Обнаружена автоматизированная киберпреступная инфраструктура: китайские хакеры нацелились на Web3 и финтех

Основой инфраструктуры служит бэкенд под кодовым названием paperclip и workflow-ориентированная система OpenClaw. Эти компоненты позволяют операторам распределять задачи по заранее заданным сценариям. Атака начинается с масштабной разведки в интернете. Злоумышленники используют два мощных поисковых движка - FOFA и 360Quake. Первый помогает находить ценные цели, такие как Web3-платформы, финтех-компании и вендоры средств защиты. Второй ориентирован на техническое распознавание уязвимых сервисов. Примечательно, что для обхода ограничений API движка FOFA хакеры создали 136 автоматически сгенерированных учётных записей с адресами вида fofa<random>@deltajohnsons[.]com. Это обеспечило непрерывность сканирования.

После обнаружения цели в ход идут эксплойты для известных уязвимостей. В арсенале - React2Shell (CVE-2025-55182 и CVE-2025-66478) и Log4Shell (CVE-2021-44228). Специалисты SOCRadar обнаружили в инфраструктуре несколько специально написанных скриптов на Python - 2.py, 3.py, 4.py и 11.py. Эти скрипты автоматизируют взлом, обходят межсетевые экраны уровня веб-приложений (WAF) и запускают команды параллельно на сотнях хостов. Их цель - не просто проверить наличие уязвимости, а добиться удалённого выполнения кода.

Как только взломщик получает контроль над сервером, он немедленно приступает к сбору данных. Скрипты сбрасывают содержимое переменных окружения, где часто хранятся ключи доступа к искусственному интеллекту, токены платёжного сервиса Stripe, учётные данные баз данных и многое другое. Вся эта информация не сваливается в сырые логи, а парсится и сохраняется централизованно, что указывает на нацеленность именно на практически применимые секреты.

Для сохранения доступа к взломанным системам хакеры применяют несколько механизмов. Они разворачивают туннели через Cloudflare, используют P2P-клиенты и устанавливают бэкдоры с именами d2 и pl. Такой подход снижает риск потери связи, если один канал будет заблокирован. Особый интерес представляет бесфайловая цепочка внедрения командного агента. Например, скрипт 2.py выполняет команду curl, которая загружает код с подконтрольного злоумышленникам веб-сервера и передаёт его на выполнение Node.js - всё это происходит без записи файла на диск, что усложняет обнаружение классическими антивирусами.

Над всем этим стоит слой оркестрации. Панель управления, судя по обнаруженным данным, отображает последовательные этапы: планирование, проверку, отправку задания, разведку, сканирование, валидацию и отчёт. Это подтверждает, что процесс не полностью автоматический: за ним следят операторы, которые могут корректировать действия в реальном времени.

Монетизация краденого тщательно продумана. Хакеры обогащают добытые данные с помощью API блокчейн-аналитики (OKLink, OKX, Tatum) и проверяют ключи Stripe через прямые вызовы API. Это позволяет быстро определить, какие криптокошелёчные адреса содержат средства, а какие платёжные аккаунты Stripe имеют положительный баланс. В базе данных злоумышленников обнаружено отслеживание примерно 100 тысяч криптоадресов и 21 999 уникальных адресов кошельков, по которым уже собрана информация.

Масштаб операции впечатляет. Согласно данным из бэкенда, зафиксировано около 45 тысяч попыток эксплуатации уязвимостей. На 346 хостах подтверждена уязвимость React2Shell. При этом количество установленных бэкдоров d2 достигло 3981, а бэкдоров pl - 1393. Для сравнения, внедрено всего 900 веб-шеллов. Такое соотношение говорит о предпочтении лёгких, скриптовых механизмов закрепления вместо традиционных веб-оболочек. Все результаты эксплуатации логируются в специальных таблицах, что позволяет операторам видеть успешные и неудачные попытки, а также проверять выполнение команд.

Выводы экспертов тревожны. Подобная инфраструктура означает переход киберпреступности к индустриальным методам: автоматизация сочетается с человеческим контролем, что позволяет масштабировать атаки без потери качества. При этом основная цель - не просто проникновение, а немедленная монетизация через кражу платёжных и криптовалютных ключей. Компаниям, особенно работающим в секторах Web3 и онлайн-платежей, стоит обратить внимание на защиту переменных окружения, внедрение многофакторной аутентификации для ключей API и мониторинг подозрительных входящих соединений через туннели. Борьба с такими угрозами требует не только обнаружения момента взлома, но и отслеживания поведения после эксплуатации - аномальных запросов к блокчейн-сервисам или попыток валидации платёжных ключей.

IPv4

• 124.220.164.14

Domains

• anson-aeromarine-ocularly.ngrok-free.dev

kf.unpkg.top

• soft-silence-d978.13544681192.workers.dev

URLs

• http://124.220.164.14
• http://mainnet-seed-0004.nkn.org:30003
• http://mainnet-seed-0012.nkn.org:30003
• http://mainnet-seed-0020.nkn.org:30003
• https://d6.tfdl.net/public/2026-04-07/3d0d43d6-3b6d-44e6-bbff-2404f83a66b6/hybrid
• https://d6.tfdl.net/public/2026-04-07/5777281b-9243-4169-8faa-af60d7904c01/cf-client
• https://d6.tfdl.net/public/2026-04-07/a946d7de-2525-4189-bf4f-c3f4eec7a8ff/client.mjs
• https://soft-silence-d978.13544681192.workers.dev/

Emails

• 13544681192@163.com
• d1rpt1xf@wegame.com
• fofa*@deltajohnsons.com