Исследователи раскрыли инфраструктуру китайскоязычного мошеннического кластера: от фишинга до крипто-скамов

Обнаружение нового кластера вредоносной инфраструктуры, развёрнутого на серверах в Гонконге, проливает свет на эволюцию структурированной киберпреступности. Речь идёт не об изолированной атаке, а о вертикально интегрированной экосистеме, в рамках которой одна группа операторов управляет одновременно несколькими мошенническими кампаниями - от фишинга государственных субсидий до поддельных криптовалютных проектов.

Описание

В центре внимания оказался IP-адрес 118.107.43[.]65, относящийся к подсети 118.107.43[.]0/24, которая закреплена за хостинг-провайдерами CTG Server Ltd и RACKIP Consultancy Pte Ltd (AS152194, Гонконг). Этот же IP-адрес, как выяснилось, является частью более широкой сети, используемой для задач, далёких от законного бизнеса.

Ключевой особенностью обнаруженного кластера является использование подхода, характерного для профессиональных организованных групп. Исследователи обнаружили на сервере 118.107.43.65 целых 22 одноразовых домена, которые сменяли друг друга в течение 30-дневного окна - с 15 июля по 14 августа 2025 года. Все они вели на одну и ту же панель администратора с заголовком "后台管理系统", что переводится как "Система управления бэкендом". Период активности домена составлял от одного до трёх дней, после чего он заменялся новым. Это классическая тактика для уклонения от блокировок и затруднения расследований.

Один из этих доменов - www.uierot.com - служил внешней витриной для жертв. Он был оформлен как страница "企业补贴", то есть "Корпоративные субсидии". Мошеннический сайт имитировал государственную программу поддержки бизнеса и частных лиц, предлагая оформить выплаты. Целевой аудиторией были граждане Китая и китайские компании, которые ищут информацию о реально существующих субсидиях.

Архитектура каждого из 22 доменов была стандартизирована и состояла из трёх поддоменов. Поддомен www. предназначался для жертв и отображал фишинговый контент. Поддомен api. служил бэкендом на PHP, обрабатывающим данные (он был закрыт и возвращал ошибку 403). Третий поддомен, имеющий случайный префикс (например, gh., df., a1y.), вёл на панель управления оператора. Технологический стек мошеннической платформы включал современные веб-технологии: Vue.js 3, Element Plus, FingerprintJS. Последний используется на обеих сторонах системы - как для отслеживания жертв (снятие цифрового отпечатка устройства), так и для аутентификации самих операторов. Это указывает на то, что оператор контролирует входы в панель и может привязывать учётные записи к конкретным устройствам, предотвращая кражу сессии даже при компрометации пароля.

Интересен и другой метод уклонения от обнаружения. На стороне жертвы используется библиотека crypto-js для шифрования данных формы на стороне клиента до отправки на сервер. Хотя ключ шифрования хранится в самом JavaScript-бандле, и такое шифрование не является криптостойким, оно эффективно против простых сканеров веб-трафика и браузерных расширений, перехватывающих данные POST-запросов.

Сам кластер, однако, простирается далеко за пределы одного мошеннического проекта с субсидиями. Подсеть 118.107.43[.]0/24 содержит 154 активных хоста, образующих многоцелевой хостинг-центр киберпреступности. На одном из фрагментов этой подсети размещён поддельный сайт coredao.net, имитирующий легитимный блокчейн-проект Core DAO. Домены для этой операции также зарегистрированы через Gname.com и используют те же DNS-серверы share-dns, что и мошеннический кластер с субсидиями. Ещё одна группа серверов в той же подсети обслуживает китайскоязычные азартные игры на доменах с числовыми именами в зонах .com и .vip. Там же обнаружена чат-платформа tongxinsq.com ("Сообщество связи"), которая, вероятно, используется операторами для внутренней координации.

Особого внимания заслуживает то, что инфраструктура для хранения и обработки данных также развёрнута внутри этого кластера. Исследователи выявили объектное хранилище MinIO, кластеры Elasticsearch, очередь сообщений RabbitMQ и базы данных MySQL с Redis. Это говорит о том, что операторы построили полноценную многоуровневую архитектуру, характерную для легитимных сервисов, но используемую для киберпреступных целей.

Удивительно, но при всей технической оснащённости мошенников, их собственная операционная инфраструктура на Windows оказалась крайне уязвимой. На нескольких хостах в подсети не установлено обновление для критической уязвимости CVE-2020-0796 (также известной как SMBGhost), которая позволяет удалённо выполнять код на уязвимом хосте без аутентификации. Для правоохранительных органов и специалистов по реверс-инжинирингу это создаёт прямую возможность для нарушения работы кластера - атаковав инфраструктуру самих мошенников.

Таким образом, обнаруженный кластер представляет собой яркий пример профессионализации современной кибепреступности, где мошеннические операции масштабируются, автоматизируются и используют промышленные подходы к управлению инфраструктурой. Единственное слабое место - собственная безопасность операторов, которая, как ни парадоксально, оказалась не на высоте по сравнению с их умением строить защиту для своих жертв.