Раскрыта межъязыковая PhaaS-платформа TMoscow Bot: русскоязычный арсенал, китайские операторы и японские финансовые мишени

Аналитики выявили как минимум девять брендов, чьи системы имитируются злоумышленниками: American Express Japan, SMBC (Sumitomo Mitsui Card), Vpass, JCB, SBI Securities, Rakuten Card, Saison, Epos и PayEasy. Единый фишинговый набор использует общий шаблон со сменными графическими ресурсами (логотипы, баннеры) и характерным заголовком страницы "マイアカウントにログイン" ("Войти в мой аккаунт"). Согласно данным сервиса URLScan, за 13 месяцев зафиксировано почти две тысячи захватов этого заголовка на десятках хостинг-провайдеров в разных странах.

Ключевой элемент - Telegram Mini App под названием TMoscow Bot, расположенный на домене tmoscsupbot[.]com (IP-адрес 185.146.233[.]207, провайдер FlokiNET, Румыния). Панель управления реализована целиком на русском языке и представляет собой полноценный коммерческий продукт: ролевое управление доступом (главный администратор, администратор, трейдер, сотрудник), пятиуровневая система оценки доверия операторов (от "очень доверенный" до "скам"), тикетная система для запросов на вредоносное программное обеспечение, статистические панели с фильтрами по периодам, встроенный чат и двухфакторная аутентификация. Через этот интерфейс партнёры получают фишинговые наборы (до десяти файлов за одну загрузку) и общаются с администрацией.

Одной из заметных операционных ошибок стала открытая доступность служебных маршрутов. Административная часть (/admin/) и эндпоинт состояния (/health/) не требуют аутентификации. С их помощью можно получить полный код фронтенда (HTML, JavaScript, CSS), а также данные о бэкенде: Node.js в связке с ORM Prisma, время работы сервера и режим хранения. Эта же уязвимость позволила исследователям детально изучить архитектуру платформы.

Анализ WHOIS-записей показал ещё одну критическую оплошность. Хэш регистранта 1f8f4166599d23ee, использованный при регистрации tmoscsupbot.com, совпадает с хэшами на доменах americanexprecs-jp[.]club (апрель 2025 года) и americanexpreccs-jp.vip (май 2025 года). Это прямое доказательство того, что владелец платформы лично участвовал в развёртывании первых фишинговых страниц. Соответствующий отчёт исследовательской группы GHOST указывает, что такая привязка превращает разрозненные индикаторы компрометации в единую операторскую кластер.

Дополнительная утечка произошла через домен americamexpress-co-jp.com, зарегистрированный в японском реестре JPRS. Требование указывать контактные данные резидента Японии привело к тому, что в открытом доступе оказался адрес электронной почты b1722fb0e1313e46s@yahoo.co[.]jp и локация - район Сэтагая, Токио. Хотя сам почтовый ящик явно сгенерирован случайным образом, а регистрация могла быть проведена либо через подставное лицо, либо с использованием скомпрометированных документов, сам факт утечки даёт геопривязку для дальнейшего расследования.

Цепочка поставок внутри кампании выглядит следующим образом. Интерфейс TMoscow Bot полностью на русском языке, а инфраструктура (румынский хостинг FlokiNET, регистратор Tucows с сейшельской конфиденциальностью) характерна для русскоязычного киберпреступного сообщества. Однако операторы, арендующие платформу, демонстрируют признаки китайской атрибуции. Домен americanexprecs-jp.club зарегистрирован через китайского регистратора reg.cn на имя "jia wen shu" из города Датун (Shanxi). Используются доменные зоны .icu через сингапурско-китайского регистратора Gname.com, а исторический хостинг включал китайские облачные серверы (Tencent Cloud, CTG Server Singapore). При этом жертвы - японские пользователи финансовых сервисов.

Инфраструктурная карта кампании включает пять кластеров. Основной "фишинговый завод" расположен на IP-адресе 193.218.200[.]212 (Spartan Host, США) - на этом сервере подтверждено более 35 вредоносных доменов, имитирующих SMBC, JCB, Rakuten и другие бренды. Панель TMoscow Bot работает на FlokiNET в Бухаресте. Отдельные фишинговые страницы хостятся на японском облаке GMO Internet, сингапурском CTG Server и Google Cloud. В исторической перспективе также отмечены Tencent Cloud и Oracle Cloud Japan.

Временная шкала насчитывает 13 месяцев непрерывной активности - с апреля 2025 года до момента публикации исследования в апреле 2026 года. За это время злоумышленники не уничтожали и не перестраивали инфраструктуру, а последовательно наращивали её, что говорит о стабильном бизнес-процессе. Разработка платформы TMoscow Bot продолжалась и в апреле 2026 года - дата последней сборки панели, по данным исследователей, приходится на 8 апреля, за день до публикации отчёта.

Такая межъязыковая модель - русское оружие, китайские операторы, японские жертвы - разрушает привычные нарративы о киберпреступности, привязанные к одной стране или языковой группе. Для специалистов по информационной безопасности это означает, что атрибуцию по языку интерфейса или хостинг-провайдеру нельзя рассматривать изолированно. Необходимо учитывать всю цепочку: разработчик, арендатор, конечная цель. Инцидент также демонстрирует, что даже в криминальной среде формируются рынки с репутационной системой и технической поддержкой, напоминающие легальные SaaS-продукты - и уязвимости вроде незакрытых административных эндпоинтов встречаются у злоумышленников не реже, чем у обычных компаний.

IPv4

• 160.251.185.96
• 185.146.233.207
• 193.218.200.212

Domains

• account-smbccard-jp.com
• americamexpress-co-jp.com
• americanexpress-co-jp.com
• americanexpress-japan.com
• americanexpress-login.com
• americanexpress-site.com
• amex-support-jp.lat
• amex-support-jp.lol
• amex-support-jp.online
• amex-support-jp.pics
• info-payeasy.com
• jcbcard-co-jp.com
• jcb-card-jp.com
• macard-smbc-co-jp.com
• mycard-smbc-co-jp.com
• mycard-smbc-jp.com
• mycardvpass-co-jp.com
• mycard-vpss-co.com
• myjcb-card-jp.com
• mysmbc-co-jp.com
• rakutencard-co.com
• saison-netanswer.jp
• sbisec-ne-jp.com
• secure-amex-update.site
• smadmin-co-jp.com
• smbcard-co-vpass.com
• smbccard-vpass-jp.com
• smbc-vpass-info.com
• smbczxx.com
• takuten-co-jp.com
• tmoscsupbot.com
• vpass-info-jp.com
• vpass-smbcard-jp.com
• vpass-smbccard.com