La Guardia Civil espagnole a démantelé l’opération de cybercriminalité « GXC Team » et arrêté son chef présumé, un Brésilien de 25 ans connu sous le nom de « GoogleXcoder ».”
L’équipe de GXC exploitait une plate-forme crime-as-a-service (CaaS) proposant des kits de phishing alimentés par l’IA, des logiciels malveillants Android et des outils d’escroquerie vocale via Telegram et un forum de pirates russophones.
“La Garde civile a démantelé l’une des organisations criminelles les plus actives dans le domaine du phishing en Espagne, avec l’arrestation d’un jeune brésilien de 25 ans considéré comme le principal fournisseur d’outils pour le vol massif d’identifiants dans l’environnement hispanophone”, a annoncé la Guardia Civil.
Group-IB a suivi l’opération et indique que l’équipe de GXC ciblait les banques, les transports et les entités de commerce électronique en Espagne, en Slovaquie, au Royaume-Uni, aux États-Unis et au Brésil.
Les kits de phishing reproduisaient les sites Web de dizaines d’institutions espagnoles et internationales et alimentaient au moins 250 sites de phishing.
Le groupe de menaces a également développé au moins neuf souches de logiciels malveillants Android qui interceptaient des SMS et des mots de passe à usage unique (OTP), utiles pour détourner des comptes et valider des transactions frauduleuses.
L’équipe de GXC a également offert un support technique complet et des services de personnalisation de campagne à ses clients, agissant comme une plate-forme criminelle de qualité professionnelle et à haut rendement.
Une opération de police menée le 20 mai a impliqué des raids coordonnés en Cantabrie, Valladolid, Saragosse, Barcelone, Palma de Majorque, San Fernando et La Línea de la Concepción.
Au cours de ces actions, les autorités ont saisi des appareils électroniques contenant le code source du kit d’hameçonnage, des communications avec des clients et des dossiers financiers.
Les agents des forces de l’ordre ont récupéré la crypto-monnaie volée aux victimes et fermé les canaux Telegram utilisés pour promouvoir les escroqueries. L’une de ces chaînes s’appelait “Volez tout aux grands-mères.”
Les autorités ont déclaré que les raids à l’échelle nationale avaient été rendus possibles grâce à l’analyse des appareils saisis et des transactions de crypto-monnaie de GoogleXcoder, arrêté il y a plus d’un an.
“L’analyse médico-légale des appareils saisis, ainsi que les transactions de crypto-monnaie, qui ont duré plus d’un an en raison de leur complexité, ont permis de reconstituer l’ensemble du réseau criminel, parvenant à identifier six personnes directement liées à l’utilisation de ces services”, a expliqué Guardia Civil.
L’enquête sur l’équipe de GXC est toujours en cours et les autorités espagnoles ont évoqué la possibilité de nouvelles actions conduisant à l’arrestation d’autres membres du réseau de cybercriminalité.