884 000 hitelkártyaadatot loptak el a Dracula Phishing-as-a-Service (Phaas) adathalász szolgáltatást nyújtó platform segítségével. Az SMS-ben érkező káros hivatkozásokra 2023 és 2024 közötti időszakban mintegy 13 milliószor kattintottak világszerte. Ezek az eredmények az NRK, Bayerischer Rundfunk, a Le Monde oknyomozó újságíróinak és a norvég Mnemonic biztonsági cég szakértőinek összehangolt nyomozásából származnak. A vizsgálatok során az oldal 600 felhasználóját, illetve a platform fejlesztőjét és értékesítőjét is sikeresen azonosították.
A Dracula egy olyan Phaas platform, amely több, mint 100 országban vesz célba Android és iPhone felhasználókat, 20 ezer ismert márkát utánzó domain használatával, célja pedig a felhasználók fiókadatainak ellopása. A rosszindulatú linkeket tartalmazó adathalász üzenetek sokszor útdíjbírságról vagy csomagküldéssel kapcsolatos értesítésekről szólnak.
A Netcraft kutatói hívták fel először a figyelmet a növekvő fenyegetésre még 2024 márciusában, amikor beszámoltak róla, hogy a Dracula RCS (Rich Communication Services) és iMessage üzeneteket küld a hagyományos SMS-ek helyett, aminek köszönhetően hatékonyabb támadás hajtható végre más kiberbűnözői szolgáltatásokhoz képest. 2025 februárjában a kutatók arról számoltak be, hogy a Dracula jelentős fejlesztésen esett át, ami lehetővé teszi az üzemeltetők számára, hogy bármilyen márkához automatikusan generáljanak adathalász üzeneteket, emellett új álcázási funkciókat, egy hitelkártya–virtuális kártya konvertálót, valamint egy leegyszerűsített adminisztrációs felületet is bevezettek. 2025 áprilisában a Netcraft felfedezte, hogy egy generatív AI is bevezetésre került a Dracula platformra, ami lehetővé teszi a kiberbünözők számára, hogy bármilyen nyelven és bármilyen témában egyedi csalásokat hozhatnak létre nagy nyelvi modellek (LLM-ek) segítségével.
A Mnemonic vizsgálata során – amely az adathalász infrastruktúra visszafejtését is magában foglalta – a szakértők felfedeztek egy „Magic Cat” nevű, hatékony adathalász eszközkészletet, amely a Dracula-művelet gerincét képezi. A kutatók beszivárogtak a Dracula-művelethez tartozó Telegram csoportba is, ahol SIM-farmokról, modemekről, illetve a csalásokból finanszírozott fényűző életmódokról készült fotókat osztottak meg egymással a résztvevők. A kutatók által végzett OSINT nyomozás és a passzív DNS elemzés segítségével a Dracula-műveletet többek között egy kínai személyhez és egy GitHub fejlesztői fiókhoz vezették vissza. AZ NRK állítása szerint az illető egy Henan tartományból származó 24 éves férfi, aki kapcsolatban áll azzal a céggel, akik feltételezhetően létrehozták a Magic Cat-et. A cég szóvivője tagadta a csalással kapcsolatos vádakat és azt nyilatkozta, hogy a férfi egy volt alkalmazottjuk és a vállalat kizárólag „weboldal készítő szoftvereket” árul. Bár a cég elismerte, hogy a Magic Cat-et adathalászati célokra is használják, állításuk szerint leállították a fejlesztést, ám időközben mégis kiadtak egy új verziót.
A kutatási és vizsgálati eredmények és információk átadásra kerültek az illetékes hatóságoknak.