Найден открытый сервер управления фермой ботов для манипуляций на крипторынке через X (Twitter)

10 апреля 2026 года исследователь, известный под ником @JustWantToQ1, обратил внимание на подозрительную активность, связанную с IP-адресом 23[.]94[.]199[.]102. Последующий анализ выявил шокирующую небрежность: на порту 6688 этого сервера, размещённого на хостинге RackNerd в Буффало (США), работало веб-приложение на базе FastAPI с полностью открытой панелью управления и документацией Swagger. Никакой аутентификации, API-ключей или ограничения запросов не требовалось. Любой желающий мог получить полный доступ к внутренней кухне целой фермы ботов, предназначенной для манипуляций на крипторынке. В результате был получен полный дамп операционных данных, включая все учётные записи, шаблоны сообщений и настройки автоматизации.

Согласно данным из документации панели управления, операция началась 19 марта 2026 года. На тот момент в распоряжении злоумышленников было 125 поддельных аккаунтов в X. К моменту обнаружения 17 из них были заблокированы или удалены системой безопасности платформы, что указывает на 13,6% уровень выявления за три недели. Оставшиеся 108 аккаунтов оставались активными и использовали 25 прокси-серверов для ротации IP-адресов, чтобы избежать обнаружения. Каждому аккаунту были установлены лимиты активности: не более 10 лайков, 5 ретвитов и 5 комментариев в день. Наиболее поразительной находкой стала библиотека из 250 заранее заготовленных шаблонов комментариев, предназначенных для создания видимости массового ажиотажа. Эти шаблоны варьировались от примитивных восклицаний вроде "go go go!" до более изощрённых фраз, имитирующих язык криптосообщества, например: "The pump this week is immaculate. Weaponised autism has never, will never be defeated".

Ключевой тактикой, применяемой операторами, является методология, известная в китайских кругах как "ян хао" (yang hao), что дословно можно перевести как "выращивание аккаунтов". Это не разовая атака, а длительный процесс построения фальшивой репутации. Боты автоматически ставят лайки, делают ретвиты и оставляют нейтральные комментарии под постами легитимных и влиятельных фигур криптоиндустрии, таких как CEO Coinbase Брайан Армстронг или издание Cointelegraph. Цель - создать историю активности, которая выглядит органичной. После нескольких недель такой "закалки" аккаунт превращается из очевидного фейка в, казалось бы, реального энтузиаста, чьи последующие восторженные отзывы о конкретном токене в рамках скоординированной кампании выглядят куда убедительнее для рядовых инвесторов.

Анализ инфраструктуры с высокой степенью уверенности указывает на китаеязычных операторов. Наиболее весомым артефактом стал TLS-сертификат на FTP-сервере (порт 21), в полях которого указаны локация Дунгуань (провинция Гуандун) и организация "BT-PANEL". BT-Panel (baota mianban) - это крайне популярная среди китайских системных администраторов панель управления серверами. Этот фактор, дополненный китайскими иероглифами в отображаемых именах ботов (например, "jia mi tou zi fen xi" - "Анализ криптоинвестиций") и самой методикой "ян хао", оставляет мало сомнений в происхождении группы. Для прикрытия операторы создали фиктивную компанию "AetherSec", зарегистрировав домен aethersec[.]one. Её сайт, представляющий собой статичный шаблон WordPress, заявляет о предоставлении "Web3 Layer2 Security Infrastructure", но не предлагает реальных продуктов или услуг, служа лишь тонкой ширмой.

В отличие от многих скрытных групп, эти операторы допустили грубейшую ошибку в операционной безопасности. Прямая привязка почтового поддомена mail[.]lordapi[.]com к IP-адресу управляющего сервера свела на нет преимущества использования Cloudflare для основного домена. Подобные промахи, однако, не умаляют изощрённости самой схемы. Угроза здесь носит двойной характер. Во-первых, это прямой финансовый риск для розничных инвесторов, которые могут стать жертвами классической схемы "накачки и сброса" (pump-and-dump): скоординированная массовая раскрутка токена искусственно завышает его цену, после чего организаторы распродают свои запасы, обрушивая курс и оставляя ничего не подозревающих покупателей с обесценившимися активами. Во-вторых, такие кампании систематически подрывают доверие к криптосообществу и социальным платформам как к источникам достоверной информации, деформируя рыночные механизмы.

Обнаружение этой фермы ботов, ставшее вторым за день случаем раскрытия масштабной злонамеренной активности в X по наводке того же исследователя, подчёркивает, что платформа остаётся ареной для разнообразных и хорошо организованных злоупотреблений. Для специалистов по информационной безопасности этот инцидент служит ещё одним напоминанием о критической важности базовых мер: шифрование, строгая аутентификация и регулярный аудит конфигураций публично доступных сервисов. Для платформ же и регуляторов это сигнал о необходимости постоянного совершенствования систем обнаружения не просто отдельных ботов, а целых сетей, проходящих длительный цикл "социализации", и более жёсткого противодействия финансовым манипуляциям в цифровой среде.

IPv4

• 104.239.42.199
• 107.175.76.143
• 138.226.61.233
• 142.147.229.113
• 154.196.1.24
• 163.5.131.175
• 167.160.91.197
• 172.98.71.22
• 185.72.229.143
• 192.53.141.197
• 192.53.64.162
• 193.160.81.253
• 195.123.240.41
• 198.44.140.78
• 216.10.253.5
• 223.25.80.91
• 23.94.199.102
• 37.19.196.136
• 38.154.227.72
• 45.56.178.190
• 64.137.79.253
• 69.30.72.251
• 69.30.76.223
• 72.1.135.28
• 89.43.33.241
• 9.142.17.57

Domains

• 23-94-199-102-host.colocrossing.com
• aethersec.one
• lordapi.com
• mail.lordapi.com