TLP:AMBER — Distribución restringida. No divulgar fuera de la organización receptora.

STIX/TAXII — Indicadores de Compromiso

Campaña de Smishing Suplantando SEUR / Kit de Phishing k468

Referencia: SMISH-SEUR-2026-0312
Fecha: 12 de marzo de 2026
Clasificación: TLP:AMBER
Formato: STIX 2.1
Severidad: CRÍTICA

0. Resumen de Indicadores

~37
IOCs Totales
1
Dominio
1
Dirección IP
2
Nameservers
4
URLs/Endpoints
1
Kit ID
1
Panel Path
26
Hashes SHA-256

Parte A — Tablas de Indicadores de Compromiso

Representación legible de todos los IOCs identificados durante el análisis

1. Infraestructura de Red

Indicador Tipo Descripción Fuente [Admiralty]
seurtjm.cv Dominio Dominio principal del sitio de phishing (ccTLD Cabo Verde) Análisis directo [A1]
50.114.184.241 IPv4 IP del servidor de phishing (Ace Data Centers / IPXO LLC, CIDR 50.114.184.0/24) WHOIS [A1]
ns1.dyna-ns.net Nameserver Servidor DNS primario (Dynadot) WHOIS [A1]
ns2.dyna-ns.net Nameserver Servidor DNS secundario (Dynadot) WHOIS [A1]

2. URLs y Endpoints

URL Tipo Descripción Fuente [Admiralty]
https://seurtjm.cv/es Landing page Página principal del phishing (réplica SEUR) Análisis directo [A1]
https://seurtjm.cv/CNIXMQnPlR/api/input API exfiltración Endpoint principal de exfiltración de datos Análisis JS [A1]
https://seurtjm.cv/api/confirm-delivery API flujo Endpoint de confirmación de entrega Análisis JS [A1]
wss://seurtjm.cv/ws WebSocket C2 Canal de comando y control bidireccional en tiempo real Análisis JS [A1]

3. Identificadores del Kit

Indicador Tipo Descripción Fuente [Admiralty]
k468_es_post_seur_index Kit ID Identificador del kit de phishing (PhaaS) Análisis del código [A1]
/CNIXMQnPlR/ Panel path Ruta oculta del panel de administración Análisis JS [A1]
CNIXMQnPlR Token API Prefijo de las rutas API del operador Análisis JS [A1]

4. Eventos WebSocket (C2)

Evento Dirección Función
otp-valid Servidor → Cliente Operador valida OTP capturado
custom-otp-valid Servidor → Cliente Validación OTP personalizada
app-valid Servidor → Cliente Validación desde app bancaria
kickOut Servidor → Cliente Expulsar a la víctima del flujo
block Servidor → Cliente Bloquear a la víctima
otpFail Servidor → Cliente Forzar reintento de OTP

5. Datos Recolectados por el Kit

Campo Tipo Categoría
firstName String PII
lastName String PII
email String PII
phone String PII
phone1 String PII
address String PII
address2 String PII
city String PII
zipCode String PII
cardNumber String (16-19 dígitos) Financiero
expires String Financiero
cvv String Financiero
cardBIN String Financiero
cardType String (VISA/MC/AMEX/DISCOVER/JCB/MAESTRO/MIR) Financiero
cardNumberLast4 String Financiero
verifyCode String OTP/3DS
verifyCode1 String OTP/3DS
verifyCode2 String OTP/3DS
appVerifyCode String OTP/3DS
customOtpData String OTP/3DS

