巴基斯坦逮捕21名“Heartsender”恶意软件服务团伙成员

2025年5月28日

巴基斯坦当局逮捕了21名被指控运营“Heartsender”的个体，这是一项曾经流行的垃圾邮件和恶意软件传播服务，运营时间超过十年。Heartsender的主要客户是试图欺骗受害公司向第三方付款的有组织犯罪集团，其 alleged 所有者曾在2021年被KrebsOnSecurity公开曝光，原因是他们不慎在自己的计算机上感染了恶意软件。

一些Heartsender的核心开发者和销售人员在2021年一次工作外出时的合影。WeCodeSolutions的老板Rameez Shahzad（戴墨镜）位于这张团体照的中央，照片由员工Burhan Ul Haq发布，他就在Shahzad的右侧。

巴基斯坦媒体Dawn的一份报告称，当局逮捕了21名涉嫌运营Heartsender的人，这是一项垃圾邮件投递服务，其主页公开宣传针对多家互联网公司用户的钓鱼工具包，包括Microsoft 365、Yahoo、AOL、Intuit、iCloud和ID.me。据报道，巴基斯坦国家网络犯罪调查局（NCCIA）于5月15日和16日在拉合尔的Bahria Town和木尔坦进行了突击搜查。

NCCIA告诉记者，该团伙的工具仅在美国就造成了超过5000万美元的损失，欧洲当局正在调查另外63起案件。

“这不仅仅是一个骗局操作——它本质上是一所网络犯罪大学，赋能了全球的欺诈者，”NCCIA主任Abdul Ghaffar在一次新闻发布会上表示。

2025年1月，FBI和荷兰警方查封了该网络犯罪服务的技术基础设施，该服务以Heartsender、Fudpage和Fudtools（以及许多其他“fud”变体）的品牌进行营销。“fud”部分代表“完全不可检测”，指的是能够逃避安全工具（如防病毒软件或反垃圾邮件设备）检测的网络犯罪资源。

FBI表示，购买这些服务的跨国犯罪集团主要使用它们来运行商业邮件妥协（BEC）计划，其中网络犯罪分子欺骗受害公司向第三方付款。

Dawn报道称，被捕者包括Rameez Shahzad，据称是Heartsender网络犯罪业务的主谋，该业务最近以巴基斯坦前台公司WeCodeSolutions的名义运营。Shahzad先生在2021年KrebsOnSecurity的一篇报道中被点名和拍照，该报道讲述了一系列显著的操作安全错误，暴露了他们的身份和Facebook页面，显示员工在团体照中摆拍并在工作相关的外出活动中社交。

在将业务转移到WeCodeSolutions之前，Shahzad和本月被捕的其他人曾作为一个自称The Manipulaters的网络托管团体运营。KrebsOnSecurity首次在2015年5月写到The Manipulaters，主要是因为当时他们的广告覆盖了许多流行的网络犯罪论坛，并且他们对自己所做的事情——甚至他们的真实身份——相当公开和厚颜无耻。

2019年的某个时候，The Manipulaters未能续订其核心域名——manipulaters[.]com——该域名与公司许多业务操作相关联。该域名很快被Scylla Intel收购，这是一家专门将网络犯罪分子与其真实身份联系起来的网络情报公司。不久之后，Scylla开始收到大量 intended 给该团体所有者的电子邮件通信。

2024年，DomainTools.com发现网络托管版本的Heartsender向未认证用户泄露了大量用户信息，包括客户凭证和Heartsender员工的电子邮件记录。DomainTools表示，Manipulaters PC上的恶意软件感染暴露了“大量账户相关数据以及该团体成员、操作和在更广泛地下经济中位置的概述。”

据称，Shahzad使用了别名“Saim Raza”，该身份在过去十年中多次联系KrebsOnSecurity，要求删除关于该团体的报道。Saim Raza身份最近在2024年11月联系了本作者，声称他们在与巴基斯坦警察发生冲突后已退出网络犯罪行业并改过自新。

被捕嫌疑人包括Rameez Shahzad、Muhammad Aslam（Rameez的父亲）、Atif Hussain、Muhammad Umar Irshad、Yasir Ali、Syed Saim Ali Shah、Muhammad Nowsherwan、Burhanul Haq、Adnan Munawar、Abdul Moiz、Hussnain Haider、Bilal Ahmad、Dilbar Hussain、Muhammad Adeel Akram、Awais Rasool、Usama Farooq、Usama Mehmood和Hamad Nawaz。