TLP:AMBER — DISTRIBUCIÓN LIMITADA

Informe Táctico-Técnico-Operativo: Smishing SEUR — Kit k468

Análisis completo de infraestructura, kit de phishing y técnicas de exfiltración

TLP: AMBER Fecha: 12/03/2026 Ref: SMISH-SEUR-2026-0312 Clasificación: Táctico-Técnico-Operativo

1Resumen Técnico

Campaña de smishing (phishing vía SMS) que suplanta la identidad de SEUR, la empresa española de paquetería. Los mensajes SMS redirigen a las víctimas al dominio seurtjm.cv/es, una réplica pixel-perfect de la página de seguimiento de envíos de SEUR.

El kit de phishing k468_es_post_seur_index es una SPA (Single Page Application) desarrollada con Vue.js 3 y empaquetada con Vite. Implementa un canal de Comando y Control (C2) bidireccional vía WebSocket que permite la interceptación de OTPs en tiempo real, posibilitando el fraude financiero inmediato mientras la víctima interactúa con el sitio.

Criticidad: El dominio fue registrado el mismo día del ataque (12/03/2026). El soporte para la red de pago MIR (exclusiva de Rusia) y la arquitectura modular multi-idioma del kit indican un origen Phishing-as-a-Service (PhaaS) de probable procedencia rusoparlante.

2Infraestructura

CampoValor
Dominioseurtjm.cv (ccTLD Cabo Verde)
IP50.114.184.241
CIDR50.114.184.0/24
HostingAce Data Centers / IPXO LLC
RegistradorDynadot (San Mateo, CA)
Fecha de registro2026-03-12T08:41:00Z
Expiración2027-03-12
Name Serversns1.dyna-ns.net, ns2.dyna-ns.net
Contactos abuse abuse@ipxo.com
ipabuse@acedatacenter.com
report@abuseradar.com

3Cadena de Ataque (Kill Chain)

1
Distribución — SMS Fraudulento T1566.002 T1204.001
SEUR le informa que el repartidor no ha podido dejar su paquete 563999998 en su buzón debido a su tamaño.

https://seurtjm.cv/es
  • Número de paquete falso (563999998) para dar credibilidad
  • Enlace directo al dominio de phishing
  • Ingeniería social: urgencia por paquete no entregado
2
Página de Tracking Falsa T1036.005
  • Réplica exacta de la página de seguimiento de SEUR
  • Título: “SEUR: Envío y transporte de paquetería y mensajería | SEUR”
  • Breadcrumb: “Inicio / Seguimiento de paquetes”
  • Call-to-Action: “Reprogramar mi entrega”
  • Filtrado por User-Agent: solo dispositivos móviles (HTTP 404 para escritorio)
3
Recolección de Datos Personales T1056.003
  • Campos capturados: firstName, lastName, email, phone/phone1, address, address2, city, zipCode
  • Datos enviados a: POST /CNIXMQnPlR/api/input
  • Formulario diseñado para parecer un paso legítimo de reprogramación de entrega
4
Captura de Tarjeta de Crédito T1056.003
  • Campos: cardNumber (16-19 dígitos), expires, cvv, titular
  • Validación BIN automática: cardBIN y cardType calculados en cliente
  • Tipos soportados: VISA MASTERCARD AMEX DISCOVER JCB MAESTRO MIR
5
Simulación 3D Secure / OTP T1557 T1036.001
  • “Su banco ha solicitado verificación adicional”
  • “Código de verificación enviado a [email]”
  • Campos OTP: verifyCode, verifyCode1, verifyCode2, appVerifyCode, customOtpData

Animaciones de legitimidad

“Encriptando la información de la tarjeta...”
“Verificando número de tarjeta y emisor...”
“Esperando autorización del banco...”
“Confirmando estado de la transacción...”
“Inicializando entorno de pago...”
Nivel de seguridad Banco autorizado
6
Interceptación OTP en Tiempo Real T1557
Canal C2: wss://seurtjm.cv/ws — El operador recibe los OTPs capturados y los utiliza simultáneamente en la plataforma bancaria real de la víctima.

