Раскрыта новая инфраструктура в ходе расследования атаки на цепочку поставок EmEditor

Команда киберразведки (CTI, Cyber Threat Intelligence) Stormshield провела собственный анализ предоставленных индикаторов компрометации (IoC). В результате было обнаружено достаточно материала, чтобы существенно дополнить первоначальный отчёт. В частности, мониторинг показал изменения в инфраструктуре злоумышленников в пятницу, 6 февраля 2026 года.

Были отслежены домены, маскирующиеся под легитимные ресурсы EmEditor, такие как emeditorjp[.]com, emeditorgb[.]com и emeditorde[.]com. Их IP-адреса частично изменились. Например, для домена emeditorjp[.]com адрес сменился с 5[.]101.82.159 на 5[.]101.82.118. Анализ пассивного DNS позволил выявить дополнительные связанные домены: emeditorjapan[.]com, emedorg[.]com, emeditorltd[.]com и emedjp[.]com.

Все эти домены демонстрируют одинаковую модель поведения. Их имена начинаются с «emed», что имитирует принадлежность к EmEditor. Кроме того, они используют домен верхнего уровня .com и были зарегистрированы через NameSilo LLC 22 декабря 2025 года. Записи NS всех доменов указывают на серверы ns1.dnsowl[.]com, ns2.dnsowl[.]com или ns3.dnsowl[.]com.

Используя платформу Validin, исследователи обнаружили особенность в ответе сервера emeditorde[.]com. Некоторые HTTP-заголовки в его ответе, такие как Strict-Transport-Security и Content-Security-Policy, были продублированы. Хеш-сумма этого набора заголовков, b97d5024adab17ceffe134f9ea877bf5, также была найдена у других подозрительных доменов. К ним относятся n8n.kraski-event[.]ru и keyactivate[.]cc, которые на момент расследования разрешались в один IP-адрес: 64[.]188.83.146.

Расширение поиска на VirusTotal с использованием шаблона пути URL, характерного для данной кампании, привело к обнаружению нового домена. Речь идёт о nc7d8p7u8j3n4hgm[.]com, зарегистрированном 19 октября 2025 года через NameCheap. Этот домен использовал URL-путь /gate/start/, аналогичный описанным в отчёте Trend Micro.

Анализ показал, что данный домен доставляет зловредный (malicious) скрипт PowerShell. Скрипт использует те же схемы обфускации, что и в исходном отчёте. Его конечная полезная нагрузка (payload) загружается по шаблону URL, включающему уникальный идентификатор машины жертвы. Хеш SHA-256 этого скрипта - ceb31976b8040cad5d5db3856466d198d3c0ea5bc904ae05c509b3b6de72e1c8.

Исследователи Stormshield с высокой степенью уверенности оценивают, что домен nc7d8p7u8j3n4hgm[.]com является частью ранней стадии кампании против EmEditor. Он разделяет внутренние механизмы работы с ранее известными образцами. Обнаружение этой дополнительной инфраструктуры подчёркивает масштаб и подготовку злоумышленников. Специалисты рекомендуют компаниям добавить все выявленные домены и IP-адреса в чёрные списки своих систем безопасности для блокировки потенциальных атак.

IPv4

• 185.82.218.112
• 46.28.70.245
• 5.101.82.118
• 5.101.82.159
• 64.188.83.146

Domains

• emeditorde.com
• emeditorgb.com
• emeditorjapan.com
• emeditorjp.com
• emeditorltd.com
• emedjp.com
• emedorg.com
• keyactivate.cc
• n8n.kraski-event.ru
• nc7d8p7u8j3n4hgm.com

SHA256

• ceb31976b8040cad5d5db3856466d198d3c0ea5bc904ae05c509b3b6de72e1c8