Горизонтальное масштабирование угроз: Общая инфраструктура вредоносных программ в Индонезии ставит под удар доверие к цифровым госуслугам

Кампания, инициированная в июле 2025 года и резко набравшая обороты в январе 2026-го, была синхронизирована с началом налогового сезона в стране. Её цель - обманом заставить пользователей установить поддельное мобильное приложение, имитирующее официальный веб-сервис Coretax, который, что важно, не имеет официального клиента для смартфонов. За этим следует многоступенчатая атака, сочетающая фишинг через WhatsApp, голосовой фишинг (вишинг), скринкастинг и удалённое управление устройством через троянские программы (RAT). В результате злоумышленники получают полный контроль над банковскими аккаунтами жертв, что приводит к прямым финансовым потерям.

Ключевым открытием расследования стало обнаружение общей инфраструктуры, используемой кластером угроз GoldFactory для горизонтального масштабирования атак. Это означает, что одни и те же инструменты, серверы и механизмы доставки применяются для создания поддельных приложений под самые разные бренды - от авиакомпаний и пенсионных фондов до систем цифровой идентификации и соцобеспечения. Подобный промышленный подход позволяет злоумышленникам распределять затраты на разработку и одновременно атаковать широкие слои населения, оцениваемые в 287 миллионов человек. По предварительным оценкам Group-IB, совокупный финансовый ущерб от деятельности этой инфраструктуры в Индонезии может составлять от 1,5 до 2 миллионов долларов США.

Технический анализ показал использование в кампании двух основных семейств вредоносных программ для Android: Gigabud.RAT и MMRat. Оба троянца обладают расширенными возможностями, включая запись экрана, обход многофакторной аутентификации (MFA) и выполнение автоматизированных переводов. Всего было идентифицировано 228 новых уникальных образцов, что значительно обогатило глобальные базы сигнатур. Кроме того, обнаружена третья группа образцов, предварительно названная Taotie, которая, вероятно, представляет собой ранее неизвестное вредоносное ПО, возможно, связанное с китаеязычными разработчиками.

Особую тревогу вызывает системное воздействие подобных кампаний на цифровую экосистему страны. Подрыв доверия к критически важным государственным сервисам, таким как уплата налогов или получение цифрового удостоверения личности, может привести к замедлению цифровой трансформации, снижению вовлечённости граждан и откату к менее эффективным офлайн-процедурам. Угроза перестаёт быть точечной проблемой информационной безопасности, превращаясь в фактор, тормозящий социально-экономическое развитие.

При этом практика показывает, что даже против столь сложных угроз возможна эффективная защита. Комбинация предиктивного моделирования и поведенческого анализа, применённая специалистами Group-IB, позволила снизить процент успешных мошеннических операций с компрометированных устройств до рекордно низких 0,027% среди защищённых клиентов. Это доказывает, что переход от реактивного обнаружения к проактивной, основанной на анализе разведданных защите, является не опцией, а необходимостью.

В основе такого подхода лежит киберфрод-фьюжн - объединение возможностей Threat Intelligence (аналитики угроз), Fraud Protection (защиты от мошенничества), Digital Risk Protection (защиты цифрового профиля) и поведенческой биометрии. Только сквозной анализ всей цепочки атаки, от разработки вредоносного ПО и фишинговой инфраструктуры до методов социальной инженерии и схем отмывания денег, позволяет не только блокировать уже известные угрозы, но и предсказывать новые векторы атак. Например, анализ шаблонов дизайна фишинговых страниц позволил спрогнозировать и выявить почти тысячу новых вредоносных URL, нацеленных на бренды в других странах Юго-Восточной Азии и Африки.

Таким образом, инцидент с Coretax служит наглядным примером современной эволюции киберугроз, где границы между вредоносным ПО, мошенничеством и компрометацией брендов стираются. Для противодействия требуется не просто установка защитных solutions, а формирование целостной операционной картины, построенной на обмене разведданными и предиктивной аналитике. Сохранение доверия граждан к цифровым государственным сервисам напрямую зависит от способности институтов предвосхищать и нейтрализовывать такие комплексные угрозы до того, как они нанесут ущерб.