Eventos WebSocket del operador

EventoFunción
otp-validOperador valida OTP capturado — avanza flujo
custom-otp-validValidación OTP personalizada (segundo factor alternativo)
app-validValidación desde app bancaria de la víctima
kickOutExpulsar a la víctima de la sesión
blockBloquear acceso de la víctima
otpFailForzar reintento de OTP (código “incorrecto”)
7
Resultado T1565.003
  • Éxito “Gracias por su compra. Su pago ha sido procesado exitosamente”
  • Fallo “Esta tarjeta no admite esta transacción, por favor intente con otra tarjeta” → captura de múltiples tarjetas

4Análisis del Kit de Phishing: k468

Perfil del kit

CampoValor
Kit IDk468_es_post_seur_index
FrameworkVue.js 3 (SPA)
BundlerVite (hash: index-284bfe89.js)
HTTP ClientAxios
LibreríasMoment.js, Lodash, vue-i18n
C2WebSocket nativo (wss://) con heartbeat y reconexión exponencial
IdiomaEspañol (lang="es"), fallback inglés
Path oculto panel/CNIXMQnPlR/

Endpoints de exfiltración

MétodoEndpointFunción
POST/CNIXMQnPlR/api/inputExfiltración principal de datos de la víctima al C2
POST/api/confirm-deliveryConfirmación de entrega (paso 1 del flujo)
WSSwss://seurtjm.cv/wsCanal C2 bidireccional en tiempo real

Técnicas de evasión

  • Filtrado User-Agent: solo sirve contenido a dispositivos móviles (HTTP 404 a escritorio)
  • ccTLD exótico (.cv, Cabo Verde): menor monitorización que dominios .com/.es
  • Registro mismo día: dominio creado horas antes del ataque
  • Path oculto /CNIXMQnPlR/: dificulta descubrimiento del panel por crawlers
  • Simulación 3DS convincente: animaciones progresivas con indicadores de seguridad falsos
  • WebSocket C2 con heartbeat: conexión persistente para operación en tiempo real
  • Mensajes de error dirigidos: “intente con otra tarjeta” para capturar múltiples tarjetas

Branding robado

AssetDescripciónHash SHA-256
logo.pngLogo oficial SEUR677bbd5328d59f7d728fc62a38e2b37ecfcae8c15aa0a2be53ddf4e177b5603d
bc.pngBanner corporativo SEURcb0a32507c72d7bd2c763c1c1e5f80ae4000f7e81e24ac522e7e9b2cc1eac749
seur.cssHoja de estilos corporativa51167d98ff37f00135834c7f94503939b0e78c30b3f9cb358c11fa3fa6df1475
PlutoSansDPDLight.otfFuente corporativa DPD/SEURbc2d0863394405ab3d4c9c6422a99c44abc7030ae3d8f2a2aeab95b90f60efa0
PlutoSansLight.woff2Fuente corporativa DPD/SEURe0ab628e66309c89d43c1fe7ac6f64d24c2e5da927fbc657fa17a81a42dec70a
PlutoSansRegular.woff2Fuente corporativa DPD/SEURa88d9ebb6a866c2d93096cb99f2e41aa904c0b2d748ccac11c34b267199cc1ba
favicon.jpgFavicon del kitb37e8c0e3341acbe6c7235120ba0ab4dd3a6f824cba36a8f8d997f04223a739b
mir-a02fe0b1.jpgLogo red de pago MIR (Rusia)a02fe0b1ea3401e73c9905652c88c20a5a4a8ba3d1927dc4009da1f4857c4e55

Análisis de Atribución del Threat Actor

Nota: Esta sección distingue explícitamente entre hechos confirmados por evidencia directa (CONFIRMADO), inferencias razonables con nivel de confianza (INFERENCIA), y elementos desconocidos (DESCONOCIDO).

MODELO OPERATIVO — CONFIRMADO

  • Modelo Phishing-as-a-Service (PhaaS): identificador numérico k468 (kit versionado en catálogo), soporte multi-idioma vía vue-i18n, path de panel único por instancia (/CNIXMQnPlR/)
  • Separación desarrollador/operador: el desarrollador provee la plataforma; el operador configura dominio, marca y gestiona víctimas en tiempo real

ORIGEN DEL KIT — INFERENCIA RAZONABLE (confianza alta)

  • Soporte para red de pago MIR (sistema ruso post-sanciones 2014, uso casi exclusivo en Rusia/CEI). No tiene sentido técnico incluir MIR en un kit para víctimas españolas — indica que el desarrollador opera desde o para el ecosistema rusoparlante
  • Distribución probable vía canales de Telegram rusoparlantes (vector principal documentado para kits PhaaS de este ecosistema)

DESCARTE DE ACTORES CONOCIDOS

Actor / PlataformaResultadoRazón del descarte
Smishing Triad / Lighthouse (chino)ELIMINADOTLDs diferentes (.top/.xin), hosting Tencent/Alibaba, origen chino incompatible con MIR ruso
V3B (UE)ELIMINADOUsa framework uAdmin, no Vue.js/Vite
GXC Team (hispanohablante)ELIMINADOModelo Android malware + bots Telegram, no web-only WebSocket C2
Scama marketplaceNO CONCLUYENTEModelo genérico PhaaS encaja, sin coincidencia específica con k468

