Фишинговые наборы Salty2FA и Tycoon2FA слились в гибрид, усложняя атрибуцию

Внезапный коллапс и появление химеры

Еще недавно набор Salty2FA стабильно фиксировался в сотнях еженедельных загрузок в интерактивный песочнице ANY.RUN. Однако в начале ноября 2025 года его активность рухнула до нескольких десятков случаев в неделю. Параллельно с этим в образцах, изначально помеченных как Salty2FA, начали проявляться индикаторы компрометации (IOCs) и тактики, техники и процедуры (TTPs), характерные для другого популярного набора - Tycoon2FA. Изначальная гипотеза об устаревших правилах детектирования не подтвердилась. Вместо этого анализ показал, что инфраструктура Salty2FA, судя по всему, столкнулась с операционными сбоями.

Анатомия гибридного вредоносного кода

При детальном изучении нового образца выяснилась химерическая природа атаки. Начальная стадия исполнения, включая характерные для Salty2FA артефакты в коде, такие как «мотивирующие цитаты» и шаблоны имен классов, осталась прежней. Однако когда скрипт пытался загрузить следующую стадию с оригинального домена Salty2FA, он получал ошибку DNS SERVFAIL, указывающую на проблемы на стороне сервера. Сработал запасной план: вредоносный код переключился на резервный URL, который доставил следующий этап атаки.

Именно здесь проявился Tycoon2FA. После серии этапов обфускации и анти-отладочных проверок финальная стадия исполнения практически построчно повторила исполняемую цепочку Tycoon2FA. Аналитики обнаружили полное совпадение в структуре переменных, функциях шифрования данных, алгоритмах кодирования похищенной информации и использовании динамической маршрутизации через домены, сгенерированные алгоритмом DGA. При этом в коде остались следы Salty2FA, а также закомментированные фрагменты, похожие на тестовые данные, что указывает на возможную поспешную адаптацию.

Последствия для защитников и гипотезы об операторах

Это слияние представляет собой значительный сдвиг. Оно не только размывает традиционные методы атрибуции, но и указывает на возможную общую операционную группу, стоящую за обоими наборами. Ранее выдвигались гипотезы о связи Tycoon2FA с группой Storm-1747. Теперь же появляются основания полагать, что эта же группа может контролировать или иметь отношение к Salty2FA. Следовательно, тактика, целевые профили жертв и модели поведения Storm-1747 могут быть применены к атакам с использованием любого из этих фреймворков.

Для команд SOC (Security Operations Center) появление гибридов требует адаптации процессов. Эксперты ANY.RUN рекомендуют рассматривать Salty2FA и Tycoon2FA как часть единого кластера угроз. Важно пересмотреть правила корреляции и обогащения данных, чтобы учитывать оба семейства одновременно. Кроме того, следует делать больший акцент на поведенческом анализе, а не только на статических индикаторах. Паттерны манипуляции DOM, логика многоэтапного исполнения и использование алгоритмов DGA остаются более устойчивыми маркерами, чем отдельные IOC, которые могут быстро меняться.

Сценарии реагирования на инциденты (IR playbooks) также необходимо дополнить вариантами, где в одной кампании присутствуют последовательности вредоносных нагрузок от разных наборов. Не менее важно ожидать более быстрого распространения TTPs между фреймворками, если они контролируются одной группой. В целом, рост гибридных фишинговых наборов означает, что защитникам следует готовиться к более гибким, модульным кампаниям с высокой устойчивостью к сбоям инфраструктуры, что характерно для зрелых групп угроз.

Ожидается, что в будущем подобное перекрестное смешение инфраструктур, вредоносных нагрузок и TTPs между различными фишинговыми фреймворками будет происходить чаще. Это делает критически важным постоянный мониторинг угроз, оперативное обновление логики детектирования и глубокий анализ инцидентов с помощью современных инструментов вроде интерактивных песочниц, которые позволяют вскрывать сложные многоэтапные цепочки атак.

Domains

• 1otyu7944x8.workers.dev
• diogeneqc.pages.dev
• lapointelegal-portail.pages.dev
• lathetai.sa.com
• omvexe.shop
• stoozucha.sa.com
• xm65lwf0pr2e.workers.dev