IPv4

• 104.21.31.66
• 137.220.194.7
• 172.67.171.82
• 172.67.172.152
• 172.67.175.60
• 172.67.221.239

Domains

• coretax.skjgo.com
• coretax.svzgo.cc
• coretax.vfbgo.com
• coretaxlayanan.com
• coretaxonline-pajak.com
• coretax-pajak.online
• coretax-pajakonline.com
• coretaxpelayan.com
• coretaxpelayananonline.com
• coretaxperalihan.com
• coretax-peralihan.com
• coretax-registrasi.com
• coretax-sinkronisasi.com
• djp.dvhid.cc
• djp.otuind.cc
• newsss.cc
• newsss.net
• ngovsss.com
• onlinecoretaxpelayanan.com
• pajak.abbgo.cc
• pajak.abfigo.cc
• pajak.crxind.com
• pajak.dkhid.cc
• pajak.jvcid.com
• pajak.ksjvgo.cc
• pajak.mghgo.cc
• pajak.mvzgo.cc
• pajak.mzfgo.cc
• pajak.nbvgo.com
• pajak.nsbid.com
• pajak.oeixgo.cc
• pajak.wpiego.cc
• pajak.yhvgo.com
• pajakcoretax.com
• pelayanan-coretax.com
• pelayananonlinecoretax.com
• pelayananonlinepajak.com
• pembaharuan-coretax.com
• peralihancoretax.com
• peralihan-coretax.com
• registrasi-coretax.com
• sinkronisasicoretax.com
• sso-tha.com
• sso-tha.net
• sss.aqego.cc
• sss.sksgo.cc
• sss.slhgo.cc
• sss.sligo.cc
• sss-cgov.com
• sss-gov.com
• sssnegov.com
• sss-negov.com
• taspen.xufgo.com
• verifikasi-coretax.com
• verifikasicoretax.online
• verifikasicoretaxonline.com

SHA1

• 004d80e0efe9ea4d572350e8ce4771dfa432f0a2
• 00fcb2abd35049ad3cc9a8a3e1aaba156c0770cf
• 02462bace6937e92f3d1ef35f08c4ad270082104
• 036aa79692470ad8d6a3bedb5da310af111317af
• 03a1bcd3ba59c02ce6c37699baa73a2c075a6644
• 041dcd27e1c77548f7d5897b43a6e1817cb3e9d0
• 045144bfd86e0cf8d884ec4668d074a8d6eb4ee1
• 047190859b100d017c3b651f488eef8eba98ad28
• 075d8eeb5552da8524eb14a6ed72416e6e956aa3
• 07701239a7003699a02aa97bfab46e7b92800949
• 0852fbee4372c194f429b8ec217a5699f56448dc
• 2a954c7c1d764493abc285c34e47525c211fe768
• 3106aa0c8b260e36ece48b8a681353de76d69ca9
• 3bb475b9de75a5f1c6a941210b88b0c0f55f7005
• 3f018345d993d0d8fd778c7f6f4667cc0e974dd4
• 4911144aea43d00f6c7150766e4c0ab29c93d06e
• 49acba8d46b57fdd324f32735e0052750f51b844
• 4bb5c9382fe37012017c88c6ac90afa2efeb2cbc
• 6f474c2d89850f907f538921fd25bd52f0f99af0
• 7b5c154e4aaa51b3652dc685c2f21b6eb70c1440
• 9aab26a308f86ca137e6d6c171568a442e38abb6
• b125aea155d1d14be40644ba50f31418c3f40ebc
• c74dbe25d81bbe3c5e6177049ee393f6657fb799
• ea87642a88788469e7aafc4657588b39709f1509
• f6627863f81cac5bf01664232473da47146f9d4c
• fd09c9c916436e13da1c204f1f4c276c159f198a