Исследователи Intrinsec выявили масштабную инфраструктурную платформу ShadowSyndicate, используемую ведущими группами вымогателей, включая Cl0p, LockBit 3.0, RansomHub и государственными APT-акторами. Активная с июля 2022 года, группа функционирует как гибридный брокер начального доступа (IAB) и аффилиат Ransomware-as-a-Service (RaaS), обеспечивая операционную основу для атак глобального масштаба.
Описание
Ключевым открытием стало обнаружение унифицированного SSH-отпечатка (b5:4c:ce:68:9e:91:39:e8:24:b6:e5:1a:84:a7:a1:03) на 138 серверах, что позволило проследить переплетение инфраструктуры с высокопрофильными кибероперациями. Этот технический артефакт, впервые задокументированный Group-IB в сентябре 2023 года, стал "цифровым ДНК" для отслеживания устойчивой сети, демонстрирующей тактические параллели с такими группами, как TrickBot, Conti и FIN7, исторически связанными с российскими спецслужбами.
Анализ начался с двух сканирующих IP-адресов (91.238.181.225 и 5.188.86.169), что привело к выявлению значительных перекрытий с инфраструктурой LockBit 3.0 в кампании эксплуатации уязвимости Citrix Bleed (CVE-2023-4966) в октябре 2023 года. Около 40 IP-адресов совпадали с серверами развертывания Cobalt Strike, используемыми аффилиатами для распространения LockBit и ThreeAM.
Эти же узлы содержали "водяные знаки", связывающие их с UAC-0056 (Cadet Blizzard), группой ГРУ, и операциями Cl0p по эксплуатации уязвимостей MOVEit. Дальнейшие перекрестные сопоставления выявили связи с Cicada3301 - предполагаемым ребрендом BlackCat/ALPHV, использующим эксплойты для ScreenConnect (CVE-2024-1708/1709), а также инфраструктурой Black Basta и Bl00dy. Углубленное исследование обнаружило точки соприкосновения с китайскими APT через варианты бэкдора ToneShell и северокорейскими группами, такими как Andariel (Onyx Sleet), применяющими RustDoor и вымогатель Maui.
Фундаментальным элементом устойчивости ShadowSyndicate является сеть "пуленепробиваемых" хостинг-провайдеров (BPH) в Европе, демонстрирующих признаки инфраструктуры разведывательных агентств (IAH). Эти провайдеры, зарегистрированные в офшорных юрисдикциях - Панаме, Сейшелах и Виргинских островах США, но управляемые из России, маскируются под легальные VPS/VPN-сервисы.
Их устойчивость к ликвидации обеспечивается сложной системой автономных систем (ASN), включая AS209588 (Flyservers S.A.), AS209132 (Alviva Holding Limited) и кластер AS-Tamatiya, охватывающий 22 подсети. Критически, часть BPH-провайдеров связана с интересами Кремля, включая олигарха Михаила Слипенчука, что указывает на потенциальную государственную ангажированность. Финансовые потоки отслеживаются через офшорные цепочки, использующие криптовалюты и схемы обналичивания, что осложняет атрибуцию и преследование.
Политическое измерение угрозы проявилось в обнаружении серверов ShadowSyndicate, связанных с операцией Foreign Information Manipulation and Interference (FIMI). В HTTP-заголовках узла 194.34.239.33 (HOSTKEY B.V.) выявлена ссылка на домен hunterlap.top, использовавшийся для утечки данных ноутбука Хантера Байдена. Целью этой кампании, активизировавшейся в декабре 2023 года через платформы вроде 4chan и 8kun, было влияние на президентские выборы США 2024 года путем дискредитации кандидатов. Данная операция отражает гибридную тактику, где криминальные прокси (вымогатели) обеспечивают "правдоподобное отрицание" для государственных операций. Инфраструктура также пересекалась с DecoyDog (C2-туннелирование через DNS) и кампаниями по распространению загрузчиков Amadey и вредоносного ПО Nitol.
Техническая изощренность ShadowSyndicate подтверждается эксплуатацией zero-day уязвимостей, использованием Rust-бэкдоров и адаптацией под много платформ, включая macOS. Группа распространяет инфостелеры Atomic (AMOS) и Poseidon через фишинговые Google Ads и DeepSeek LLM-приманки, демонстрируя эволюцию социальной инженерии. Atomic, в частности, распространялся под видом легитимного ПО (1Password, Bartender 5) через скомпрометированные GitHub-аккаунты, а его код имеет сходство с Rustdoor.
По состоянию на май 2025 года сеть остается активной: серверы сканируют уязвимости и развертывают полезные нагрузки, поддерживая связи с APT России, КНДР и Китая. Эта конвергенция криминальных и государственных акторов напоминает "полевые альянсы" в гибридных конфликтах, где киберинфраструктура становится общим ресурсом. Исследование Intrinsec подчеркивает, что ShadowSyndicate представляет не просто техническую угрозу, а системный риск, стирая границы между киберпреступностью, государственным шпионажем и информационной войной. Мониторинг указанных ASN и IoC остается критически важным для раннего обнаружения атак, учитывая глобальный масштаб операций, затрагивающих финансовый сектор, здравоохранение и правительственные учреждения.
Индикаторы компрометации
IPv4
- 147.78.46.104
- 193.142.30.96
- 200.107.207.13
- 88.214.25.246
Domains
- hunterlap.top
ASN
- 47890 UNMANAGED LTD
- 215540 GLOBAL CONNECTIVITY SOLUTIONS LLP
- 209272 Alviva Holding Limited
- 209132 Alviva Holding Limited
- 59580 Batterflyai Media ltd.
- 273045 DataHome S.A.
- 57043 HOSTKEY B.V.
- 50867 HOSTKEY B.V.
- 49453 Global layer B.V.
- 43350 NForce Entertainment B.V.
AS-SET
- AS-TAMATIYA
- AS-4VENDETA
