Telegram-контакт на панели управления: исследователи раскрыли инфраструктуру оператора GeorgeGinx и Striker C2

Два сервера - один оператор

Оба сервера расположены в одном диапазоне IP-адресов в дата-центре Evoxt в Нью-Йорке. Первый узел с адресом 23.27.141.44 обслуживал панель Striker C2, замаскированную под страницу "Trading Bots Management" (управление торговыми ботами). Второй сервер 23.27.141.46 содержал панель, названную "GeorgeGinx Panel", написанную на Flask (популярном веб-фреймворке для Python). Оба узла работают под управлением Ubuntu 24.04 LTS и используют одну и ту же версию OpenSSH 9.6p1 - убедительное свидетельство того, что ими управляет один человек.

Панель Striker C2 на порту 3004 представляла собой скомпилированное одностраничное приложение на фреймворке Svelte (современный JavaScript-фреймворк для создания пользовательских интерфейсов). Анализ минифицированного JavaScript-бандла размером 160 килобайт позволил безошибочно идентифицировать платформу: код содержал прямые обращения к хранилищу браузера с ключом "striker", а полный каталог событий Socket.IO (библиотека для двустороннего обмена данными в реальном времени) совпадал с документированным протоколом команд Striker C2. Среди поддерживаемых возможностей - управление агентами с интерактивной консолью, файловые операции в обоих направлениях, прокси-редиректоры (промежуточные узлы для сокрытия источника команд), многопользовательский режим с персональными ключами аутентификации и командный чат.

Доменная история и "отмывка" сертификата

Сервер Striker C2 использовал SSL-сертификат (протокол шифрования для безопасного соединения) на домен calipology.com, выданный удостоверяющим центром Sectigo в июне 2025 года. Сама страница по HTTPS перенаправляла посетителя на calipology.co[.]uk - легитимный сайт WordPress британской мастерской по восстановлению тормозных суппортов. Как обнаружили исследователи, домен calipology.com был зарегистрирован в GoDaddy в тот же день, когда был выпущен сертификат, и указывал на IP-адрес вредоносного сервера, хотя DNS (система доменных имён) был скрыт за облачным сервисом Cloudflare. Это классическая схема "отмывки" сертификата: злоумышленник покупает дешёвый домен, получает легитимный сертификат и развёртывает его на своём C2, чтобы системы защиты видели вполне законный TLS-узел (защищённое соединение). Домен calipology.co.uk существует с 2019 года, содержит форум на платформе Invision Power Board, которым управляет пользователь по имени Дэниел. Исследователи не берутся утверждать, является ли Дэниел владельцем вредоносной инфраструктуры или же злоумышленник просто использует его бизнес как прикрытие, но рекомендуют связаться с администрацией сайта для уведомления.

Подарок для атрибуции

Самая серьёзная операционная ошибка ожидала исследователей на странице входа панели GeorgeGinx. В HTML-коде неаутентифицированной страницы открытым текстом был указан Telegram-контакт @georgeknowsit с отображаемым именем "Geroge knows". Орфографическая ошибка в слове "George" принадлежит самому оператору и может быть использована для поиска этого же псевдонима на других платформах. Исследователи не обнаружили упоминаний GeorgeGinx или georgeknowsit в открытых источниках и базах данных угроз, что делает эту находку первым публичным документированием данного оператора.

Промежуточный уровень

Анализ возможностей оператора показывает его как специалиста среднего уровня. С одной стороны, он способен одновременно управлять двумя различными фреймворками C2, написал собственную панель на Flask с бэкендом на Go на порту 1337 (язык программирования, известный производительностью), развернул собственный DNS-сервер (возможно, для DNS-туннелирования - метода скрытой передачи данных) и получил легитимный сертификат Sectigo. С другой стороны, он оставил свой Telegram-контакт на странице входа, разместил оба сервера в одном диапазоне IP-адресов, не скрыл C2 за прокси-сервером или CDN (сеть доставки контента) и оставил стандартные приветственные страницы Apache и nginx на веб-портах, что облегчает идентификацию.

Наличие Telegram-контакта на панели управления позволяет предположить, что оператор может предлагать свои услуги или инструменты другим злоумышленникам, выступая в роли брокера доступа или продавца вредоносного инструментария, а не просто конечного пользователя готовых решений.

Соседи по диапазону

В ходе исследования специалисты отметили соседний IP-адрес 23.27.141.38, где обнаружена панель 3X-UI - популярный интерфейс управления для Xray-core (инструмент для создания прокси-серверов). Наличие панели для обхода блокировок всего в двух адресах от GeorgeGinx вызывает вопросы, хотя исследователи подчёркивают, что это может быть просто совпадением - оба сервера принадлежат одному хостинг-провайдеру Evoxt.

Практические выводы

Для специалистов по защите инфраструктуры эта находка даёт конкретные индикаторы компрометации: IP-адреса 23.27.141.44 и 23.27.141.46, домен calipology.com, а также характерные сигнатуры сетевого трафика - соединения WebSocket на нестандартные порты 3003 и 3004, которые являются признаком Striker C2. Мониторинг DNS-запросов к calipology[.]com и TLS-соединений с сертификатом на этот домен также может выявить заражённые узлы в корпоративной сети. Результаты этого исследования уже переданы в открытые базы данных угроз и помогут другим командам безопасности своевременно обнаружить активность данного оператора.

IPv4

• 23.27.141.44
• 23.27.141.46

IPv4 Port Combinations

• 23.27.141.44:3003
• 23.27.141.44:3004
• 23.27.141.46:1337
• 23.27.141.46:53
• 23.27.141.46:8080

Domains

• calipology.com