínios de phishing imitando 316 marcas globais, incluindo bancos, serviços postais, empresas de courier e agências governamentais. Os operadores declaram capacidade de envio de **100.000 mensagens de smishing por dia**. O ecossistema PhaaS chinês inclui plataformas relacionadas como **Darcula** e **Lighthouse**, com sobreposição de templates, alvos e táticas - evidênciando uma economia subterrânea em crescimento. ## TTPs Principais | Tática | Técnica | ID ATT&CK | Descrição | |--------|---------|-----------|-----------| | Initial Access | Spear-phishing Link | [[t1566-002-spearphishing-link]] | Smishing via iMessage/RCS com links maliciosos | | Initial Access | Phishing | [[t1566-phishing]] | Campanhas massivas de phishing por SMS | | Initial Access | Phishing for Information | [[t1598-phishing-for-information]] | Coleta de dados de cartão e PII | | Execution | User Execution | [[t1204-user-execution]] | Vítima clica no link e acessa página falsa | | Defense Evasion | Obfuscated Files | [[t1027-obfuscated-files]] | URLs ofuscadas e domínios dinâmicos | | Defense Evasion | Domain Generation Algorithms | [[t1568-002-domain-generation-algorithms]] | Rotação massiva de domínios de phishing | | Command and Control | Web Protocols | [[t1071-001-web-protocols]] | C2 via HTTPS para painel de controle | | Credential Access | Input Capture | [[t1056-input-capture]] | Captura de dados em formulários falsos | | Collection | Data from Local System | [[t1005-data-from-local-system]] | Coleta de dados de navegador e dispositivo | ## Campanhas Documentadas - **Campanha Global Smishing (2024-2025)** - 169 entidades-alvo em 88 países. Uso massivo de iMessage e RCS para distribuição de links de phishing. Imitação de bancos, correios, serviços de delivery e agências governamentais. - **Campanhas LATAM (2024-2025)** - Operações direcionadas a usuários bancários no [[latam|Brasil]], [[latam|Colômbia]], [[latam|Chile]], [[latam|Argentina]] e [[latam|México]], com templates específicos em português e espanhol. - **Campanhas Europa/EUA (2024-2025)** - Alvos no [[Reino Unido]], [[EUA]] e países europeus com templates de serviços postais e fiscais. ## Infraestrutura e IoCs **Plataforma Lucid:** - Modelo de assinatura via Telegram - Painel web para gerenciamento de campanhas - Gerador de cartões de crédito integrado para válidação - Templates personalizáveis por país e marca - Distribuição via iMessage (iOS) e RCS (Android) **Ecossistema relacionado:** - **Darcula** - plataforma PhaaS concorrente com sobreposição de operadores - **Lighthouse** - terceira plataforma do ecossistema PhaaS chinês - Todas compartilham templates, pools de alvos e táticas **Indicadores de comprometimento:** - 17.500+ domínios de phishing ativos - Rotação frequente de domínios e IPs - Templates imitando 316 marcas globais *Nota: Domínios de phishing rotacionam constantemente. Consultar feeds de threat intel atualizados para IoCs correntes.* ## Relevância para o Brasil e LATAM O Lucid representa uma ameaça significativa para o Brasil e América Latina devido à sua capacidade de distribuição massiva e templates localizados em português e espanhol. **Setores alvo no Brasil:** - [[financial]] - bancos comerciais, fintechs, processadoras de pagamento - [[government]] - agências fiscais (Receita Federal), serviços postais (Correios) - [[telecommunications|telecomúnicações]] - operadoras e serviços de messaging **Diferencial de risco:** - Canal de entrega (iMessage/RCS) evade filtros de SMS tradicionais das operadoras brasileiras - Templates em português brasileiro com alta fidelidade visual - Volume de 100K mensagens diárias permite cobertura massiva - Modelo PhaaS permite que múltiplos operadores ataquem simultaneamente - Gerador de cartões integrado acelera monetização de dados roubados - Canais criptografados dificultam detecção e bloqueio por ISPs/operadoras **Recomendações:** - Monitorar indicadores de phishing via iMessage/RCS (não apenas SMS) - Implementar verificação de domínios em filtros anti-phishing - Campanhas de conscientização sobre smishing via apps de messaging - Coordenação com operadoras de [[telecommunications|telecomúnicações]] para bloqueio proativo - 2025-04 - [BleepingComputer - Lucid Phishing Platform](https://www.bleepingcomputer.com/news/security/phishing-platform-lucid-behind-wave-of-ios-android-sms-attacks/) - 2025 - [Dark Reading - Lucid Exploits iMessage, RCS](https://www.darkreading.com/threat-intelligence/lucid-phishing-exploits-imessage-android-rcs) - 2025 - [Bank Info Security - Surge in Smishing](https://www.bankinfosecurity.com/surge-in-smishing-fuelled-by-lucid-phaas-platform-a-27906) - 2025 - [Field Effect - XinXin Group PhaaS](https://fieldeffect.com/blog/xinxin-group-new-phaas-platform) - 2025 - [Security Online - Lucid Rising Threat](https://securityonline.info/lucid-the-rising-threat-of-phishing-as-a-service/) - 2025 - [GBHackers - 17,500 Phishing Domains](https://gbhackers.com/lucid-phaas-campaign/) - 2025 **Atores relacionados:** [[g0099-blind-eagle-apt-c-36]] · [[s0531-grandoreiro]] · [[s1122-mispadu]] **Plataformas concorrentes:** Darcula · Lighthouse **Malware e ferramentas:** [[s0154-cobalt-strike]] **TTPs principais:** [[t1566-002-spearphishing-link]] · [[t1566-phishing]] · [[t1598-phishing-for-information]] · [[t1056-input-capture]] · [[t1568-002-domain-generation-algorithms]] **Setores alvejados:** [[financial]] · [[government]] · [[telecommunications|telecomúnicações]] **Regiões:** [[latam]] · [[latam|Brasil]] · [[latam|Colômbia]] · [[latam|Chile]] · [[latam|Argentina]] · [[latam|México]] --- *Fonte: [The Hacker News - Lucid PhaaS Hits 169 Targets](https://thehackernews.com/2025/04/lucid-phaas-hits-169-targets-in-88.html)* ## Visão Geral > Conteúdo a ser adicionado. Use `/cti enrich` para enriquecer esta nota.