Публичное разоблачение инфраструктуры злоумышленников редко приводит к её полному уничтожению, но почти всегда открывает новые детали их операций. Так произошло с платформой Needle, которая была детально описана исследователями 20 апреля 2026 года. Тогда общественности был представлен один сервер управления этой вредоносной службой как услуга (MaaS, Malware-as-a-Service). Однако благодаря подсказке внешнего эксперта кибербезопасникам удалось выявить целый флот из девяти активных клиентских панелей, разбросанных по пяти автономным системам в разных странах. Это открытие не только подтверждает мультитенантную бизнес-модель операторов Needle, но и указывает на устойчивый рост их клиентской базы, представляя новую угрозу для корпоративных сетей и частных пользователей по всему миру.
Описание
Изначальный доклад, опубликованный 20 апреля, фокусировался на единственной панели управления с IP-адресом 178.16.54[.]109, размещённой у хостинг-провайдера OMEGATECH в Нидерландах. Исследователи восстановили полную цепочку компрометации: от распространения через червя Phorpiex (также известного как Trik) до функционала по очистке криптокошельков, приватного пула для майнинга Monero и шокирующей телеметрии, свидетельствующей об обработке 960 миллионов учётных данных. Однако уже через два дня после публикации, эксперт Михаил Касимов предоставил список из тринадцати дополнительных IP-адресов, использующих порт 3000 - характерный для панелей Needle. Проверка, проведённая 22 апреля, показала, что девять из них отвечали и имели идентификатор "<title>Needle</title>", подтверждая их принадлежность к одной платформе.
Ключевым техническим доказательством, отличающим эту историю от простого перечисления серверов, стал анализ сборок клиентского интерфейса. Каждая из девяти панелей использовала уникальный JavaScript-файл, сгенерированный инструментом Vite, с разным размером (от 598 КБ до 1,22 МБ) и абсолютно разными криптографическими хешами SHA-256. Поскольку идентичные исходные код, собранный в одно время, даёт на выходе бинарно идентичные файлы, такая вариативность доказывает, что каждый клиент Needle получает индивидуально скомпилированную версию панели. Это классический признак настоящей мультитенантной MaaS-модели, где функциональность может кастомизироваться под нужды арендатора - вероятно, в зависимости от оплаченного тарифа. Самая маленькая сборка, возможно, представляет урезанную "начальную" версию, а самая крупная - полнофункциональный пакет.
Анализ времени непрерывной работы (uptime) каждой панели, полученный через эндпоинт "/api/v2/health", позволил восстановить примерную хронологию развёртывания клиентов. Самый старый сервер, размещённый у российского провайдера PROSPERO OOO, был запущен 30 марта 2026 года. После двухнедельной паузы, с 13 апреля началась активная фаза: новые панели появлялись каждые один-три дня у различных хостеров в Германии, Нидерландах, США и Австралии. Эта динамика, которую исследователи обнаружили в своих замерах, указывает на стабильный процесс onboarding новых клиентов, что говорит о востребованности платформы на теневом рынке. Более того, 21 апреля были запущены сразу две новые панели, что может свидетельствовать либо о двух одновременных сделках, либо о подготовке оператором дополнительных мощностей.
Особое внимание привлекла инфраструктура в подсети 178.16.54[.]0/23 у OMEGATECH. Именно здесь, на соседних IP-адресах, размещены две панели: оригинальная 178.16.54[.]109 и новая 178.16.55[.]234, которая была запущена 20 апреля - в день публикации первого разоблачения. Такая близость и оперативная реакция наращивания инфраструктуры в ответ на публикацию скорее характерна для самих вендоров вредоносной платформы, а не для их независимых клиентов. Последние обычно диверсифицируют хостинг, чтобы избежать риска единовременного выхода из строя всех своих серверов из-за жалобы на злоупотребления. При этом оригинальная панель не была перезагружена после разоблачения, что также может указывать на её управление непосредственно операторами Needle, а не арендатором, который, вероятно, запаниковал бы.
Четыре IP-адреса из исходного списка Касимова не ответили на запросы во время проверки. Исследователи не считают их неактивными окончательно. Эти серверы могли быть временно выведены в офлайн, перезагружены, защищены брандмауэром, разрешающим подключения только с определённых сетей, или мигрированы на новые адреса. Специалистам по защите рекомендуется держать их в списках для наблюдения как минимум две недели.
Для бизнеса и специалистов по информационной безопасности это расследование меняет контекст угрозы. Фокус защиты, сведённый к одному IP-адресу, больше не достаточен. Данные жертв, скомпрометированные через червя Phorpiex, могут эксфильтрироваться на любую из девяти (или более) активных панелей. Рекомендации исследователей включают добавление всех обнаруженных IP-адресов в блокировочные списки, корреляцию с любыми обнаружениями активности Phorpiex/Trik в сетях с конца марта 2026 года и мониторинг появления новых сервисов на порту 3000 с аналогичными характеристиками. Появление новой вредоносной платформы, демонстрирующей такие признаки профессионального развития, строгого разделения клиентских сред и устойчивости к разоблачению, свидетельствует об эволюции теневого рынка киберуслуг, где операционная безопасность (OPSEC) и масштабируемость становятся ключевыми конкурентными преимуществами.
Индикаторы компрометации
IPv4
- 130.12.180.135
- 144.31.151.223
- 178.16.54.109
- 178.16.55.234
- 193.24.123.23
- 195.160.220.49
- 209.17.118.17
- 34.225.141.85
- 45.151.106.204
- 82.38.96.253
- 94.103.91.192
- 94.26.83.82
- 95.179.181.208
IPv4 Port Combinations
- 178.16.54.109:3000
- 178.16.54.109:6060
- 195.160.220.49:3000
- 34.225.141.85:3000
- 82.38.96.253:3000
- 94.103.91.192:3000
CIDRs
- 178.16.54.0/23
URLs
- http://130.12.180.135:3000
- http://144.31.151.223:3000
- http://178.16.54.109:3000
- http://178.16.55.234:3000
- http://193.24.123.23:3000
- http://209.17.118.17:3000
- http://45.151.106.204:3000
- http://94.26.83.82:3000
- http://95.179.181.208:3000
