Bots de Telegram ahora engañan para obtener códigos 2FA: Payroll Pirates vuelven y demuestran que el "phishing" perfecto ya está aquí

La red llamada Payroll Pirates opera desde hace varios años y constituye una estructura organizada que promociona páginas de phishing a través de redes publicitarias y alcanza sectores muy diversos. La escala creció hasta cientos de interfaces objetivo y cientos de miles de clics, y toda la arquitectura está distribuida entre varios clústeres y operadores que actúan según un mismo guion. El sistema está diseñado para que el fraude parezca lo más verosímil posible y la captura de datos ocurra prácticamente sin ser detectada.

La primera oleada comenzó en la primavera de 2023, cuando investigadores de Check Point prestaron atención a sitios de phishing que se hacían pasar por portales de recursos humanos populares. Se anunciaban en Google Ads y estaban dirigidos a quienes iniciaban sesión en los portales personales para gestionar nóminas. Tras introducir las credenciales, los atacantes redirigían los pagos a sus propias cuentas. La infraestructura consistía en grupos separados de dominios, canales propios en Telegram y conjuntos similares de scripts, lo que indicaba o bien una fuente común de herramientas o un modelo en el que distintos ejecutores usan el mismo conjunto de soluciones técnicas. Para noviembre de 2023 la actividad disminuyó, pero la campaña no terminó.

Unos meses después la red regresó con un conjunto renovado de páginas que aprendieron a adaptarse a los requisitos de verificación de dos factores. Los operadores incorporaron bots de Telegram para interactuar con las víctimas en tiempo real, solicitando códigos de un solo uso y respuestas adicionales. La parte del servidor fue rediseñada: en lugar de puntos de transmisión directos se emplearon scripts discretos como xxx.php y check.php, lo que dificultó la detección y el bloqueo. Como resultado, la infraestructura se volvió más oculta y resistente a las intervenciones.

Pronto surgió la confirmación de que el ámbito de interés se había ampliado. En agosto de 2024 Malwarebytes describió signos similares de ataques contra una gran cadena comercial, y en diciembre SilentPush señaló métodos análogos en operaciones contra cooperativas de crédito y plataformas comerciales. En el otoño de 2025 un aumento de consultas temáticas llevó a la reanudación del análisis. A causa de un error de un operador, investigadores de Check Point obtuvieron acceso a parte de la estructura interna y descubrieron un único bot de Telegram por el que pasaban datos para todo tipo de objetivos —desde servicios financieros hasta portales médicos. Esto demostró que no se trataba de varios kits parecidos, sino de una red centralizada y completa.

Los registros de actividad mostraron al menos cuatro administradores. Uno de ellos publicaba vídeos desde la costa en la zona de Odesa, y también formaba parte de varios grupos regionales relacionados con Dnipro. Esto permitió suponer que parte de los operadores se hallaba en territorio de Ucrania.

El trabajo se articula en torno a dos clústeres principales. El primero utiliza Google Ads y un sistema de ocultación de redirecciones. Para pasar la moderación se crean páginas inofensivas que, tras la activación, redirigen a los usuarios a copias de phishing. Con frecuencia esos dominios se registran en lotes y se alojan en proveedores de Kazajistán y Vietnam. El segundo clúster opera mediante Microsoft Ads y se apoya en dominios preparados de antemano que maduran durante varios meses. En ellos se alojan decenas de páginas con direcciones aleatorizadas, y el servicio adspect.ai determina qué versión mostrar según las características del navegador.

A pesar de las diferencias en los canales publicitarios, ambas vertientes usan los mismos conjuntos de scripts. Las páginas se adaptan dinámicamente a las indicaciones de los operadores, lo que facilita eludir los métodos de verificación de acceso. Los nombres de archivo en los conjuntos se repiten de una versión a otra: xxx.php, analytics.php, check.php. Las versiones nuevas aplican JavaScript ofuscado que oculta la transmisión de datos. Las cuentas publicitarias pasan verificaciones y a veces se acompañan de campañas legítimas. Los operadores acceden a la red mediante direcciones IP estadounidenses y enrutadores con soporte PPTP abierto, probablemente adquiridos como parte de una lista de proxies ya preparada. Uno de los administradores intentó obtener consejo en un chat técnico sobre servicios de proxy, lo que confirmó indirectamente la naturaleza de la infraestructura utilizada.

A pesar de la discreción, la campaña sigue dejando rastros. Para protegerse conviene vigilar las redes publicitarias, controlar los anuncios sospechosos, utilizar métodos robustos de verificación de acciones, desplegar trampas para rastrear actividad no autorizada y bloquear las páginas falsas según van apareciendo. La red Payroll Pirates se creó como una plataforma capaz de adaptarse y evolucionar, pero una monitorización ajustada le quita su principal ventaja: la invisibilidad.