Segundo a empresa, a rede estaria por trás do desenvolvimento e da operação de um kit de software de phishing-as-a-service (PhaaS) chamado Outsider.
“A operação armou o Gemini para ajudar a gerar páginas fraudulentas de phishing e a disparar campanhas massivas de smishing por SMS, muitas vezes por meio de mensagens que imitavam marcas legítimas, alertando os destinatários sobre ‘problemas na conta de corretagem’ ou afirmando que eles eram elegíveis para ‘recompensas por meio da operadora de celular’”, disse o Google.
“As mensagens levam os usuários a clicar em um link que direciona para um site fraudulento, criado para se passar por instituições confiáveis e roubar informações pessoais e financeiras.”
O Google afirmou que entrou com a ação para desarticular a infraestrutura da rede e que está trabalhando com AT&T, T-Mobile e Verizon para impedir que esse tipo de mensagem chegue aos clientes.
De acordo com a empresa, as operações do Outsider são coordenadas pelo Telegram, com a distribuição de kits de phishing que permitem que threat actors dispararem mensagens falsas em nome de marcas confiáveis.
Esses esquemas teriam vitimado mais de 100.000 pessoas, com prejuízos de milhões de dólares.
Além disso, foram identificados 9.000 sites falsos e mais de 1,59 milhão de URLs fraudulentas ligadas ao serviço de phishing entre 14 de novembro de 2025 e 14 de abril de 2026.
Em um período de duas semanas, de 18 de maio a 1º de junho de 2026, o Outsider foi responsável por 55.000 mensagens de spam sinalizadas por usuários de Android.
No mesmo intervalo, 2,5 milhões de mensagens foram enviadas pela rede a usuários de Android com links para sites criados pelo Outsider.
Por apenas US$ 88 por semana, o kit permite que criminosos criem sites fraudulentos, lancem campanhas de phishing e roubem números de cartão de crédito, credenciais bancárias e dados pessoais.
A licença pode ser adquirida por meio de um bot de pedidos de autoatendimento no Telegram, identificado como @OutsiderCodeBot.
O serviço também oferece mais de 290 modelos prontos que imitam sites legítimos de instituições confiáveis, registro de teclas em tempo real e um painel de desempenho para acompanhar a eficácia da campanha.
“Como se a simplicidade plug-and-play do Outsider já não fosse alarmante o suficiente, a Enterprise tornou a ferramenta ainda mais poderosa ao fornecer instruções passo a passo sobre como o Outsider pode armar código gerado por IA”, afirmou o Google na ação protocolada em um tribunal federal de Manhattan.
“Seguindo essas instruções, membros da Enterprise podem usar ferramentas de IA para gerar código de programação para um site-base e, depois, copiar e colar esse código no Outsider para transformar essa estrutura em um site fraudulento, que pode ser usado para roubar informações pessoais ou financeiras das vítimas.”
O Google disse que os prompts enviados ao Gemini e a outras plataformas de IA são apresentados como pedidos inocentes de ajuda com programação, solicitando que o modelo gere código HTML para criar uma “página de resgate de presente” com as funções e recursos desejados, além de instruir o sistema a não usar JavaScript e empregar CSS embutido.
Depois que o site falso entra no ar, seu URL é enviado às vítimas em potencial por mensagens de texto.
A Enterprise do Outsider seria composta por vários grupos interligados, cada um com funções diferentes, mas que colaboram para executar ataques de phishing usando o kit.
Entre eles estão:
• O grupo de desenvolvedores, responsável pelo software de phishing e pelos modelos
• O grupo de corretores de dados, que fornece listas selecionadas de alvos
• O grupo de disparo em massa, que oferece as ferramentas para enviar mensagens fraudulentas em larga escala
• O grupo de furto, que ajuda a monetizar as informações roubadas, como cartões de crédito e credenciais, e a lavar fundos obtidos com cartões de crédito roubados
• O grupo do Telegram, que facilita a colaboração entre os membros e recruta novos integrantes
A vantagem desses serviços, como no caso do recentemente desarticulado Sniper Dz, é que eles reduzem drasticamente a barreira de entrada para fraudadores iniciantes sem conhecimento de programação, que conseguem montar ataques convincentes de phishing com pouco esforço e em grande escala.
“Os criminosos por trás da Enterprise do Outsider transformaram a falsificação de marcas confiáveis em um negócio para fraudar centenas de milhares de vítimas”, afirmou Brett Leatherman, diretor-assistente da Divisão de Cibersegurança do FBI.
“Os criminosos usam cada vez mais IA para tornar fraudes como essa mais convincentes e mais difíceis de detectar.”
O movimento ocorre exatamente sete meses depois de o Google ter aberto outra ação nos Estados Unidos contra hackers baseados na China que estavam por trás de uma grande plataforma de Phishing-as-a-Service chamada Lighthouse, que enganou mais de 1 milhão de usuários em 120 países.
