El operativo fue coordinado por investigadores de NRK, Bayerischer Rundfunk, Le Monde y la firma de ciberseguridad Mnemonic, quienes revelaron que Darcula involucra a 600 operadores en más de 100 países y opera mediante 20.000 dominios falsos que imitan marcas reconocidas para robar credenciales financieras.
 

Una de las innovaciones clave de Darcula es el uso de mensajería RCS e iMessage, en lugar del tradicional SMS, aumentando la efectividad de las campañas. Los mensajes, que simulan multas de tránsito o alertas de entrega, redirigen a sitios fraudulentos diseñados para capturar información sensible. Además, Darcula permite a sus operadores generar kits de phishing personalizados, integrar conversores de tarjetas de crédito a virtuales, y gestionar operaciones desde un panel de administración simplificado.
 

En abril de 2025, la plataforma incorporó inteligencia artificial generativa, habilitando la creación de campañas en múltiples idiomas y temas, y elevando el nivel de personalización y sofisticación de los fraudes.
 

La investigación también identificó como pieza clave a "Magic Cat", una herramienta asociada a un joven de 24 años de Henan, China, vinculado a una empresa de software que, aunque niega su implicación en actividades ilícitas, presenta lazos claros con la operación. Darcula opera a través de grupos cerrados en Telegram, utilizando granjas de SIM y módems para la distribución masiva de mensajes.

Este esquema de fraude no es una acción aislada: es una red organizada, estructurada por roles específicos, capaz de evadir detecciones mediante técnicas avanzadas como DNS-over-HTTPS.
 

El caso Darcula ilustra cómo la combinación de tecnología avanzada y criminalidad organizada está redefiniendo el fraude digital. Con la creciente incorporación de IA, las futuras amenazas serán aún más difíciles de detectar, subrayando la urgencia de fortalecer la seguridad digital y promover prácticas de protección proactivas en toda la industria de pagos.