Обнаружена инфраструктура масштабной фишинговой кампании Formbook: 63 почтовых сервера и общий аккаунт Cloudflare выдали оператора

В ходе исследования задокументированы 63 почтовых сервера, размещённых в диапазонах IP-адресов 144.31.50[.]2-62 и 144.31.107[.]75. Все серверы работают под управлением одинакового стека Mailcow (nginx, Dovecot, MariaDB 10.11.14) и используют единый TLS-сертификат для домена mail.solitaireonline[.]io. Такая однородность конфигурации свидетельствует о централизованном развёртывании инфраструктуры, выполненном одним лицом или группой. IP-адреса были выделены 12 февраля 2026 года хостинг-провайдером SERV.HOST GROUP LTD, зарегистрированным в Лондоне по известному виртуальному адресу, при этом номер автономной системы AS210546 привязан к России.

Помимо основных почтовых служб, на каждом сервере обнаружены дополнительные сервисы. На порту 3000 работает панель мониторинга Grafana, на порту 3306 - СУБД MariaDB, а на портах 6666 и 8000 - два API-сервиса, созданных с помощью современного фреймворка FastAPI, работающего на uvicorn. Первый API на порту 6666 представляет собой автоматизированный генератор почтовых ящиков. Его русскоязычная документация содержит эндпоинт, который "показывает список доменов из конфига". Этот инструмент позволяет оператору в масштабе создавать одноразовые учётные записи электронной почты, пополняя ими арсенал из 63 серверов для рассылки фишинговых писем. Второй API на порту 8000 принимает base64-кодированные изображения капчи и возвращает распознанный текст, выводя при этом идентификаторы рабочих процессов. Очевидно, что этот сервис автоматического решения капчи (CAPTCHA) используется для массовой регистрации учётных записей на сторонних платформах, что необходимо для обхода защитных механизмов при организации спам-атак.

Дополнительно на IP 144.31.50[.]172:8443 работает веб-панель поддержки, предназначенная для управления VPN-сервисом. Страница входа озаглавлена "Login for moderators" на русском языке, а аутентификация операторов производится через Telegram-бота @zapretvpns_bot. Внутренняя структура панели полностью документирована через спецификацию OpenAPI, доступную по адресу /openapi.json. Она включает систему тикетов для обработки запросов клиентов, управление операторами с ролевым доступом, обработку возвратов платежей, шаблоны ответов и прикрепление файлов. Использование nip.io для выпуска TLS-сертификата (panel.144.31.50.172[.]nip.io) позволяет оператору не регистрировать отдельный домен для этой внутренней системы. Такое соседство спам-инфраструктуры и панели управления VPN-сервисом может означать либо диверсификацию доходов, либо использование VPN как легального прикрытия для вредоносной активности.

Наиболее весомым доказательством единства управления стала общая учётная запись Cloudflare. Оба ключевых домена - solitaireonline.io (используется для почтового сертификата) и vextgeas.com (известный как командный центр Formbook) - имеют идентичную пару серверов имён Cloudflare: mariah и ram. Поскольку платформа Cloudflare назначает пары серверов имён на аккаунт, совпадение напрямую указывает на то, что эти домены управляются из одного аккаунта. Именно этот отчёт зафиксировал данную связь, позволяющую проследить всю цепочку доставки вредоносного ПО от спам-серверов до командного центра.

Кроме того, исследователи выявили ряд дополнительных доменов, вероятно связанных с этой же инфраструктурой. Домен xg66s.sbs активен как шлюз XLoader: на стандартных путях (/frag, /fgds, /j2c3) он возвращает зашифрованные заголовки X-Trace и, что примечательно, работает как прокси-сервер tinyproxy 1.11.0 на порту 8888, предположительно используемый самим оператором. Домены bodyritualz.com (хостинг в Нидерландах), maxbotfinance.ru (зарегистрирован через REG.RU на российском хостинге Timeweb) и forsacecobol.online (зарегистрирован через Namecheap) также включены в периметр оператора. Домен solitaireonline.io был зарегистрирован ещё в ноябре 2023 года через GoDaddy, а недавнее выделение IP-адресов в феврале 2026 года свидетельствует о плановом наращивании мощностей.

Спам-кампания Formbook/XLoader, нацеленная на итальянских пользователей, активна как минимум с 7 апреля 2026 года и использует одинаковые загрузчики с технологией sideloading через ALTERNATE.dll. Ранее сообщество подробно описало доставку и анализ полезной нагрузки. Теперь же, благодаря картографированию инфраструктуры, подтверждается, что один и тот же оператор контролирует всю цепочку: от рассылки фишинговых писем с 63 почтовых серверов до управления вредоносными программами через командные серверы. Это открытие подчёркивает, насколько важным является комплексный мониторинг не только самих вредоносных образцов, но и серверной инфраструктуры, на которой держится вся атака. Для защиты от подобных угроз специалистам по информационной безопасности необходимо уделять внимание анализу DNS-записей, обнаружению однотипных конфигураций почтовых серверов и отслеживанию IP-диапазонов, используемых для массовых рассылок.

IPv4

• 144.31.107.75
• 144.31.50.10
• 144.31.50.11
• 144.31.50.12
• 144.31.50.13
• 144.31.50.14
• 144.31.50.15
• 144.31.50.16
• 144.31.50.17
• 144.31.50.172
• 144.31.50.18
• 144.31.50.19
• 144.31.50.2
• 144.31.50.20
• 144.31.50.21
• 144.31.50.23
• 144.31.50.24
• 144.31.50.25
• 144.31.50.26
• 144.31.50.27
• 144.31.50.28
• 144.31.50.29
• 144.31.50.3
• 144.31.50.30
• 144.31.50.31
• 144.31.50.32
• 144.31.50.33
• 144.31.50.34
• 144.31.50.35
• 144.31.50.36
• 144.31.50.37
• 144.31.50.38
• 144.31.50.39
• 144.31.50.4
• 144.31.50.40
• 144.31.50.41
• 144.31.50.42
• 144.31.50.43
• 144.31.50.44
• 144.31.50.45
• 144.31.50.46
• 144.31.50.47
• 144.31.50.48
• 144.31.50.49
• 144.31.50.5
• 144.31.50.50
• 144.31.50.51
• 144.31.50.52
• 144.31.50.53
• 144.31.50.54
• 144.31.50.55
• 144.31.50.56
• 144.31.50.57
• 144.31.50.58
• 144.31.50.59
• 144.31.50.6
• 144.31.50.60
• 144.31.50.61
• 144.31.50.62
• 144.31.50.7
• 144.31.50.8
• 144.31.50.9

Domains

• bodyritualz.com
• forsacecobol.online
• maxbotfinance.ru
• panel.144.31.50.172.nip.io
• solitaireonline.io
• vextgeas.com
• xg66s.sbs