Общие ключи SSH раскрывают скоординированную фишинговую кампанию, направленную на рыбный и телекоммуникационный секторы Кувейта

Кампания, начатая в начале 2025 года, продолжается по сей день и включает использование более 100 доменов для сбора учетных данных через клонированные порталы. Несмотря на разнообразие доменов, базовые серверы обладают общими техническими особенностями, что позволяет идентифицировать связанные активы и отслеживать развитие вредоносной инфраструктуры.

Изучение инфраструктуры выявило, что фишинговые операции сосредоточены вокруг трех основных серверов в Кувейте, где было обнаружено более 100 доменов, выдававших себя за организации из различных секторов. Большинство доменов находилось на определенных IP-адресах и часто размещались на одном сервере для повышения эффективности операции.

Исследователи отметили совпадения, такие как общие ключи аутентификации SSH и использование одной ASN, что позволяет определять связанные серверы и домены в рамках кампании. Было выявлено использование поддельных доменов, имитирующих известные компании в рыболовной и страховой сферах, а также страниц, симулирующих внешний вид интернет-магазинов.

Фишеры также ориентировались на клиентов Zain, включая фишинговые страницы, подделывающие данный оператор связи в Кувейте. Обнаруженные связанные серверы и домены формируют централизованную оперативную группу, указывающую на организованную деятельность в областях, расположенных в регионе Персидского залива.

IPv4

• 109.120.178.145
• 138.124.58.18
• 138.124.78.35
• 138.124.92.70
• 150.241.93.231
• 46.226.167.145
• 77.221.152.224
• 77.221.152.232
• 77.221.153.225
• 78.153.136.29
• 89.208.113.172
• 89.208.113.34
• 89.208.97.251
• 91.108.240.137

Domains

• almotahida1.com
• almotheda.com
• alwataniaa8.com
• alwatanniya.com
• alwatanya2.com
• al-watanyea.com
• al-watanyia.com
• alwatenia4.com
• alwatnnia.com
• al-watnya.com
• alwattanya.com
• alwattnya.com
• alwtaneya1.com
• alwtania2.com
• awatanaia.com
• dallmonfish.com
• dalmon-bh.com
• dalmon-fishs.com
• dalmonfishy.com
• delmona5.com
• delmone11.com
• delmone9.com
• delmoon5.com
• delmoon9.com
• dl5.xvipx.top
• elwataniaa8.com
• el-watnneya.com
• elwattanuia.com
• ilwatanea.com
• megamail.pw
• motaheda01.com
• motahida2.com
• motahidda2.com
• mothada.pro
• mothedaa.live
• syarati.pro
• tamcar.pro
• tameeeny.com
• tamienz.pro
• watania01.com
• wataniaa10.com
• wataniaa9.com
• wataniax.pro
• watanuia.com
• watanuia01.com
• watanuya1.com
• watanya2.com
• watanyaa10.com
• watanyafish.com
• watenya.com
• watnnia.com
• wattanuea.com
• wtanaya.com
• zain-kw.pro

SSH key fingerprints

• 000e6797a0d6571bf2b4e77f86b1e68c61d23f0369b6a5e96682a9d84b4cbef9
• dbe1065a0caaa2d1d89001b505ac1a00c5aee6202225b9897580c3c148ea2537

ASN

• 210644