IDENTIFICADORES ÚNICOS — SIN COINCIDENCIAS OSINT

IdentificadorTipoResultado OSINT
k468Kit IDSin coincidencias en repositorios públicos ni reportes de TI
CNIXMQnPlRRuta de panelSin coincidencias — string aleatorio generado por instancia
k468_es_post_seur_indexID completoSin coincidencias — estructura: kit/idioma/método/marca/página
50.114.184.241IP servidorSin coincidencias relevantes en feeds públicos de threat intelligence

LO QUE NO SABEMOS — DESCONOCIDO

  • Identidad real del desarrollador del kit
  • Identidad real del operador de esta campaña
  • Canal de Telegram o foro de distribución del kit
  • Precio del kit o modelo de licencia
  • Número total de víctimas
  • Otros dominios del mismo operador
  • Relación con otros kits de la serie (k1–k467, k469+)

LÍNEAS DE INVESTIGACIÓN RECOMENDADAS

  1. Reverse DNS / certificados SSL del bloque 50.114.184.0/24 para revelar otros dominios del operador
  2. Solicitar datos a Dynadot mediante orden judicial — registros de pago y email del registrante
  3. Monitorización de canales Telegram rusoparlantes de PhaaS — buscar “k468”, “seur kit”
  4. Compartir IOCs con INCIBE/CCN-CERT — pueden tener correlaciones no públicas
  5. Análisis del bundle JS por especialistas en reversing de kits PhaaS — convenciones de código vinculables a otros kits
  6. Pivoting por hash en VirusTotal, MalwareBazaar, URLhaus para muestras relacionadas
Conclusión de atribución: Sabemos qué hizo el actor y cómo lo hizo, pero no sabemos quién es. La atribución definitiva requeriría acceso a fuentes cerradas (Telegram HUMINT, datos del registrador vía orden judicial, o feeds de TI comerciales).

5Tabla de TTPs — MITRE ATT&CK

Táctica Técnica ID MITRE Descripción en contexto
Resource Development Acquire Infrastructure: Domains T1583.001 Registro de seurtjm.cv en Dynadot con ccTLD de Cabo Verde
Resource Development Acquire Infrastructure: Web Services T1583.006 Hosting en Ace Data Centers / IPXO LLC
Resource Development Establish Accounts T1585 Cuentas en Dynadot para registro de dominio
Initial Access Phishing: Spearphishing Link T1566.002 SMS con enlace a seurtjm.cv/es
Execution User Execution: Malicious Link T1204.001 Víctima accede al enlace del SMS
Defense Evasion Masquerading: Match Legitimate Name or Location T1036.005 Réplica exacta de SEUR con branding oficial robado
Defense Evasion Masquerading: Invalid Code Signature T1036.001 Simulación de 3D Secure / certificación bancaria
Credential Access Input Capture: Web Portal Capture T1056.003 Formularios capturan PII, tarjetas y OTPs
Credential Access Steal Web Session Cookie T1539 Captura de tokens de sesión vía WebSocket
Collection Adversary-in-the-Middle T1557 Interceptación de OTP en tiempo real para uso inmediato
Collection Input Capture: Credential API Hooking T1056.004 Validación BIN automática y clasificación de tarjetas
Command and Control Application Layer Protocol: Web Protocols T1071.001 API REST para exfiltración (POST /CNIXMQnPlR/api/input)
Command and Control Web Service T1102 Uso de infraestructura legítima (Dynadot, hosting comercial)
Command and Control Non-Standard Port / Protocol T1571 WebSocket (wss://) para C2 bidireccional en tiempo real
Impact Data Manipulation: Transmitted Data Manipulation T1565.003 Mensajes de éxito/fallo falsos para manipular comportamiento de víctima
Impact Financial Theft T1657 Transacciones fraudulentas en tiempo real con OTPs interceptados

6Indicadores de Compromiso (Resumen)

Red

  • seurtjm.cv
  • 50.114.184.241
  • ns1.dyna-ns.net
  • ns2.dyna-ns.net

URLs

  • https://seurtjm.cv/es
  • https://seurtjm.cv/CNIXMQnPlR/api/input
  • https://seurtjm.cv/api/confirm-delivery
  • wss://seurtjm.cv/ws

Identificadores del Kit

  • Kit ID: k468_es_post_seur_index
  • Path oculto: /CNIXMQnPlR/

Hashes clave (SHA-256)

ArchivoHash SHA-256
es-raw.html — página principal21f6dcf22be8b44d4e54d49f963cc9dd8ce1e943cbdf5de4a8e1a871bb108a46
index-284bfe89.js — bundle JS phishing179e87d143bc07cfd8f22a6a1557359b064bcacbcc79ba4a5bab77619d5abbd9
index-9766d7ac.css — CSS Vue9766d7ac6187ec134308165407ffa1d64d5c12d6737c886ae867391bfe965057
logo.png — logo SEUR robado677bbd5328d59f7d728fc62a38e2b37ecfcae8c15aa0a2be53ddf4e177b5603d
bc.png — banner SEUR robadocb0a32507c72d7bd2c763c1c1e5f80ae4000f7e81e24ac522e7e9b2cc1eac749
Consultar el documento STIX/TAXII — IOCs adjunto para la lista completa de 26 IOCs de archivos.

