2021年9月，开始频繁出现冒充公司给员工发工资补贴邮件进行诈骗的新闻。今年5月，360手机卫士收到用户反馈，其收到“关于发布最新工资补贴通知，请打开附件查收！”的邮件，扫码访问邮件中的二维码，并按照提示填写姓名、电话号码、银行卡号、验证码后，资金被盗刷。

这些邮件使用的钓鱼页面与虚假ETC短信钓鱼网站在界面、功能上相似，随着研究深入，我们发现这些钓鱼网站背后是位于缅北的黑灰产团伙，其开发了冒充工资补贴、ETC、社保、医保等钓鱼网站，并通过短信群发、邮箱群发等方式进行引流。鉴于此种引流方式大多使用**魔方工具进行数据清洗，我们将此类攻击行为统称为“缅北魔方”。同时本次发现的组织在钓鱼中使用的中转域名均为site*.g*.r*，基于此将其命名——“缅北魔方G”组织。