Los hallazgos son el ejemplo más reciente de cómo actores de amenazas vietnamitas continúan adoptando diversas tácticas para obtener acceso no autorizado a cuentas de Facebook de las víctimas, las cuales posteriormente son vendidas en ecosistemas clandestinos para obtener ganancias económicas.

El punto de partida de los ataques más recientes es un correo de phishing dirigido a propietarios de cuentas de Facebook Business, afirmando provenir de Meta Support y exhortando a los usuarios a enviar una apelación o arriesgarse a que su cuenta sea eliminada permanentemente. Los correos son enviados desde una dirección de Google AppSheet (“[email protected]”), lo que les permite evadir filtros de spam.

Este falso sentido de urgencia se utiliza para dirigir a los usuarios a una página web falsa diseñada para robar sus credenciales. Cabe destacar que una campaña similar fue reportada por KnowBe4 en mayo de 2025.

Durante las últimas semanas, estas campañas han adoptado distintos tipos de señuelos diseñados para provocar “pánico relacionado con Meta”. Estos incluyen desactivación de cuentas, denuncias por copyright, revisiones de verificación, reclutamiento ejecutivo y alertas de inicio de sesión de Facebook. Los cuatro principales grupos identificados por Guardio son los siguientes:

• Páginas falsas del centro de ayuda de Facebook alojadas en Netlify que permiten ataques de toma de control de cuentas, además de recopilar fechas de nacimiento, números telefónicos y fotografías de documentos de identidad. La información termina siendo enviada a un canal de Telegram controlado por los atacantes.
• Señuelos relacionados con la evaluación de insignias azules que guían a las víctimas hacia páginas alojadas en Vercel bajo nombres como “Security Check” o “Meta | Privacy Center”. Estas páginas incluyen una falsa verificación CAPTCHA antes de redirigir a los usuarios a páginas de phishing destinadas a recopilar información de contacto, datos empresariales, credenciales (tras forzar un nuevo intento de ingreso) y códigos de autenticación de dos factores (2FA), los cuales son exfiltrados a canales de Telegram.
• PDFs alojados en Google Drive que se hacen pasar por instrucciones para completar verificaciones de cuenta y que redirigen a páginas destinadas a robar contraseñas, códigos 2FA, fotos de documentos oficiales y capturas del navegador mediante html2canvas. Los documentos PDF son generados utilizando cuentas gratuitas de Canva.
• Ofertas de trabajo falsas que suplantan empresas como WhatsApp, Meta, Adobe, Pinterest, Apple y Coca-Cola para generar confianza con las víctimas y pedirles que se unan a una llamada o continúen la conversación en sitios controlados por los atacantes.

En conjunto, los canales de Telegram asociados con los tres primeros grupos contienen aproximadamente 30.000 registros de víctimas, la mayoría ubicadas en Estados Unidos, Italia, Canadá, Filipinas, India, España, Australia, Reino Unido, Brasil y México, quienes además terminaron bloqueados de sus propias cuentas.

Respecto a quién está detrás de la operación, la principal evidencia provino de los PDFs generados en el tercer grupo mediante una cuenta gratuita de Canva, cuyos metadatos mostraban el nombre vietnamita “PHẠM TÀI TÂN” como autor de los archivos. Investigaciones adicionales de inteligencia de fuentes abiertas llevaron al descubrimiento de un sitio web (“phamtaitan[.]vn”) donde se ofrecen servicios de marketing digital.

En una publicación compartida en X en febrero de 2023, la cuenta asociada al sitio afirmaba que “se especializa en ofrecer servicios de marketing digital, recursos de marketing y consultoría sobre estrategias efectivas de marketing digital”.

“Tomados en conjunto, forman una imagen consistente de una megaoperación basada en Vietnam”, afirmó Chen. “Esta campaña es más grande que un simple abuso de AppSheet. Es una ventana al mercado negro alrededor de activos robados de Facebook, donde el acceso, la identidad empresarial, la reputación publicitaria e incluso la recuperación de cuentas se han convertido en mercancías comercializables. Otro ejemplo del patrón que seguimos descubriendo: plataformas confiables reutilizadas como capas de entrega, alojamiento y monetización”.