В начале апреля 2026 года исследователи информационной безопасности наткнулись на необычную панель управления, работающую на IP-адресе 45.88.186.147:1337. Это был интерфейс Node.js-приложения под названием Archangel C2, который использовал стандартный пароль admin и содержал данные всего о трёх подключённых машинах. На первый взгляд - ничем не примечательная C2-инфраструктура на ранней стадии разработки, о которой никто публично не сообщал. Однако дальнейшее расследование показало, что за этой, казалось бы, малозначительной находкой скрывается работающая с ноября 2024 года индустриальная мошенническая схема, построенная на злоупотреблении легитимным программным обеспечением ConnectWise ScreenConnect.
Описание
Панель ArchangelC2 оказалась всего лишь побочным проектом оператора, который уже 17 месяцев ведёт масштабную кампанию удалённого доступа с целью финансового мошенничества. Единственный IP, на котором базировалась панель, ранее уже использовался для размещения ретранслятора ScreenConnect, что позволило связать обе активности с одним злоумышленником. Теперь же ArchangelC2 показывает попытку оператора создать собственный инструмент управления, чтобы снизить зависимость от стороннего софта, которым он злоупотребляет.
Основная мошенническая кампания разворачивается на домене innocreed[.]com. Этот домен ранее принадлежал легитимному складочному бизнесу в Южной Каролине, который закрылся около 2022 года. В ноябре 2024 года домен был перерегистрирован через офшорный сервис Njalla, указавший регистрантом адрес в Сент-Китс и Невисе. Выбор именно этого домена - сознательный шаг: его возраст и история вызывают меньше подозрений у систем репутации URL и почтовых фильтров по сравнению со свежезарегистрированными адресами. С ноября 2024 по май 2025 года на innocreed.com было создано 103 поддомена, каждый из которых выступал в качестве отдельной конечной точки для ретрансляции ScreenConnect. На них выпущено 288 TLS-сертификатов, что подтверждает активное использование. Инфраструктура распределена по трём хостинг-провайдерам в трёх странах: 16 IP-адресов в сети HostPapa (Railnet LLC, США), 5 IP-адресов у FEMO IT Solutions (Великобритания) и один IP у 1337 Services GmbH (Германия) - тот самый, на котором работает и ArchangelC2.
Особую тревогу вызывает тот факт, что на момент публикации отчёта обнаружили два живых фишинговых сайта, размещённых на Cloudflare Pages. Они продолжают возвращать код 200 и, следовательно, доступны потенциальным жертвам. Первый сайт docusign-efiles.pages.dev имитирует электронную подпись DocuSign и содержит 1998 предварительно сгенерированных сессионных URL ScreenConnect. Второй - o-invoices.pages.dev - маскируется под уведомление о просроченном счете-фактуре и содержит 999 таких сессий. Каждый URL уникален и привязан к конкретному идентификатору сессии, что позволяет оператору отслеживать индивидуальные компрометации. Страницы представляют собой статический JavaScript, который при загрузке случайным образом выбирает сессию из пула и перенаправляет жертву на загрузку исполняемого файла ScreenConnect, предварительно настроенного на подключение к ретранслятору instance-w08c5r-relay.screenconnect.com. Таким образом, блокировка одного URL не влияет на остальные 1997.
Все фишинговые URL используют один и тот же экземпляр ScreenConnect Cloud с идентификатором instance-w08c5r. Постоянный открытый ключ RSA, обнаруженный во всех URL, подтверждает, что управление осуществляется с одной учётной записи. Это главный вектор атрибуции и возможного прерывания деятельности: компания ConnectWise, владеющая ScreenConnect, может идентифицировать владельца учётной записи, проверив регистрационные данные, имя, email, способ оплаты, а также получить полную статистику по подключениям жертв. Рекомендуется немедленно направить жалобу в ConnectWise с указанием этого идентификатора.
Мошенник использует несколько параллельных сценариев социальной инженерии. Помимо DocuSign и подложных счетов, применяются лжеуведомления от Social Security Administration (SSA) с темой пособий, фишинговые установщики Adobe Acrobat Reader, а также общие приглашения на сеанс удалённой поддержки. В одном из URL с лже-установщиком Adobe была обнаружена строка "c=BEE%20OFFICE" - название конкретной организации-жертвы. Это даёт основание полагать, что "BEE OFFICE" является целенаправленным объектом атаки.
Сама панель ArchangelC2, хотя и находится в ранней стадии разработки, уже содержит функции захвата экрана в реальном времени (WebSocket с передачей JPEG-кадров в формате base64) и удалённой командной строки. Жизненный цикл загрузчика - трёхстадийный: заражение, затем полное извлечение данных (FullZip), после чего переход в режим живого просмотра. Однако оператор допустил грубые ошибки в конфигурации: отсутствие TLS на порту 1337 (все токены и данные передаются открытым текстом), разрешённый CORS для любого источника, отсутствие ограничения на число попыток входа, а также использование в качестве тестовой жертвы собственного сервера (имя хоста rhythmic-dawn совпадает с CN сертификата RDP). Эти промахи говорят о том, что разработчик пока не создавал C2 для реальных боевых операций. Тем не менее, масштаб основной ScreenConnect-кампании свидетельствует о высокой операционной зрелости: использование легитимного домена с историей, распределённая инфраструктура, перенос фишинга на Cloudflare Pages для затруднения удаления.
Исследователи настоятельно рекомендуют всем специалистам по информационной безопасности обратить внимание на индикаторы компрометации. В первую очередь необходимо блокировать на сетевом уровне подключения к instance-w08c5r-relay.screenconnect.com. Все обнаруженные IP-адреса хостинг-провайдеров, домен innocreed.com и поддомены, а также фишинговые страницы Cloudflare Pages следует внести в чёрные списки. Обнаружение на рабочих станциях исполняемых файлов с именами Docusign_Signature.Client.exe, Invoice_Overdue.Client.exe, SSA-Statement.exe, AdobeAcrobatReader.ClientSetup.exe или support.client.exe должно рассматриваться как признак компрометации. Особое внимание стоит уделить процессам ScreenConnect, запущенным из папки загрузок, временных каталогов или кеша браузера. Данная кампания продолжается уже 17 месяцев, остаётся активной и представляет серьёзную угрозу для организаций и частных лиц.
Индикаторы компрометации
IPv4
- 107.150.0.138
- 107.150.0.160
- 107.150.0.161
- 107.150.0.166
- 107.150.0.168
- 107.150.0.169
- 107.150.0.180
- 107.150.0.183
- 107.150.0.185
- 107.150.0.199
- 107.150.0.207
- 107.150.0.212
- 107.150.0.214
- 107.150.0.223
- 107.150.0.225
- 107.150.0.228
- 45.88.186.142
- 45.88.186.147
- 62.60.226.243
- 62.60.226.248
- 62.60.226.249
- 62.60.226.251
- 62.60.226.253
- 92.118.59.44
IPv4 Port Combinations
- 45.88.186.147:1337
Domains
- docusign-efiles.pages.dev
- docusign-------e-file------signature.pages.dev
- innocreed.com
- instance-w08c5r-relay.screenconnect.com
- link.merakiasa.org
- o-invoices.pages.dev
- typrocess.in
SHA256
- 3a0173d1c1a5106e763abbd751e70b06bb1ae22489ed1876bbdef6d550446ca7
- c5e8a29f42c055a42869ece87fc2f43f1a0492213207f19e91e28bdaf9065c88
