Один IP-адрес объединил C2-сервер FatalRAT и китайскую гемблинг-платформу: новая инфраструктура Silver Fox обнаружена на "пуленепробиваемом" хостинге LARUS

Этот случай интересен тем, что вредоносное семейство FatalRAT, несмотря на использование в экосистеме Silver Fox - той же группировки, что стоит за более известным ValleyRAT, - остаётся заметно менее изученным в публичных отчётах. Обнаружение его C2-сервера на одном IP с гемблинг-сайтом позволяет заполнить этот пробел и пролить свет на методы работы операторов.

Двойная жизнь одного адреса

IP 45.192.219[.]135 находится в Гонконге и принадлежит автономной системе AS138995 (Antbox Networks Limited). Согласно данным WHOIS, это адресное пространство выделено Африканским региональным интернет-регистром (AFRINIC) компании Cloud Innovation Ltd, зарегистрированной на Сейшелах. Техническое управление сетью осуществляется через организацию LARUS-SERVICE-MNT, офис которой расположен в Гонконге. Таким образом, цепочка собственности включает четыре уровня корпоративной обфускации: AFRINIC → сейшельская оболочка → гонконгский диспетчер → местный провайдер.

Впервые активность на этом IP была зафиксирована в июне 2025 года: тогда на нём работал nginx 1.20.1, обслуживающий китайскоязычное гемблинг-приложение на Vue.js. Позднее, в апреле 2026 года, сюда же начал поступать трафик от вредоносного ПО FatalRAT. Сейчас сервер в основном "молчит": сканирование портов показывает лишь 135-й порт (MS RPC Endpoint Mapper), что характерно для сохранения ОС Windows живой для последующего переиспользования.

Технические детали FatalRAT

Вирус FatalRAT распространяется через механизм DLL-подгрузки с использованием уязвимости в популярном китайском методе ввода Sogou (файл ManualNew.dll). Это позволяет вредоносному коду выполняться в контексте доверенного приложения, которым пользуются сотни миллионов китайскоязычных пользователей. Троян упакован протектором VMProtect, а его управляющие домены используют нумерованные поддомены (a1.nbdsnb2.top, a1.yydsnb1.top). Для связи с C2 применяются порты 1080 (собственный протокол FatalRAT) и 443 (HTTPS-прикрытие). Как показало расследование, анализируемый адрес входит в кластер из нескольких C2-серверов, среди которых зафиксирована также установка Winos4.0 - ещё одного представителя семейства Silver Fox.

Гемблинг-операция с многоуровневой защитой

Гемблинг-платформа, работавшая на том же IP, представляет собой Vue.js-приложение (сборка Vite), использующее стек Vuex, Vue Router и Axios. Для сокрытия реальной инфраструктуры операторы применили хитрую схему CDN на основе хэш-ротации: каждый клиент получает уникальный 8-символьный шестнадцатеричный поддомен вида abc12345.sheli588foo32.com, что делает массовую блокировку отдельных URL практически бесполезной - необходимо блокировать весь домен верхнего уровня. Кроме того, за этим слоем находится второй прокси-уровень на серверах провайдеров Netsec Limited, Lanlian International и Cloud Innovation, работающих на нестандартных портах (6666, 8089, 8848, 9527), что указывает на использование системы оркестрации Nacos.

Интересно, что гемблинг-бренд ориентирован сразу на три азиатских рынка: поддомены sz.cn.dvqmpu[.]cn нацелены на Шэньчжэнь (Китай), www.sg.dvqmpu[.]cn - на Сингапур, а cm.dvqmpu[.]cn - на Камбоджу. Все они работают на одном бэкенде.

Утечка данных оператора

Хотя большинство доменов гемблинг-проекта зарегистрированы через Amazon Registrar с услугой скрытия личных данных, один китайский домен dvqmpu.cn, зарегистрированный через Yantai Disipu Tech, не имеет защиты. В публичных данных WHOIS указано имя регистранта - 邓林 (Deng Lin) и адрес электронной почты gndhyi23764t@outlook[.]com. Несмотря на псевдослучайный префикс почтового ящика, имя не выглядит сгенерированным - это может быть реальное лицо или коллективный идентификатор. Такая же ошибка операционной безопасности (OPSEC) ранее наблюдалась и в других расследованиях Silver Fox.

Оценка рисков и выводы

Сосуществование FatalRAT и гемблинг-платформы на одном IP можно интерпретировать тремя способами. Первый, наиболее вероятный, - это одновременное размещение разных клиентов одного "пуленепробиваемого" хостинга, где отсутствует изоляция между арендаторами. Второй сценарий, со средней уверенностью, - что одна и та же группа управляет обоими ресурсами, возможно, используя гемблинг-сайт для сбора учётных данных или финансовой информации, а затем применяя FatalRAT для бокового перемещения в сетях жертв. Третий, наименее подтверждённый, - что сами приложения для азартных игр троянизированы для доставки FatalRAT.

Независимо от сценария, практический вывод для специалистов по защите информационной безопасности очевиден: всю подсеть, принадлежащую Cloud Innovation / LARUS (диапазон 45.192.0[.]0/12), следует рассматривать как потенциально враждебную. Блокировка доступа к этому адресному пространству на уровне межсетевых экранов и систем обнаружения вторжений позволяет снизить риск как от FatalRAT, так и от других угроз, связанных с экосистемой Silver Fox и теневых гемблинг-сетей. Данный случай также подтверждает, что региональная арбитражная практика с IP-адресами AFRINIC, выдаваемая за поддержку африканского бизнеса, на деле служит прикрытием для масштабной криминальной инфраструктуры.

IPv4

• 108.187.41.248
• 108.187.42.200
• 13.210.222.176
• 156.234.9.19
• 156.234.9.20
• 156.234.9.21
• 182.16.14.3
• 182.16.14.4
• 182.16.14.5
• 43.224.225.245
• 43.224.225.246
• 45.192.219.135
• 45.192.219.143

CIDRs

• 45.192.219.0/24

Domains

• 1668855.com
• 1668877.com
• 588688.net
• 588688.org
• 668811.vip
• 886622.vip
• dvqmpu.cn
• myzyhk.com
• qlkj888.com
• sheli588foo32.com
• vip-jisldk-feo-dun.com
• zyxg88.com
• zyxgapp.com