Een door INTERPOL geleide operatie resulteerde vorige maand in de ontwrichting van Sluipschutter Dzeen tien jaar lang phishing-as-a-service (PhaaS)-platform, zei Group-IB donderdag.
De inspanning, met de codenaam Operatie Ramz, vond plaats tussen oktober 2025 en februari 2026, waarbij autoriteiten uit 13 landen in het Midden-Oosten en Noord-Afrika (MENA) 201 arrestaties verrichtten.
Onder hen bevond zich Guedz, de belangrijkste ontwikkelaar en beheerder van Sniper Dz, een PhaaS-service die naar verluidt meer dan 45.000 slachtoffergegevens heeft verzameld. De arrestatie werd verricht door de Algerijnse Nationale Politie. In de loop der jaren heeft het platform zichzelf omgedoopt tot Joker Dz, Storm Dz en Spam Dz.
Als onderdeel van Operatie Ramz werd de website die werd gebruikt om PhaaS-mogelijkheden aan andere cybercriminelen aan te bieden, verwijderd. De autoriteiten namen ook hardware in beslag die phishingsoftware en -scripts bevatte.
“Sniper Dz is actief sinds minstens 2015 en is uitgegroeid tot een geavanceerd crimineel platform dat kant-en-klare phishing-kits, hostinginfrastructuur en operationele ondersteuning aan cybercriminelen biedt”, aldus het in Singapore gevestigde cyberbeveiligingsbedrijf.
In de jaren daarna zijn ruim 20.000 unieke domeinen geïdentificeerd die verband houden met de PhaaS-service. De toolkit was voornamelijk gericht op 30 grote mondiale organisaties, waaronder PayPal, Facebook, Instagram, Yahoo, Netflix en Steam, met behulp van 80 phishing-sjablonen in vijf talen, waaronder Arabisch, Engels, Frans, Spaans en Hebreeuws.
Phishingcampagnes met behulp van Sniper Dz hebben gebruikers van technologie, sociale media en streamingplatforms in verschillende regio’s uitgekozen door zich voor te doen als populaire merken en overheidsinstanties met behulp van overtuigende imitatiewebsites met als doel inloggegevens, persoonlijke informatie en andere gevoelige gegevens te verzamelen.
“Naast de traditionele diefstal van inloggegevens, maakte het platform ook gebruik van social engineering-technieken die de populariteit en geloofwaardigheid van publieke figuren in het Midden-Oosten en Noord-Afrika uitbuitten”, legt Group-IB uit. “Dreigingsactoren creëerden valse sociale media-accounts die bekende politieke persoonlijkheden nabootsten en gebruikten deze om phishing-links te promoten, vermomd als promotie-aanbiedingen of gratis internettoegang.”
Sniper Dz was het onderwerp van een uitgebreide analyse door Palo Alto Networks Unit 42 in oktober 2024, waarin gedetailleerd werd beschreven hoe de bedreigingsacteur een Telegram-kanaal met meer dan 7.300 abonnees gebruikte om instructievideo’s te delen en de opties die het biedt om de phishing-pagina’s op zijn eigen infrastructuur achter een proxyserver te hosten.
Wat Sniper Dz onderscheidde van de drukke PhaaS-markt, is dat het zijn volledige infrastructuur gratis aanbood, waardoor het voor aspirant-cybercriminelen gemakkelijker werd om op grote schaal phishing-campagnes uit te voeren. De manieren om inkomsten te genereren waren in plaats daarvan afhankelijk van diefstal van inloggegevens en slachtofferverkeer.
“Gestolen inloggegevens kunnen worden verzameld via phishing-campagnes, terwijl gebruikers die geen inloggegevens hebben opgegeven nog steeds kunnen worden omgeleid naar fraude met facturering door providers, premium sms-abonnementen, misbruikprogramma’s voor browsermeldingen en andere door partners aangestuurde oplichtingscampagnes”, aldus Group-IB.
