Новый кластер угроз: один IP-адрес привёл к обнаружению всей инфраструктуры GRIMBOLT

Эксперты Google в конце февраля сообщили о кампании, проводимой кластером UNC6201, который они связывают с угрозой китайского происхождения. В фокусе отчёта оказалась эксплуатация критической уязвимости нулевого дня CVE-2026-22769 в продукте Dell RecoverPoint for Virtual Machines и развёртывание нового вредоносного ПО на C# под названием GRIMBOLT. Эта кампания, ориентированная на долгосрочный шпионаж и закрепление в системе, продолжается почти два года. В качестве одного из индикаторов Google предоставил IP-адрес 149.248.11[.]71, обозначенный как командный сервер GRIMBOLT. Именно с этого «известно плохого» адреса и началось углублённое расследование.

Стандартный профиль IP-адреса, построенный с помощью платформы Scout, включал несколько ключевых атрибутов. WHOIS-данные показали принадлежность к автономной системе AS20473, управляемой провайдером VPS-услуг Vultr. Сканирование открытых портов выявило доступные службы: 3389 (протокол удалённого рабочего стола, RDP), 5357 (MS HTTP API) и 5985 (Windows Remote Management, WinRM). Пассивные DNS-записи указали на использование домена в формате sslip[.]io. Однако наиболее ценным артефактом оказался самоподписанный сертификат X.509.

При детальном изучении сертификата обнаружилась характерная деталь: и поле «Subject Common Name», и поле «Issuer Common Name» содержали одно и то же значение - "CN=WIN-DO6FVJH67FN". Это имя NetBIOS, которое система Windows часто присваивает автоматически при развёртывании. Подобный шаблонный хостнейм - частый след использования клонированных образов виртуальных машин или автоматизированных скриптов развёртывания. Если злоумышленник, управляющий множеством серверов, не меняет это имя, оно становится уникальным криптографическим отпечатком всей его инфраструктуры.

Используя это значение в качестве запроса в системе Scout, аналитики обнаружили ещё два IP-адреса с абсолютно идентичным сертификатом X.509. Более того, криптографический хэш SHA256 сертификата на всех трёх системах совпадал, как и даты его действия (Not Before: 14 января 2026, Not After: 16 июля 2026). Все адреса также принадлежали тому же провайдеру Vultr (AS20473) и имели открытый порт 3389 для RDP. Единственным заметным отличием было отсутствие записей о домене sslip[.]io для двух новых адресов, что может объясняться пробелами в телеметрии или иным способом доступа злоумышленника к этим серверам, например, прямым подключением по IP.

На основе совокупности этих признаков - идентичного криптографического сертификата, совпадающей автономной системы и коррелирующего профиля открытых портов - с высокой степенью уверенности можно утверждать, что все три IP-адреса принадлежат к одному кластеру инфраструктуры GRIMBOLT. Это указывает на использование злоумышленником клонированных образов виртуальных машин или автоматизированных скриптов на одном хостинг-провайдере. Важно отметить, что обнаружение этих конкретных артефактов сертификата является новым вкладом в разведданные об UNC6201, не отражённым в первоначальном отчёте Google исследование Team Cymru.

Более того, даты генерации сертификатов (январь 2026 года) свидетельствуют о том, что инфраструктура, вероятно, оставалась активной и находилась под контролем противника уже после смены им вредоносного ПО на GRIMBOLT, о которой Google сообщал в сентябре 2025 года. Это подчёркивает долгосрочный и методичный характер операции. Конечно, абсолютное подтверждение внутреннего состояния серверов требует классических методов цифровой криминалистики и реагирования на инциденты, однако внешний сетевой анализ предоставляет мощные и оперативные индикаторы для защиты.

Для специалистов по информационной безопасности данный кейс предлагает чёткий план действий. Во-первых, все выявленные IP-адреса (149.248.11[.]71, 140.82.18[.]134, 66.42.111[.]219), а также уникальный хэш сертификата X.509 должны быть добавлены в системы блокировки и списки для генерации оповещений. Во-вторых, критически важно провести ретроспективный поиск соединений с этой инфраструктурой в исторических логах сетевых экранов, прокси-серверов и систем класса SIEM. В-третьих, организациям, особенно из потенциально интересующих злоумышленников секторов, следует наладить мониторинг любых исходящих или входящих подключений к этим адресам. Подобные методики инфраструктурного пивотинга, основанные на анализе сертификатов, ASN, портов и пассивных DNS, должны стать частью арсенала любой команды CTI для проактивного обнаружения и срыва сложных многоэтапных атак.

IPv4

• 140.82.18.134
• 149.248.11.71
• 66.42.111.219

X509 certificate SHA256 Hash

• 8521f42ce73b1646ccf6d85d876e40662fd0560aeded05ce62b94e5e30233cbe