Кампания целевого фишинга, атрибутированная продвинутой угрозой Sidewinder и нацеленная на военные и государственные структуры Южной Азии, продолжает развиваться. Исследователи обнаружили активный набор для сбора учетных данных, имитирующий веб-почту Zimbra и развернутый на инфраструктуре Cloudflare Workers. Критическая ошибка в обработке запросов серверной частью приложения не только подтвердила связь с ранее известными операциями, но и позволила установить внутреннее имя проекта и имя пользователя в системе разработчика. Уязвимость была обнаружена после того, как исследователь под ником @volrant136 обратил внимание на подозрительный URL.
Описание
Инцидент демонстрирует, как даже технически продвинутые группы, использующие качественно сделанные фишинговые страницы, могут допускать грубые операционные промахи (OPSEC). В данном случае злоумышленники создали почти безупречный клон интерфейса входа в Zimbra Web Client для домена ВМС Бангладеш ("mail.navy.mil.bd"). Страница загружала настоящие таблицы стилей с целевого сервера через обратный прокси, а в качестве приманки использовался размытый PDF-документ, имитирующий встроенный просмотр браузера Chrome. Однако при отправке POST-запроса без ожидаемых параметров сервер возвращал ошибку 500 с полной трассировкой стека, которая и стала ключевой уликой.
В отчёте исследовательской группы говорится, что в стек-трейсе содержался путь к домашней директории Linux ("/home/moincox/Z2FA_LTS/app.js"), раскрывающий имя пользователя разработчика или оператора ("moincox") и внутреннее название фишингового набора - "Z2FA_LTS". Эта аббревиатура, вероятно, расшифровывается как "Zimbra Two-Factor Authentication Long-Term Support" ("Zimbra двухфакторная аутентификация, долгосрочная поддержка"), что указывает на наличие нескольких версий инструмента и его ориентацию на обход двухфакторной аутентификации. Сам набор представляет собой серверное приложение на Express.js, развернутое на Cloudflare Workers, и состоит из нескольких этапов: страницы с размытым PDF, экрана загрузки, точной копии формы входа и панели администратора, которая является лишь страшилкой для исследователей.
Приманкой в этой кампании послужил подлинный украденный дипломатический документ Пакистана. Речь идет о внутренней переписке постоянного представительства Пакистана в Стамбуле, адресованной секретариату Национальной ассамблеи. Документ, датированный февралем 2026 года, содержит детали поездки, включая имена девяти высокопоставленных пакистанских чиновников и информацию о бронировании отелей. Использование реальных украденных документов для социальной инженерии является хорошо задокументированной тактикой группы Sidewinder. Это указывает на то, что сама пакистанская дипломатическая служба, вероятно, стала жертвой взлома, а полученные данные теперь используются для атак на третьи стороны, в данном случае - на военно-морские силы Бангладеш.
Анализ инфраструктуры с помощью URLScan позволил выявить как минимум семь различных экземпляров Workers, развернутых за последние три месяца под одной учетной записью Cloudflare ("malik-jaani786"). Целями, помимо ВМС Бангладеш, были пользователи iCloud и, что особенно показательно, Министерство иностранных дел Пакистана (MoFA). Имя одного из Workers - "preview-mail-from-mofa-gov-pk-user-com-center" - прямо ссылается на пакистанское МИД, что вместе с украденным дипломатическим документом подтверждает его причастность к кампании как источника данных. Более ранняя инфраструктура, связанная с этой же операцией, использовала учетную запись "girlfriendparty42.workers.dev", что указывает на длительную и непрерывную деятельность.
Эксперты отмечают, что данная кампания является частью широкомасштабной операции, охватывающей как минимум 20 узлов инфраструктуры на различных платформах (PaaS). Основной фокус злоумышленников остается на государственном и оборонном секторах Южной Азии, однако наличие Worker, нацеленного на iCloud, может указывать либо на расширение тактики, либо на попытку компрометации личных аккаунтов государственных служащих. Несмотря на техническую изощренность фишинговых страниц, фундаментальная ошибка - отсутствие базовой обработки исключений в коде - привела к серьезной утечке операционной информации. Это служит напоминанием, что даже у продвинутых противников существуют уязвимые места, а тщательный мониторинг ошибок серверов может предоставить бесценные данные для атрибуции и анализа.
Индикаторы компрометации
IPv4
- 104.21.4.43
- 172.67.131.165
Domains
- bold-bonus-1d3b.malik-jaani786.workers.dev
- download-secure-app-from-icloud.malik-jaani786.workers.dev
- hit-view-message-preview.malik-jaani786.workers.dev
- mail.navy.mil.bd
- malik-jaani786.workers.dev
- modp-view-full-message.malik-jaani786.workers.dev
- preview-mail-from-mofa-gov-pk-user-com-center.malik-jaani786.workers.dev
- twilight-violet-55a5.malik-jaani786.workers.dev
MD5
- e41adf9fdd1394e1d6ee74efd05a7c6a
SHA256
- aa82f6397face56f9c8500e81b3ce487b661b99ee1865f1a5ec6f6da9b261cf1
Sigma
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 | title: Sidewinder Z2FA_LTS Phishing Kit Access id: b8c9d0e1-2f3a-4b4c-d5e6-sidewinder-z2fa status: experimental description: Detects access to Sidewinder Z2FA_LTS phishing infrastructure on Cloudflare Workers author: Breakglass Intelligence date: 2026-04-20 references: - https://intel.breakglass.tech/blog/sidewinder-z2fa-lts-moincox-bangladesh-navy-pakistan-mofa-opsec-burn tags: - attack.credential_access - attack.t1056.003 - attack.initial_access - attack.t1566.002 logsource: category: proxy detection: selection_domain: c-uri|contains: 'malik-jaani786.workers.dev' selection_param: c-uri|contains: 'safepreivewfiledownloadforminboxmailserver' condition: selection_domain or selection_param falsepositives: - None known level: high |
