Uma operação liderada pela INTERPOL resultou na interrupção da Sniper Dz, uma plataforma de phishing-as-a-service, ou PhaaS, ativa há cerca de uma década e usada por criminosos para lançar campanhas de roubo de credenciais em escala. A ação foi detalhada pela Group-IB na quinta-feira e marcou um dos principais golpes recentes contra infraestruturas criminosas voltadas à oferta de kits prontos de phishing.

Batizada de Operation Ramz, a operação ocorreu entre outubro de 2025 e fevereiro de 2026 e contou com autoridades de 13 países da região do Oriente Médio e Norte da África, conhecida pela sigla MENA. Ao todo, foram realizadas 201 prisões.

Entre os presos está Guedz, apontado como o principal desenvolvedor e administrador da Sniper Dz. Segundo as informações divulgadas, a prisão foi conduzida pela Polícia Nacional da Argélia. A plataforma, que ao longo dos anos também passou pelos nomes Joker Dz, Storm Dz e Spam Dz, teria coletado mais de 45 mil registros de vítimas.

Como parte da Operation Ramz, o site usado para oferecer recursos de phishing-as-a-service a outros cibercriminosos foi retirado do ar. As autoridades também apreenderam equipamentos contendo softwares e scripts de phishing, componentes usados para criar e operar páginas fraudulentas.

De acordo com a Group-IB, empresa de cibersegurança sediada em Singapura, a Sniper Dz estava ativa pelo menos desde 2015 e evoluiu para uma plataforma criminosa sofisticada. O serviço oferecia kits de phishing prontos para uso, infraestrutura de hospedagem e suporte operacional para criminosos interessados em criar campanhas fraudulentas sem precisar desenvolver suas próprias ferramentas.

Desde então, mais de 20 mil domínios únicos associados ao serviço PhaaS foram identificados. O kit tinha como principais alvos 30 grandes organizações globais, incluindo PayPal, Facebook, Instagram, Yahoo, Netflix e Steam. Para isso, utilizava 80 modelos de phishing em cinco idiomas: árabe, inglês, francês, espanhol e hebraico.

As campanhas baseadas na Sniper Dz tinham como alvo usuários de plataformas de tecnologia, redes sociais e serviços de streaming em diferentes regiões. Os criminosos imitavam marcas populares e entidades governamentais por meio de sites falsos, criados para parecer legítimos e induzir as vítimas a fornecer credenciais, informações pessoais e outros dados sensíveis.

Além do roubo tradicional de credenciais, a plataforma também explorava técnicas de engenharia social ligadas à popularidade e à credibilidade de figuras públicas no Oriente Médio e no Norte da África. Segundo a Group-IB, invasores criavam contas falsas em redes sociais se passando por personalidades políticas conhecidas e usavam esses perfis para divulgar links de phishing disfarçados de ofertas promocionais ou acesso gratuito à internet.

A Sniper Dz já havia sido analisada em detalhes pela Unit 42, equipe de inteligência de ameaças da Palo Alto Networks, em outubro de 2024. Na ocasião, os pesquisadores descreveram o uso de um canal no Telegram com mais de 7,3 mil inscritos, usado para compartilhar vídeos tutoriais e orientar criminosos sobre o uso da plataforma. O serviço também oferecia a possibilidade de hospedar páginas de phishing em sua própria infraestrutura, protegida por um servidor proxy.

Um dos fatores que diferenciavam a Sniper Dz de outros serviços no mercado de PhaaS era o modelo de acesso gratuito à infraestrutura. Essa característica reduzia ainda mais a barreira de entrada para criminosos iniciantes, permitindo que campanhas de phishing fossem executadas em grande escala mesmo por operadores com pouco conhecimento técnico.

A monetização, segundo a Group-IB, não dependia diretamente da venda da infraestrutura. O modelo explorava o roubo de credenciais e o tráfego das vítimas. Dados coletados em campanhas de phishing podiam ser usados diretamente pelos criminosos, enquanto usuários que não forneciam credenciais ainda podiam ser redirecionados para outros esquemas fraudulentos.

Entre esses esquemas estavam fraudes de cobrança via operadora, assinaturas de SMS premium, abuso de notificações de navegador e campanhas de golpes baseadas em programas de afiliados. Na prática, mesmo quando a vítima não entregava login e senha, o ecossistema da Sniper Dz ainda podia gerar retorno financeiro por meio de redirecionamentos e monetização de tráfego.

A derrubada da plataforma mostra como serviços de phishing-as-a-service continuam sendo uma ameaça relevante para usuários e organizações. Ao combinar modelos prontos, hospedagem, tutoriais, suporte operacional e distribuição por canais como Telegram, essas plataformas transformam o phishing em um serviço acessível, escalável e difícil de conter apenas com medidas tradicionais de bloqueio.

A Operation Ramz representa um esforço coordenado para atingir não apenas usuários individuais da plataforma, mas também os responsáveis pelo desenvolvimento e pela manutenção da infraestrutura criminosa. A prisão do administrador e a apreensão de equipamentos podem ajudar investigadores a mapear clientes, campanhas associadas e outros operadores ligados ao ecossistema Sniper Dz.