6. Hashes de Archivos del Kit (SHA-256)

26 de 26
Archivo Hash SHA-256 Tamaño Descripción
es-raw.html 21f6dcf22be8b44d4e54d49f963cc9dd8ce1e943cbdf5de4a8e1a871bb108a46 568 KB Página principal HTML
index-284bfe89.js 179e87d143bc07cfd8f22a6a1557359b064bcacbcc79ba4a5bab77619d5abbd9 466 KB Bundle JS principal (Vue+Axios+lógica phishing)
index-9766d7ac.css 9766d7ac6187ec134308165407ffa1d64d5c12d6737c886ae867391bfe965057 34 KB CSS framework Vue
logo.png 677bbd5328d59f7d728fc62a38e2b37ecfcae8c15aa0a2be53ddf4e177b5603d 11 KB Logo oficial SEUR robado
bc.png cb0a32507c72d7bd2c763c1c1e5f80ae4000f7e81e24ac522e7e9b2cc1eac749 155 KB Banner corporativo SEUR robado
seur.css 51167d98ff37f00135834c7f94503939b0e78c30b3f9cb358c11fa3fa6df1475 134 KB CSS corporativo SEUR robado
favicon.jpg b37e8c0e3341acbe6c7235120ba0ab4dd3a6f824cba36a8f8d997f04223a739b 2 KB Favicon del kit
mir-a02fe0b1.jpg a02fe0b1ea3401e73c9905652c88c20a5a4a8ba3d1927dc4009da1f4857c4e55 26 KB Logo red MIR (Rusia)
cardloading.svg 56af3b63c02fca54cc3bcea72a744d03a5de21f69fd5358e641261c29ee3c6ce 2 KB SVG animación de carga
btlocaliza.png 59c7979aea38a3d477bdce985f6d5d728f2171d351ba80c4286e9a4153b53f25 0.5 KB Botón "Localiza" SEUR
calendar.svg 623ffd99ab23341bc6f7d9658866f7ed192a118cae320e4465dcf0aec7902398 1.6 KB Icono calendario
flechaderecha.png 8c6c6ff4701fee67f05af52ecbe64f4a1ebf3fc16d873477d5d857afd1f3035f 0.2 KB Icono flecha derecha
flechadeslide.png 289cbea22b4ad70be6e3eff51a576e1f6993f35fbfe6c0ef170a77c163328a74 0.1 KB Icono flecha slide
flechaizslide.png 63d5d4c169bd06ddb77e0fbc70afb34e67d6d597411d0171f92872bc8172c77b 0.1 KB Icono flecha izquierda
iconTienda.png 75e7aa5282df233faa3563c49a97080e5647af238cf1a6ba8c9f4801a10d43a0 0.6 KB Icono tiendas SEUR Pickup
PlutoSansDPDLight.otf bc2d0863394405ab3d4c9c6422a99c44abc7030ae3d8f2a2aeab95b90f60efa0 84 KB Fuente DPD/SEUR robada
PlutoSansLight.woff2 e0ab628e66309c89d43c1fe7ac6f64d24c2e5da927fbc657fa17a81a42dec70a 24 KB Fuente DPD/SEUR robada
PlutoSansRegular.woff2 a88d9ebb6a866c2d93096cb99f2e41aa904c0b2d748ccac11c34b267199cc1ba 24 KB Fuente DPD/SEUR robada
fuentes.css 8d6e544394e61592dcd761fb406cfdc6c7f3af3d96f23368ad17d035bd26c81c 3 KB CSS definición fuentes
slidemigh.css df440a6aded0ba7c047c8b8458dedd4c778fb3a4bf04ce2276fc8db79d2e9969 2 KB CSS slider
animate.min.css d3557300717eea06f84dd44bfd9235f7eb11e43291935dc784f33db309bb3b77 56 KB CSS animaciones
mightyslider.animate.css 630de1fe187215d9690866e207162510cdd21f2ce4d6ebe487a638fcb30f816f 7 KB CSS slider animaciones
mightyslider.css ef1a2d224f7f2ea0cfbfbf37bcc56a47148845d8ceb642d32ab958af052ca88f 4 KB CSS slider base
1a32e1333fcfa-1a32e133.svg 1a32e1334123f8d42cc940fea7a84f71f5c903132ea10441cf02e47da19e95bc 0.9 KB SVG icono pago
272b931f3fcfa-272b931f.svg 272b931f00a7cf2e1f603aa218844f96278cc890011fc43a08ae2d42aeb9a84c 8.7 KB SVG icono pago
80066acd3fcfa-80066acd.svg 80066acd2096893762dab64b37b03c9de576e948372ac516f05d25f2b1cc988f 1.3 KB SVG icono pago

Parte B — STIX 2.1 Bundle JSON

Bundle completo en formato STIX 2.1 para ingesta automatizada en plataformas TAXII/TIP

SMISH-SEUR-2026-0312_stix_bundle.json STIX 2.1 · spec_version 2.1

C. Escala de Evaluación Admiralty (NATO)

Todos los indicadores de este informe han sido clasificados con el código Admiralty A1 — Fuente completamente fiable, información confirmada.

Fiabilidad de la Fuente

A — Completamente fiable. Análisis técnico directo del sitio de phishing y su infraestructura mediante herramientas OSINT verificadas.

Credibilidad de la Información

1 — Confirmada. Todos los IOCs han sido extraídos directamente del código fuente, registros WHOIS y análisis de tráfico de red. Verificación cruzada aplicada.

Método de Obtención

Análisis estático del código fuente (HTML, JavaScript, CSS), consultas WHOIS/DNS, y fingerprinting de la infraestructura del kit de phishing.

Escala Completa

A Completamente fiable · B Normalmente fiable · C Bastante fiable · D No normalmente fiable · E No fiable · F No evaluable

D. Referencias

  • [1] OASIS, «STIX Version 2.1 — OASIS Standard», 10 junio 2021.
  • [2] MITRE ATT&CK, «Phishing: Spearphishing Link (T1566.002)», MITRE Corporation.
  • [3] MITRE ATT&CK, «Input Capture: Web Portal Capture (T1056.003)», MITRE Corporation.
  • [4] MITRE ATT&CK, «Adversary-in-the-Middle (T1557)», MITRE Corporation.
  • [5] MITRE ATT&CK, «Financial Theft (T1657)», MITRE Corporation.
  • [6] FIRST, «Traffic Light Protocol (TLP) Version 2.0», Forum of Incident Response and Security Teams.
  • [7] NATO, «Admiralty Code / NATO System for Evaluation of Intelligence», STANAG 2022.
  • [8] WHOIS Lookup, registro de dominio seurtjm.cv — consulta realizada el 12 de marzo de 2026.
  • [9] Análisis estático del código fuente del kit k468 (mirror local), 12 de marzo de 2026.
TLP:AMBER — Distribución restringida. No divulgar fuera de la organización receptora.