7Reglas de Detección y Hunting

Regla Sigma — Detección de dominio de phishing por DNS

title: Smishing SEUR - Acceso a dominio de phishing seurtjm.cv
status: experimental
description: Detecta accesos al dominio seurtjm.cv asociado a campana de smishing suplantando SEUR
logsource:
  category: dns
  product: any
detection:
  selection:
    query|contains:
      - 'seurtjm.cv'
      - 'seurtjm'
  condition: selection
level: critical
tags:
  - attack.initial_access
  - attack.t1566.002

Regla Sigma — Detección de path oculto del kit k468

title: Phishing Kit k468 - Hidden Panel Path /CNIXMQnPlR/
status: experimental
description: Detecta trafico HTTP/HTTPS hacia el path oculto del panel de phishing k468
logsource:
  category: proxy
  product: any
detection:
  selection:
    url|contains:
      - '/CNIXMQnPlR/'
      - 'k468_es_post_seur'
  condition: selection
level: high
tags:
  - attack.command_and_control
  - attack.t1071.001

IOCs de red para bloqueo

  • DNS: Bloquear seurtjm.cv y monitorizar *.dyna-ns.net para patrones similares
  • IP: Bloquear/alertar 50.114.184.241
  • WebSocket: Monitorizar conexiones wss:// a dominios inusuales desde dispositivos móviles

Consultas de hunting

  • Logs DNS: consultas conteniendo “seur” + TLD inusual (.cv, .tk, .ml, .ga, etc.)
  • Logs proxy: peticiones POST a /api/input o paths conteniendo CNIXMQnPlR
  • Logs pasarela SMS: SMS salientes conteniendo “seurtjm” o patrones de typosquatting similares de SEUR

8Recomendaciones Operativas

  1. Bloquear inmediatamente el dominio seurtjm.cv y la IP 50.114.184.241 en firewalls, proxies y filtros DNS.
  2. Enviar reportes de abuse a: abuse@ipxo.com, ipabuse@acedatacenter.com, report@abuseradar.com.
  3. Solicitar takedown del dominio al registrador Dynadot.
  4. Implementar las reglas Sigma proporcionadas en la sección anterior en el SIEM corporativo.
  5. Ejecutar hunting retrospectivo en logs DNS/proxy para seurtjm.cv y variantes.
  6. Monitorizar registros de nuevos dominios con patrón seur* en ccTLDs inusuales.
  7. Alertar al equipo de fraude de las entidades bancarias sobre la interceptación de OTP en tiempo real.
  8. Si hay víctimas identificadas: bloqueo inmediato de tarjetas, cambio de credenciales y monitorización de transacciones.
  9. Compartir IOCs con INCIBE-CERT, CCN-CERT y el sector bancario español.
  10. Monitorizar el Kit ID k468 y el path /CNIXMQnPlR/ en fuentes de threat intelligence para detectar nuevas instancias.

9Clasificación de Fuentes (Código Admiralty)

Fuente Fiabilidad Credibilidad Código
Mirror completo del sitio de phishing A — Completamente fiable 1 — Confirmado por otras fuentes A1
Análisis estático del bundle JavaScript A — Completamente fiable 1 — Confirmado por otras fuentes A1
Registros WHOIS del dominio A — Completamente fiable 1 — Confirmado por otras fuentes A1
Resolución DNS y datos de IP A — Completamente fiable 1 — Confirmado por otras fuentes A1
Hashes SHA-256 de archivos A — Completamente fiable 1 — Confirmado por otras fuentes A1
Marco MITRE ATT&CK A — Completamente fiable 1 — Confirmado por otras fuentes A1

10Referencias

  1. Mirror completo del sitio: ./site-mirror/seurtjm.cv/
  2. Bundle JavaScript principal: assets/index-284bfe89.js (466 KB)
  3. WHOIS seurtjm.cv — Dynadot, registro 2026-03-12T08:41:00Z
  4. MITRE ATT&CK Framework — https://attack.mitre.org/
  5. INCIBE — Instituto Nacional de Ciberseguridad
  6. Captura del sitio activo (captura web.jpeg)