Triad Nexus: киберпреступники создали глобальную инфраструктуру для афер с легитимными облачными сервисами

Основой мошеннических схем Triad Nexus остаются так называемые "свинорезки" - многоступенчатые аферы с долгим вовлечением жертвы, а также фиктивные финансовые и криптоплатформы. Для их реализации группа создала настоящий индустриальный каталог поддельных сайтов, включающий "пиксель в пиксель" скопированные копии порталов люксовых брендов, ритейлеров, финансовых компаний и даже государственных служб. В активных кампаниях задокументирована имитация таких гигантов, как Tiffany, Cartier, eBay, Western Union и вьетнамской почтовой службы. Эти сайты оснащены платёжными шлюзами, связанными с более чем 25 крупными международными банками, и поддерживают широкий спектр криптовалют от Bitcoin до стейблкоинов USDC.

Ключевой тактикой, позволившей группе достичь такого размаха, стало так называемое "отмывание инфраструктуры". Вместо аренды серверов на сомнительных хостингах Triad Nexus активно использует "мулов для учётных записей" - скомпрометированные или нелегально приобретённые аккаунты в крупнейших облачных провайдерах: Amazon (AS16509), Cloudflare (AS13335), Google (AS396982) и Microsoft (AS8075). Это обеспечивает мошенническим сайтам высокую скорость работы, надёжность и, что критически важно, доверие со стороны даже технически подкованных пользователей, поскольку трафик идёт с IP-адресов, имеющих безупречную репутацию. При этом основная "пуленепробиваемая" инфраструктура группы остаётся закреплённой за AS152194 (CTG Server Limited), однако для предотвращения полного её обрушения сеть сегментирована на множество пулов автономных систем.

В ответ на санкции Министерства финансов США, введённые в мае 2025 года, Triad Nexus предприняла ряд шагов по дальнейшей конспирации. Группа внедрила "блокировку США": при попытке доступа к своим ресурсам с американских IP-адресов пользователь получает сообщение об ошибке "451 Unavailable for Legal Reasons". Одновременно началась активная экспансия на испаноязычные рынки, а также во Вьетнам и Индонезию с использованием локализованных шаблонов. Кроме того, был инициирован переход от скомпрометированного бренда FUNNULL к серии "чистых" компаний-прикрытий, таких как Bole CDN или CDN1[.]ai, которые используют профессиональный дизайн и заведомо ложные заявления о многолетнем опыте работы с глобальными корпорациями для привлечения ничего не подозревающих клиентов.

С технической точки зрения, для противодействия расследованиям группа кардинально модернизировала архитектуру своей CDN. Если ранее для маршрутизации трафика использовалось девять стабильных доменов CNAME, то теперь их число превышает 175, причём они генерируются случайным образом. Это потребовало от аналитиков перехода от традиционного поиска к методу построения цепочек CNAME. Такой подход позволяет раскрыть весь автоматизированный путь, скрывающий конечный пункт назначения. Типичная вредоносная цепочка теперь выглядит так: клиентский домен ведёт на промежуточный CNAME, тот - на следующий, и лишь в конце цепочки находится финальная A-запись с "отмытым" IP-адресом.

Исследователи в своём отчёте приводят наглядные примеры таких цепочек, демонстрирующие масштаб автоматизации. Например, один из клиентских доменов с 2022 года ротировался через 11 различных CNAME, связанных с FUNNULL, включая funnull[.]vip, fn03[.]vip и другие. При этом в новых доменах паттерны вроде "FUNNULL" или "FN" сознательно избегаются, что усложняет их обнаружение. Анализ конкретных CNAME-доменов, таких как kanejwo[.]com или cdn899[.]com, показывает, как группа на месяцы закрепляет за собой IP-адреса от Amazon или Cloudflare, используя их для обслуживания сети фиктивных казино и мошеннических сайтов, нацеленных на азиатскую аудиторию. Некоторые новые CNAME даже напрямую имитируют названия известных CDN-провайдеров, например, dnycdn[.]com, что является отсылкой к сервису Dyn.

Таким образом, Triad Nexus представляет собой качественно новую угрозу, которая эффективно нивелирует одно из базовых правил безопасности - доверие к трафику с известных и репутационных сетей. Группа создала высокоавтоматизированную, устойчивую и географически распределённую инфраструктуру, которая маскируется под легитимный бизнес, используя ресурсы самих же технологических гигантов. Это серьёзный вызов для специалистов по безопасности, вынужденных теперь анализировать не просто отдельные домены или IP-адреса, а сложные, динамически меняющиеся цепочки взаимосвязей, чтобы выявить истинный масштаб мошеннических операций. Борьба с подобными экосистемами требует не только технического анализа, но и тесной координации между правоохранительными органами, провайдерами и компаниями, чьи бренды подвергаются хищническому копированию.

Domains

• *.kanejwo.com
• alicdn9858.com
• attackcdn.com
• cdn1.ai
• cdn5.com
• cdn899.com
• cdnbl.com
• ddge.ru
• dns888.xyz
• dnycdn.com
• fc686.xyz
• fn01.vip
• fn02.vip
• fn03.vip
• funnull.org
• funnull.vip
• funnull301.com
• funnull6.com
• iiauuw.com
• kanejwo.com
• smaooe.com
• tripdsdvjea.com
• vietnampost.vn
• yunray.ai