Darcula là một nền tảng Phishing-as-a-Service (PhaaS) đang nổi lên nhanh chóng trong giới tội phạm mạng toàn cầu. Trong khoảng thời gian bảy tháng, từ năm 2023 đến 2024, nền tảng này đã phát tán các chiến dịch phishing thông qua tin nhắn giả mạo, dẫn đến việc đánh cắp 884.000 thẻ tín dụng từ người dùng ở hơn 100 quốc gia. Các tin nhắn thường giả dạng thông báo giao hàng hoặc vi phạm giao thông, chứa đường dẫn đến các trang web giả mạo thương hiệu nổi tiếng.
Nền tảng PhaaS Darcula không chỉ dựa vào SMS truyền thống mà còn sử dụng RCS và iMessage, giúp chiến dịch lừa đảo chủ yếu nhắm vào người dùng Android và iPhone tại hơn 100 quốc gia, vượt qua các bộ lọc thông thường và tăng khả năng đánh lừa người dùng. Với hơn 20.000 domain giả mạo và khả năng tùy biến phishing kit theo từng thương hiệu, Darcula cho phép các operator dễ dàng triển khai các cuộc tấn công lừa đảo tinh vi, từ đánh cắp thông tin đăng nhập đến dữ liệu thẻ tín dụng.
Một điểm đáng chú ý là vào đầu năm 2025, Darcula đã tích hợp thêm các công cụ AI tạo sinh (generative AI), cho phép operator sử dụng LLM để tạo các mẫu phishing tùy chỉnh, theo nhiều ngôn ngữ và chủ đề khác nhau. Ngoài ra, nền tảng còn hỗ trợ chuyển đổi thẻ tín dụng bị đánh cắp thành thẻ ảo, và cung cấp bảng điều khiển dễ sử dụng, làm tăng mức độ tự động hóa cho các chiến dịch tấn công.
Cuộc điều tra chuyên sâu từ Mnemonic, NRK và các đối tác truyền thông châu Âu đã lần ra được hạ tầng kỹ thuật của Darcula. Công cụ chính đứng sau là một phishing toolkit có tên Magic Cat, được xác định là sản phẩm của một lập trình viên 24 tuổi tại Trung Quốc. Mặc dù công ty nơi đối tượng này từng làm việc phủ nhận liên quan đến lừa đảo, nhưng họ thừa nhận Magic Cat đã bị sử dụng vào mục đích phishing.
Chỉ trong vòng 7 tháng hoạt động, Magic Cat đã đánh cắp hơn 884.000 thẻ tín dụng thông qua hơn 13 triệu lượt nhấp vào các liên kết giả mạo. Hơn 600 kẻ lừa đảo đã tham gia vào hệ thống này. Riêng tại Na Uy, chiến dịch ảnh hưởng tới hơn 19.000 nạn nhân.
Hệ sinh thái Darcula vận hành chủ yếu thông qua các nhóm Telegram kín, nơi các operator – phần lớn giao tiếp bằng tiếng Trung – chia sẻ thông tin, điều phối SIM farm, và xử lý dữ liệu thẻ bị đánh cắp thông qua các thiết bị phần cứng chuyên dụng. Một số operator có quy mô hoạt động lớn, điển hình như x66/Kris tại Thái Lan, được cho là giữ vai trò điều phối cấp cao.
