Два хостинг-аккаунта, один оператор: эксперты восстановили цепочку атак AgentTesla и PhantomStealer

Один из хостинг-аккаунтов находится на итальянском провайдере Server Plan S.r.l. по адресу 86.107.32[.]157 и обслуживает сайт итальянской промышленной компании. Второй - на румынском Djemba IT&C SRL (109.73.128[.]91), где размещён, предположительно, транспортный бизнес. Оба аккаунта работают под управлением панели cPanel, имеют действующие сертификаты Let’s Encrypt и на первый взгляд выглядят как обычные легитимные сайты малого бизнеса. Однако внутренняя инфраструктура FTP (протокол передачи файлов) на обоих серверах оказалась перепрофилирована под приём похищенных данных.

Исследователи изучили образцы вредоносного кода, извлечённые из репозитория MalwareBazaar, и восстановили полную картину атаки. Документ содержит детальную техническую разборку: от исходных PowerShell-скриптов до конфигурационных данных инфостилеров. На стороне итальянского хостинга для AgentTesla использовались FTP-учётные данные olay@omamontaggi[.]it с паролем pass@A12345@. Этот пароль - короткий, шаблонный (12 символов, комбинация слова pass, разделителя и последовательности A12345) - характерен для обычного пользователя, который не менял его годами. Скорее всего, он был похищен через предыдущее заражение рабочей станции сотрудника компании.

Совсем другая картина на румынском сервере. Конфигурация PhantomStealer v3.5.0 содержала FTP-логин backup@corella[.]ro и пароль qLYMkme%hQ=S-l8X - 16 символов со случайными прописными и строчными буквами, а также спецсимволами. Такой пароль не мог быть установлен владельцем сайта: его явно сгенерировал злоумышленник после получения административного доступа к аккаунту. Исследователи отмечают, что на этом сервере работала устаревшая версия OpenSSH 8.0 с многочисленными известными уязвимостями, включая CVE-2023-48795 (Terrapin) и CVE-2020-15778. Хотя точный вектор проникновения не установлен, разница в качестве паролей указывает на два разных сценария: итальянский случай - результат утечки учётных данных через заражение рабочей станции, румынский - вероятная эксплуатация уязвимостей сетевых сервисов.

Цепочка доставки вредоносной нагрузки оказалась общей для обеих кампаний. Исходный скрипт update.ps1, загруженный в MalwareBazaar пользователем smica83, содержал четырёхуровневую систему: внешний слой шифрования AES-256-CBC, затем PowerShell с XOR-обфускацией (ключ vkSecretKey765), из которого извлекается загрузчик .NET под названием ALTERNATE.EXECUTE. Этот загрузчик методом process hollowing (процессного вытеснения) внедряет финальную полезную нагрузку в легитимный исполняемый файл Microsoft - aspnet_compiler.exe. Исследователи восстановили хэш загрузчика (c8a0077a21f2ba22ec5a6d956b012b794c8b5a70e5ccd05adcff786020850791) и отметили, что данный файл не представлен в MalwareBazaar как самостоятельный образец - он создаётся в памяти только во время выполнения.

Для извлечения конфигурации PhantomStealer аналитики использовали оригинальные методы дешифрования самого вредоносного файла. Вместо того, чтобы восстанавливать ключи AES-256-CBC и PBKDF2 вручную, они заставили исполняемый код внутри образца вызвать собственную функцию DecryptConfig и получили полную таблицу настроек. Выяснилось, что в этой сборке включён только модуль FTP. Модули SMTP, Telegram, Discord и криптоклипера отключены. Это сознательный выбор оператора: передача украденных данных на легитимный, но скомпрометированный сервер выглядит менее подозрительно для средств защиты, чем обращение к публичным мессенджерам.

Единство кампании подтверждается несколькими фактами. Один и тот же ZIP-архив (хэш d892b018...) и один и тот же файл GuLoader (Ustabil.exe) помечены в MalwareBazaar тегами, указывающими на оба скомпрометированных хоста. Кроме того, скрипты-загрузчики для AgentTesla и PhantomStealer были загружены с разницей в несколько часов в течение 48-часового окна. Это позволяет с уверенностью говорить об одном операторе, который использует одну инфраструктуру доставки, но разные методы компрометации хостинг-аккаунтов.

Оба провайдера - Serverplan и Djemba - являются легитимными компаниями, предоставляющими услуги малому бизнесу. Ни один из них не относится к "пуленепробиваемым" хостингам. Ситуация отражает общемировой тренд 2026 года: злоумышленники всё чаще не арендуют собственные серверы, а взламывают аккаунты небольших честных провайдеров и используют их в качестве временных точек сбора украденных данных. Блокировка двух IP-адресов - мера необходимая, но не достаточная: оператор с большой вероятностью переключится на следующую пару скомпрометированных хостинг-аккаунтов в течение нескольких недель.

Основной вывод для специалистов по защите: гораздо продуктивнее сосредоточиться на обнаружении цепочки заражения, а не на отслеживании меняющейся инфраструктуры. Загрузчик ALTERNATE.EXECUTE с характерным именем класса и строкой vkSecretKey765, а также процесс aspnet_compiler.exe, устанавливающий нехарактерные FTP-соединения, дают чёткие сигналы для систем мониторинга (например, Sysmon). Для пользователей хостинговых услуг урок очевиден: слабые или давно не менявшиеся пароли FTP и устаревшее программное обеспечение на серверах открывают прямую дорогу злоумышленникам, даже если сам сайт выглядит нетронутым.

IPv4

• 109.73.128.91
• 86.107.32.157

Domains

• corella.ro
• ftp.corella.ro
• ftp.omamontaggi.it
• omamontaggi.it
• server1.djemba.ro
• tannen.dnshigh.com

Emails

• backup@corella.ro
• olay@omamontaggi.it

SHA256

• 350c7cdc9d10c12ae1c490890975e387421616170f710ebbf9fa6d29fbf4b7dc
• 3dac52fb06fdd36e5aa4fd572b2a05d6cf3d736ec8a2d487e44b828821a7ba3d
• 96adde04d7845d0bfecccab55b8892383304c0ad9b531aa08deaad632ecbad01
• c023166a028773efc229e5d4a052fd768d356f7674bc57de91169b9c47bcae55
• c8a0077a21f2ba22ec5a6d956b012b794c8b5a70e5ccd05adcff786020850791
• c916f289ff9a05d74d72f28582ff03690d415fe64a4195b4f47195fe286c6d2d
• d892b018684fb2472587c9c7ab3ae37ffd814ba3a63ab60e3b1a9f2098884c92