Hoewel Russische sprekende dreigingsactoren traditioneel het phishing-as-a-service (PhaaS)-landschap domineren, groeit er binnen de Chinese underground een concurrerend ecosysteem snel. De Google Threat Intelligence Group (GTIG) analyseerde een tiental actuele Chinese PhaaS-aanbiedingen, die allen volwassen diensten zijn en waarschijnlijk nauw verbonden met het bredere criminele ecosysteem in die regio. Deze diensten verlagen niet alleen de toegangsdrempel voor Chinese cybercriminelen, maar tonen ook bredere trends in de evolutie van social engineering en credentialdiefstal.

Laat vorig jaar nam Google juridische stappen tegen een PhaaS-aanbieder en zet het zich sindsdien in voor wetgeving en technische maatregelen tegen dit soort scams. Binnen dit ecosysteem ziet GTIG een fundamentele verschuiving van statische wachtwoordroof naar realtime onderschepping en tokenisatie. Door gebruik te maken van live beheerpaneel kunnen aanvallers direct met slachtoffers communiceren om eenmalige wachtwoorden (OTP’s) te bemachtigen, waarmee ze multifactor-authenticatie (MFA) omzeilen. In plaats van alleen toegang tot accounts te verkrijgen, richten deze operaties zich op het misbruiken van digitale wallet provisioning om gestolen betaalgegevens om te zetten in getokeniseerde assets binnen ecosystemen. Deze ontwikkeling, gecombineerd met het gebruik van versleutelde communicatiekanalen zoals RCS en iMessage om traditionele beveiligingsfilters op sms te omzeilen, betekent dat het doel niet langer alleen een login is, maar directe, ongeautoriseerde controle over financiële accounts.

Het Chinese PhaaS-ecosysteem is geen regionale kopie van Russische operaties, maar een eigen markt met een unieke professionele cultuur. Vrijwel alle legitieme organisaties die door deze phishingdiensten worden nagebootst, zijn niet-Chinese entiteiten, wat suggereert dat ze zelden China zelf als doelwit hebben. In tegenstelling tot de Russische PhaaS-aanbieders, die zich vaak richten op klanten van grote organisaties, zijn de Chinese phishingdiensten vaker opportunistisch gericht op het algemene publiek. Ook opereren zij vaak openlijk, met minder aandacht voor operationele veiligheid; zo plaatsen zij regelmatig foto’s van hun luxe levensstijl op Telegram. Advertenties voor deze diensten verschijnen vooral op Telegram, in plaats van op regionaal populairdere platforms zoals WeChat of Tencent QQ, wat aansluit bij het bredere Chinese cybercrime-ecosysteem.

Naast PhaaS bieden deze ontwikkelaars vaak een breed scala aan aanvullende diensten, waaronder de verkoop van persoonsgegevens, domeinregistratie, VPS-hosting, serververhuur, witwasdiensten, IMSI-catchers en spammingdiensten. Sommige platformaanbieders handelen ook in gestolen betaalkaartgegevens. Een opvallende tactiek is het gebruik van RCS en iMessage voor de levering van phishingberichten, waarmee zij vertrouwen in moderne communicatie benutten en end-to-end encryptie gebruiken om traditionele server-side beveiliging te omzeilen.