Гибридная инфраструктура даркнет-маркетплейса Kraken: как публичные домены стали шлюзом к скрытым сервисам

Архитектура шлюза: от CAPTCHA до скрытого сервиса

Исследователи обнаружили, что страница входа в экосистему Kraken, защищённая CAPTCHA, доступна одновременно через традиционные публичные домены (клирнет) и скрытые сервисы Tor. Визуально интерфейсы идентичны, что указывает на единую систему, а не на независимые копии. Ключевое отличие заключается в логике работы. Публичная веб-страница выполняет функции не самостоятельного маркетплейса, а слоя-шлюза (gateway), расположенного перед onion-сервисами. Когда пользователь вводит учётные данные на клирнет-домене, они сначала отправляются через POST-запрос на локальный эндпоинт "/entry/login", то есть на сам публичный сервер. Параллельно страница в фоновом режиме обращается к внутреннему компоненту маршрутизации ("/modules/onion_servers/take_server.php"). Это означает, что привязка сессии пользователя к конкретному скрытому серверу происходит ещё до завершения аутентификации - паттерн, характерный для прокси- или брокерских слоёв, призванных скрывать настоящую backend-инфраструктуру.

Cookie-файлы как источник телеметрии: раскрытие внутренней маршрутизации

Анализ HTTP-куки (cookie), устанавливаемых в процессе аутентификации через клирнет, позволил раскрыть скрытую метаданные о внутренней инфраструктуре. В параметрах cookie обнаружены поля, прямо указывающие на сложную систему координации: "tor_scheme_id", "tor_port", "onion_server_id" - что говорит о динамической привязке сессий к конкретным скрытым сервисам. Идентификаторы вроде "proxy_cf_session_id", "remote_route" и "remote_server_id" свидетельствуют о прохождении трафика через промежуточные прокси-слои, вероятно, для распределения нагрузки или изоляции сервисов. Кроме того, наличие в cookie ссылки на публичный реферер (например, "kraken106[.]com") явно демонстрирует связь между открытыми доменами-«открывашками» и скрытой onion-инфраструктурой. Эти артефакты доказывают, что аутентификация сначала обрабатывается публичными сессионными брокерами, и только затем пользователь направляется в анонимный сегмент.

Манипуляции с буфером обмена и распределённая инфраструктура

Ещё одним интересным аспектом стало обнаружение в клиентском JavaScript на публичных страницах логики для манипуляции буфером обмена. Скрипт отслеживает событие копирования текста и, если пользователь копирует известный onion-адрес, незаметно подменяет его на альтернативное зеркало из внутреннего словаря. Этот приём характерен для операционных практик даркнет-экосистем, направленных на поддержание избыточности зеркал, управление трафиком и контроль над маршрутизацией пользователей. Что ещё более важно, множество клирнет-доменов, обслуживающих идентичные страницы входа с CAPTCHA, оказались проиндексированы публичными поисковыми системами. Это выводит точку входа из исключительно анонимного сегмента, делая её обнаружимой средствами обычной веб-разведки (OSINT). Анализ этих доменов показал системные паттерны именования, числовую ротацию и зеркальное развёртывание на различных доменных зонах (например, ".cc" и ".at"), что указывает на преднамеренное создание масштабируемой и отказоустойчивой инфраструктуры шлюзов, а не на случайное использование ресурсов.

Последствия для модели угроз и рекомендации по обнаружению

Представленная гибридная модель представляет собой заметный сдвиг в дизайне даркнет-операций. С одной стороны, она повышает доступность и устойчивость платформы, позволяя новым пользователям легко находить входную точку без необходимости сразу использовать Tor. С другой - создаёт новые векторы для мониторинга и атак. Публичный шлюз становится единой точкой перехвата, где учётные данные могут быть логированы или скомпрометированы ещё до попадания в анонимную сеть. Это создаёт значительные фишинговые риски, поскольку визуальное сходство с легитимным onion-сайтом может вводить пользователей в заблуждение относительно истинного назначения клирнет-страницы.

С точки зрения информационной безопасности, этот кейс диктует необходимость адаптации методов обнаружения. Специалистам, занимающимся мониторингом угроз, следует обращать внимание на следующие индикаторы компрометации (IOC) в корпоративных сетях:

• Повторяющиеся обращения пользователей к доменам с паттернами именования, включающими "captcha" и числовую ротацию (например, "captcha001", "captcha002").
• Наличие HTTP-запросов к специфическим эндпоинтам: "/entry/login" и "/modules/onion_servers/take_server.php".
• Обнаружение в веб-телеметрии cookie-файлов с параметрами, связанными с маршрутизацией Tor (например, содержащими "tor_" или "onion_").
• Активность JavaScript, манипулирующего содержимым буфера обмена и содержащего ссылки на ".onion"-адреса.

На момент анализа часть обнаруженных клирнет-доменов не имела негативных пометок на VirusTotal, в то время как другие уже классифицировались отдельными вендорами как фишинговые или вредоносные. Эта неоднозначность подчёркивает высокий риск, связанный с подобными точками входа. Вне зависимости от того, являются ли эти шлюзы легиматной частью инфраструктуры маркетплейса или фишинговой ловушкой, их следует рассматривать как критически опасные объекты. Организациям необходимо блокировать доступ к подобным доменам на периметре, а также обучать пользователей не использовать учётные данные вне проверенных и ожидаемых контекстов, особенно если аутентификация происходит на публичном, а не на onion-сайте. Гибридная архитектура Kraken демонстрирует, что граница между открытым и теневым интернетом продолжает размываться, требуя от защитников более комплексного подхода к анализу угроз.

Domains

• captcha.kra51.cc
• captcha.kra52.at
• captcha.kraba5.at
• captcha.kraba5.cc
• captcha.krabi2.at
• captcha.krabi2.cc
• captcha.krabi3.at
• captcha.krabi3.cc
• captcha.krabi4.at
• captcha.krabi4.cc
• captcha.krabi5.at
• captcha.krabi5.cc
• captcha.krad2.at
• captcha.krad2.cc
• captcha.krafb2.cc
• captcha.krafb5.at
• captcha.krafb5.cc
• kcra43.at
• kcra43.cc
• kra44l.at
• kra44l.cc
• kra45l.at
• kra45l.cc
• kra46l.at
• kra46l.cc
• krak45.at
• krak45.cc
• kraken106.com