Анализ исходного кода UPMI ULTIMATE: ИИ помог создать продвинутую платформу для фишинга как услуги

Платформа UPMI ULTIMATE предлагает сквозные возможности для проведения фишинговых кампаний. Её функционал включает в себя создание и рассылку писем, обфускацию ссылок, автоматическую ротацию доменов, а также интеграцию с системой обратного прокси-сервера Evilginx, которая перехватывает не только учётные данные, но и живые сессионные токены, полностью обходя многофакторную аутентификацию (MFA). Для защиты от автоматического анализа в цепочку атаки встроена проверка Cloudflare Turnstile CAPTCHA. Особенностью системы является коллективный разум: каждый развёрнутый экземпляр отправляет телеметрию о кампаниях на главный сервер, что позволяет всем операторам платформы учиться на успехах и неудачах друг друга, постоянно повышая эффективность уклонения от систем защиты.

Атака начинается с отправки письма через один из трёх поддерживаемых методов: прямой SMTP-отправки (порт 25), ретрансляции через Office 365 или использования Microsoft Graph API. Перед рассылкой система проводит разведку, анализируя DNS-записи целевого домена, включая политики DMARC, SPF и DKIM. На основе полученного "риск-скор" автоматически выбирается оптимальный метод доставки и определяется возможность спуфинга домена отправителя. Для обхода репутационных фильтров реализован механизм постепенного "прогрева" IP-адресов в течение 30 дней. Для операторов предусмотрен веб-дашборд Xverginia, который предоставляет управление фишинговыми приманками и уведомляет о успешных перехватах токенов в реальном времени.

Важнейшим элементом платформы является модуль LinkShield, который отвечает за управление фишинговыми ссылками. Каждая ссылка шифруется с использованием AES-256-GCM, а её полезная нагрузка содержит конечный URL, временную метку и адрес получателя. Это делает невозможным статический анализ ссылок автоматическими сканерами. Исследователи обнаружили в исходном коде общий секретный ключ для расшифровки. Модуль также умеет создавать ссылки, первоначально ведущие на доверенный домен google.com, что дополнительно повышает доверие к ним.

Платформа оснащена продвинутыми механизмами уклонения от анализа. Трекер классифицирует посетителей, используя обширные базы IP-адресов известных сканеров безопасности, таких как Microsoft Safe Links или Google Safe Browsing. Для сокрытия реального местоположления трекера используются прокси через Cloudflare Workers. Одной из самых изощрённых техник является "инъекция цепочки ответов": к фишинговому сообщению автоматически добавляется сгенерированный фальшивый поток переписки, что значительно повышает доверие к письму в глазах машинного обучения почтовых фильтров. Система также динамически подстраивает заголовки писем под конкретный фильтр получателя, например, добавляя служебные заголовки Microsoft Exchange для имитации внутренней переписки.

UPMI ULTIMATE распространяется по лицензии. Лицензионный ключ привязывается к уникальным характеристикам машины клиента. Все клиентские экземпляры регулярно связываются с лицензионным сервером, что даёт разработчикам возможность удалённо отзывать доступ. Ключевые модули платформы поставляются в зашифрованном виде и расшифровываются только в памяти во время выполнения, что затрудняет статический анализ. Через Telegram-бота разработчик имеет полный контроль над всеми развёрнутыми экземплярами, включая возможность мгновенно отозвать все лицензии.

Анализ исходного кода выявил явные признаки того, что платформа была создана с активным использованием большого языкового модели. Наиболее показательным является "санированный" язык во всём коде: система везде описывается как "Платформа для оценки безопасности электронной почты", а не как фишинговый инструмент. Такой подход позволяет обойти этические ограничения современных LLM, которые отказываются генерировать код для явно вредоносных целей. В коде наблюдается характерная для ИИ структура с обилием декоративных разделителей и эмодзи в комментариях и выводе в консоль. Это указывает на то, что разработчик, возможно, не обладая глубокими навыками программирования, смог с помощью правильно составленных промптов создать сложный и жизнеспособный продукт для киберпреступного рынка.

Обнаружение полного исходного кода такой платформы - это тревожный сигнал для индустрии информационной безопасности. UPMI ULTIMATE демонстрирует коммерциализацию и профессионализацию фишинговых атак, где технологии искусственного интеллекта используются не только для атаки, но и для создания самих инструментов нападения. Коллективная система разведданных делает подобные платформы особенно опасными, так как они адаптируются и учатся в масштабах всей сети своих пользователей. Защитникам необходимо усиливать мониторинг нестандартных цепочек писем, обращать внимание на аномалии в заголовках, а также внедрять решения, способные обнаруживать атаки типа "злоумышленник посередине" (AiTM), которые нацелены на перехват сессионных токенов.

IPv4

• 103.101.202.72
• 104.131.106.42
• 104.194.152.178
• 143.198.27.52
• 147.182.195.233
• 157.250.207.92
• 193.111.125.137
• 205.198.88.186
• 212.52.6.239
• 45.61.136.190
• 64.52.80.3
• 64.95.13.174

Domains

• bowhead-transport.com
• brevantic.com
• brevantic.online
• cybernt.us
• docviewportal.com
• go.docviewportal.com
• mcapilllotlivveoffice.com
• pablotechnostore.com
• professionalinsurancesolutions.com
• tms.ac
• trns.live
• ventracloud.com
• ventrisecure.com
• vvearcon.com
• webmail.tms.ac
• workplaceoutreach.online

SHA256

• 3192549bc2198bc3f4ed775c55102ddd131f1a2466f5459ebe23198d4a02105c
• 79b74ed25250b9b9fa60a710f0f93bbf9ec0155c006f2af453e278f2e5af8c6f