Gli attori malevoli continuano a ottenere successo nell'usare indirizzi email falsificati come parte di varie campagne di malspam. La falsificazione dell'indirizzo del mittente è vista come un tentativo di rendere l'email più legittima e superare i meccanismi di sicurezza che potrebbero altrimenti identificarla come dannosa. Sebbene esistano protezioni come DomainKeys Identified Mail (DKIM), Domain-based Message Authentication, Reporting and Conformance (DMARC) e Sender Policy Framework (SPF) per impedire agli spammer di falsificare domini noti, tali misure hanno spinto i malintenzionati a sfruttare vecchi domini trascurati nelle loro operazioni. Così facendo, i messaggi email sono più propensi a bypassare i controlli di sicurezza che si basano sull'età del dominio per identificare lo spam.

Infoblox, un'azienda di intelligence sulle minacce DNS, ha scoperto che gli attori delle minacce, tra cui Muddling Meerkat, hanno abusato di vecchi domini di primo livello (TLD) non utilizzati per quasi 20 anni. Questi domini mancano della maggior parte dei record DNS, inclusi quelli usati per verificare l'autenticità di un dominio mittente, come i record SPF. I domini sono brevi e appartengono a TLD molto rispettati. Una campagna attiva almeno dal dicembre 2022 distribuisce email con allegati contenenti codici QR che conducono a siti di phishing, chiedendo ai destinatari di utilizzare app come AliPay o WeChat per scansionare il codice QR.

Le email utilizzano esche fiscali scritte in mandarino e il sito di phishing invita gli utenti a inserire i loro dati di identificazione e della carta per effettuare un pagamento fraudolento. Anche se le campagne usano domini trascurati come Muddling Meerkat, sembrano falsificare domini casuali, anche inesistenti, per evitare email ripetitive dallo stesso mittente. Inoltre, sono state osservate campagne di phishing che impersonano marchi popolari come Amazon e Mastercard, per reindirizzare le vittime verso pagine di accesso fasulle utilizzando sistemi di distribuzione del traffico (TDSes).

Una terza categoria di spam riguarda l'estorsione, dove ai destinatari delle email viene chiesto di effettuare un pagamento in Bitcoin per cancellare video imbarazzanti registrati con un presunto trojan di accesso remoto. Gli attacchi abusano di piattaforme fidate come Canva e Dropbox per reindirizzare gli utenti ai siti malevoli. Recentemente, campagne di phishing via SMS hanno impersonato autorità negli Emirati Arabi Uniti per inviare richieste di pagamento false per violazioni inesistenti. I clienti bancari in Medio Oriente sono stati presi di mira da uno schema sofisticato che impersona funzionari governativi per rubare informazioni sulle carte di credito.

Infine, attori malevoli stanno pubblicizzando un plugin WordPress dannoso chiamato PhishWP, che può creare pagine di pagamento personalizzabili per rubare dati personali e finanziari tramite Telegram. Gli attaccanti possono compromettere siti WordPress legittimi o crearne di fraudolenti per installarlo, raccogliendo informazioni sugli utenti ignari in tempo reale.