Hiszpania rozbija syndykat „GXC Team”. Zatrzymano 25-letniego lidera „GoogleXcoder”

Wprowadzenie do problemu

Hiszpańska Guardia Civil rozbiła działający na Telegramie i rosyjskojęzycznych forach syndykat cyberprzestępczy „GXC Team”, aresztując jego domniemanego lidera — 25-letniego Brazylijczyka znanego jako „GoogleXcoder”. Grupa sprzedawała w modelu Crime-as-a-Service (CaaS) zestawy phishingowe z funkcjami AI, złośliwe aplikacje na Androida do przechwytywania SMS/OTP oraz narzędzia do scamów głosowych. Celem były m.in. banki, firmy transportowe i e-commerce w Hiszpanii oraz innych krajach.

W skrócie

• Zatrzymano „GoogleXcoder” i zidentyfikowano co najmniej 6 powiązanych osób; śledztwo jest kontynuowane.
• Policja przeprowadziła skoordynowane przeszukania 20 maja (Cantabria, Valladolid, Saragossa, Barcelona, Palma de Mallorca, San Fernando, La Línea de la Concepción). Zabezpieczono kod źródłowy, komunikację z klientami, zapisy finansowe i kryptowaluty.
• Zestawy phishingowe klonowały dziesiątki witryn instytucji; infrastruktura zasilała co najmniej 250 stron phishingowych, a grupa rozwinęła ≥9 wariantów malware na Androida do przechwytywania OTP.
• Dostawca bezpieczeństwa Group-IB wspierał dochodzenie; wcześniejsze analizy firm badawczych wiązały GXC Team z użyciem AI w oszustwach.

Kontekst / historia / powiązania

Według hiszpańskich mediów zatrzymanie w lutym 2024 r. w San Vicente de la Barquera (Kantabria) dało śledczym materiał do rozpracowania całej siatki. Wątek koordynował sąd w Kantabrii, a współpracę zapewniła m.in. Policja Federalna Brazylii oraz prywatny sektor (Group-IB). Nazwy kanałów Telegramu używane przez współsprawców — jak „Robarle todo a las abuelas” („okradać babcie ze wszystkiego”) — obrazują skalę cynizmu sprawców.

Analiza techniczna / szczegóły operacji

Modus operandi (CaaS/PaaS):

• Sprzedaż „gotowych” kitów phishingowych (strony-klony banków/instytucji, panele admina, integracje z botami), personalizacja kampanii, wsparcie techniczne i aktualizacje — pełna „obsługa klienta” dla innych przestępców.
• Android malware do przechwytywania SMS/OTP i komunikatów push, co umożliwiało obchodzenie 2FA i autoryzacji transakcji. Wykorzystywane były też narzędzia do vishingu/voice-scamów.
• AI w zestawach phishingowych: generowanie treści/artefaktów i industrializacja kampanii, co wcześniej opisywano w analizach OSINT/firm badawczych dotyczących GXC Team.

Skala i infrastruktura:

• ≥250 aktywnych witryn phishingowych wymierzonych w dziesiątki instytucji (Hiszpania i globalnie).
• Co najmniej 9 rodzin/aplikacji na Androida rozwijanych przez grupę.
• Dystrybucja i wsparcie przez kanały Telegramu oraz rosyjskojęzyczne forum.

Działania organów ścigania:

• Przeszukania 20 maja w wielu prowincjach; zajęto urządzenia, kryptowaluty i zamknięto kanały Telegram. Część ustaleń możliwa była po ponad rocznej analizie nośników i transakcji krypto powiązanych z „GoogleXcoder”.

Praktyczne konsekwencje / ryzyko

• Bankowość i fintech: ryzyko przejęcia kont i autoryzacji transakcji mimo 2FA (OTP/interception).
• Sektor publiczny i e-commerce: podszycia pod urzędy i firmy zwiększają skuteczność socjotechniki.
• Rynek przestępczy: bariery wejścia dla oszustów dalej spadają — „zestaw + wsparcie + AI” upraszcza uruchomienie kampanii na masową skalę.

Rekomendacje operacyjne / co zrobić teraz

Dla zespołów bezpieczeństwa banków/fintech/e-commerce:

1. WAF + anti-phishing takedown: automatyczne wykrywanie klonów domen (typo-squatting, IDN), szybkie zgłoszenia/TLP i blokady DNS.
2. MFA odporne na przechwycenie: FIDO2/passkeys, push-MFA z numerem dopasowania, ograniczanie SMS-OTP.
3. Detekcja urządzeń mobilnych: reguły na przechwytywanie powiadomień/AccessibilityService, side-loading, overlay; MTD na urządzeniach korporacyjnych.
4. Telemetry i reguły detekcyjne:
   • IOC/IOA z kampanii GXC Team (domeny klonów, szablony URL, panele admina).
   • Detections na ruch do Telegram API/botów w kontekście kampanii phishing.
   • Analityka anomalii transakcyjnych (behavioral) i risk-based authentication.
5. Kontrole anty-vishing: weryfikacja numerów, frazowanie ostrzeżeń w IVR i bankowych aplikacjach („konsultant nigdy nie poprosi o kod autoryzacyjny”).

Dla SOC/CERT:

• Hunting: wzorce kitów (np. charakterystyczne formularze, JS do zbierania pól, ścieżki paneli /admin/*, /gate/*).
• Sinkhole & telemetry sharing z innymi instytucjami w kraju (ISAC).
• Playbook na masowe kampanie z OTP-bypass (z góry przygotowane krotki: zamrożenie przelewów, re-KYC, blokada kart, komunikaty publiczne).

Dla użytkowników/klientów:

• Preferuj klucze bezpieczeństwa/Passkeys, nie podawaj OTP przez telefon/„formularze aktualizacji danych”, sprawdzaj adres domeny i certyfikat, aktualizuj Androida i nie instaluj APK spoza sklepu.

Różnice / porównania z innymi przypadkami

W porównaniu z wcześniej ujawnianymi w Hiszpanii siatkami phishingowymi (często lokalne „fabryki SMS-ów”), GXC Team działał jak dojrzały dostawca PaaS/CaaS: oprócz kitów dostarczał personalizację, wsparcie, malware na Androida i narzędzia głosowe, a także wykorzystywał elementy AI do skalowania oszustw. To zbliża go do współczesnych „ekosystemów” usług przestępczych obserwowanych globalnie.

Podsumowanie / najważniejsze wnioski

Operacja Guardia Civil pokazuje, iż public-private partnership (we współpracy m.in. z Group-IB) może skutecznie uderzać w zaplecze CaaS, choćby gdy sprawcy rozpraszają działania na Telegramie i forach. Jednak dopóki zestawy phishingowe z AI i malware OTP-stealing pozostają w obiegu, ryzyko dla bankowości i obywateli utrzymuje się wysokie, a odporne na przechwycenie metody uwierzytelniania stają się koniecznością.

Źródła / bibliografia

• BleepingComputer: „Spain dismantles ‘GXC Team’ cybercrime syndicate, arrests leader”, 11 października 2025. (BleepingComputer)
• Guardia Civil (nota prasowa): „La Guardia Civil desmantela una red de phishing bancario…”, 9 października 2025. (web.guardiacivil.es)
• El País: reportaż o operacji „Bigbang” i tle sprawy, 9 października 2025. (El País)
• Cadena SER (Radio Santander): materiał lokalny o zatrzymaniu w Kantabrii i współpracy międzynarodowej, 9 października 2025. (Cadena SER)
• Resecurity (kontekst historyczny dot. GXC Team i AI w fraudach), 3 stycznia 2024. (resecurity.com)