В мире информационной безопасности инфраструктура для атак типа "человек посередине" (Man-in-the-Middle) часто остаётся в тени, однако её масштабы и изощрённость продолжают расти. Этот случай выходит далеко за рамки коммерческого фишинга и указывает на подготовку к операциям уровня масштабного наблюдения.
Описание
Первые признаки этой инфраструктуры были задокументированы исследователями в марте 2026 года. Тогда речь шла о сети из примерно 300 прокси-серверов, обслуживаемых компанией NEKOBYTE INTERNATIONAL LIMITED и использующих украденные TLS-сертификаты таких компаний, как Apple, Google, GitHub и Microsoft. Однако, как следует из нового отчёта, всего через шесть недель операция утроила свои мощности. Теперь в рамках одного автономного номера AS206134 размещены 1004 подтверждённых прокси-сервера для атак типа "человек посередине" (AiTM). Целями подмены стали новые крупные сервисы, включая Zoom, Twitch, репозиторий ядра Linux kernel.org, файлообменник MEGA, кинобазу IMDB и даже немецкий доменный реестр DENIC. При этом количество прокси, нацеленных на ранее выявленные платформы вроде GitHub и Microsoft, выросло в разы.
Технический механизм работы этих прокси делает их исключительно опасными. Каждый сервер выполняет так называемую "прозрачную передачу TLS" (TLS passthrough). На запрос пользователя прокси, используя индикацию имени сервера (Server Name Indication), соединяется с настоящим целевым сервером, получает от него подлинный, подписанный доверенным центром сертификации TLS-сертификат и передаёт его обратно клиенту. В результате браузер жертвы видит абсолютно валидный сертификат, проходят все проверки, включая закрепление сертификата (certificate pinning), и пользователь не наблюдает никаких предупреждений безопасности. Прокси просто незаметно ретранслирует весь трафик, получая возможность перехватывать логины, пароли, сессионные куки и любые другие данные. Сравнение размера контента, получаемого через прокси и напрямую, показало расхождение буквально в несколько байт, что подтверждает практически идеальную прозрачность подмены.
Масштаб и выбор целей не оставляют сомнений в некоммерческом характере операции. Одновременная имитация ключевых российских сервисов (VK, Яндекс, Ozon, Wildberries, 1C) и западных технологических гигантов (Microsoft, Apple, GitHub) нетипична ни для коммерческих групп киберпреступников, ни для традиционных хакерских групп, ориентированных вовне. Особую тревогу вызывает наличие прокси, нацеленных на критически важную инфраструктуру разработки ПО: репозиторий ядра Linux (kernel.org), сеть доставки JavaScript-контента (jsDelivr) и контейнерный реестр Oracle. Это может сигнализировать о подготовке к сложным атакам на цепочку поставок программного обеспечения.
В отличие от коммерческих фишинговых платформ, которые редко управляют сотнями серверов одновременно, данная сеть демонстрирует промышленный масштаб и высокую степень автоматизации, используя стек на основе обратного прокси Traefik. Все прокси размещены в автономной системе, созданной лишь в январе 2026 года, а её аплинки связаны с провайдерами, неоднократно фигурировавшими в отчётах как пособники размещения вредоносной инфраструктуры.
Индикаторы компрометации
IPv4
- 147.45.210.1
CIDRs
- 138.124.240.0/23
- 147.45.210.0/24
- 178.236.240.0/24
- 178.236.243.0/24
- 178.236.249.0/24
- 195.62.48.0/23
- 2.26.116.0/24
- 2.26.117.0/24
- 2.26.119.0/24
- 2.26.16.0/24
- 2.26.17.0/24
- 2.26.28.0/24
- 2.26.29.0/24
- 2.26.30.0/24
- 2.27.120.0/24
- 2.27.121.0/24
- 2.27.122.0/24
- 2.27.123.0/24
- 2.27.16.0/24
- 2.27.17.0/24
- 212.113.98.0/24
- 64.188.115.0/24
- 77.239.127.0/24
- 77.91.79.0/24
