Согласно отчету, опубликованному компанией Infoblox на прошлой неделе, провайдеры услуг активно способствуют распространению мошенничества по схеме «Забой свиней» (Pig Butchering), предоставляя преступным сетям инфраструктуру промышленного масштаба. Исследователи Маэль Ле Туз и Джон Войчик отметили создание глобальной теневой экономики, которая снижает порог вхождения для злоумышленников. Данная модель, известная как «Забой свиней как услуга» (Pig Butchering-as-a-Service или PBaaS), функционирует как минимум с 2016 года и управляется китайскоговорящими преступными группировками. Основные операции сосредоточены в специальных экономических зонах Юго-Восточной Азии, в частности, в экономической зоне «Золотой треугольник» (GTSEZ).
На территории этих зон расположены комплексы, в которых содержатся тысячи людей, ставших жертвами торговли людьми. Пострадавших заманивают обещаниями высокооплачиваемой работы, после чего у них конфискуют паспорта и под угрозой физического насилия заставляют заниматься мошенничеством. Интерпол классифицирует данную деятельность как «мошенничество в промышленных масштабах, подпитываемое торговлей людьми». Эта система позволяет преступным синдикатам масштабировать операции, используя принудительный труд для реализации сложных схем социальной инженерии.
Ключевым поставщиком услуг в этой экосистеме является Penguin Account Store, также известный под псевдонимами Heavenly Alliance и Overseas Alliance. Работая по модели «Криминальное ПО как услуга» (CaaS), эта группа предлагает наборы данных украденной личной информации граждан Китая, известные как «Shè gōng kù», а также украденные учетные данные, полученные из логов инфостилеров в дарквебе. Спектр целевых платформ включает Twitter, Tinder, YouTube, Snapchat, Ф⃰, И⃰, Apple Music, OpenAI ChatGPT, Spotify и Netflix. Стоимость предварительно зарегистрированных аккаунтов начинается от 0,10 доллара США, при этом цена возрастает в зависимости от возраста и достоверности учетной записи.
Penguin Account Store также предоставляет аппаратную инфраструктуру, включая массово зарегистрированные SIM-карты, роутеры 4G/5G и ловушки IMSI. Для вовлечения жертв используются «Наборы персонажей» — пакеты украденных фотографий для создания убедительных фальшивых личностей. Для автоматизации взаимодействия с жертвами применяется платформа SCRM AI («Социальное управление взаимоотношениями с клиентами»). Финансовые операции проводятся через анонимную P2P-систему BCD Pay, связанную с Bochuang Guarantee и имеющую корни в незаконном игорном бизнесе, что функционально схоже с системой HuiOne.
Другим важным элементом инфраструктуры является сервис UWORK, обеспечивающий управление контентом и агентами. Платформа предлагает готовые шаблоны сайтов для инвестиционного мошенничества и имитирует интеграцию с легитимными платформами, такими как М⃰Trader, для демонстрации фальшивых финансовых данных в реальном времени. В систему встроены панели KYC («Знай своего клиента») для кражи документов, подтверждающих личность жертв. Административная панель позволяет управлять пользователями, аффилированными агентами, просматривать записи чатов и электронной почты, а также отслеживать метрики прибыльности.
Мобильные приложения UWORK распространяются через APK-файлы или внедряются через программы тестирования Apple для обхода контроля магазинов приложений. Эти программы часто маскируются под новостные приложения, где доступ к торговой панели открывается только после ввода специального пароля в строке поиска. Стоимость услуг варьируется от 50 долларов за базовый шаблон сайта с хостингом до примерно 2500 долларов за полный пакет, включающий доступ администратора, VPS-хостинг, мобильное приложение, торговую платформу, подставную компанию в налоговой гавани и регистрацию у местного финансового регулятора.
Отдельное исследование DNS-угроз от Infoblox выявило значительные риски, связанные с припаркованными доменами. Более 90% посетителей таких доменов перенаправляются на незаконный контент, скам, мошенническое ПО или вредоносные программы. Злоумышленники используют тайпосквоттинг (намеренные опечатки в названиях популярных сайтов) и истекшие домены. Для фильтрации трафика применяется профилирование: пользователи с VPN или боты видят обычную страницу-заглушку, тогда как посетители с домашних IP-адресов перенаправляются на вредоносные ресурсы, определяемые по геолокации, отпечаткам устройств и файлам cookie.
В сфере фишинга с 12 апреля 2025 года зафиксирована кампания с использованием инструментария Evilginx Pro, нацеленная как минимум на 18 университетов и образовательных учреждений в США. Идентифицировано 67 доменов, связанных с этой активностью, целью которой является кража учетных данных и сессионных cookie-файлов. Атаки используют технику «Противник посередине» (AiTM) и включают методы уклонения от обнаружения, такие как использование wildcard TLS-сертификатов, фильтрация ботов через JA4-фингерпринтинг, создание отвлекающих веб-страниц и интеграция с DNS-провайдерами Cloudflare и DigitalOcean.
Параллельно с этим исследователи компании по безопасности Malanta — Йинон Азар, Ноам Ицхак, Цур Лейбовиц и Ассаф Мораг — раскрыли масштабную мошенническую игорную сеть, действующую как минимум с 2011 года. За 14 лет существования сеть развернула более 328 000 доменов и поддоменов, из которых свыше 236 000 связаны с азартными играми, а 7 700 ссылаются на бакеты AWS. Основными целями являются индонезийскоговорящие пользователи, однако жертвы также зафиксированы в США, Европе и Юго-Восточной Азии.
Группировка, предположительно являющаяся двойной операцией (спонсируемой государством APT-группой и организатором незаконных азартных игр), использует сложные тактики. Они включают манипуляции с SEO, взлом компонентов WordPress и PHP, а также эксплуатацию «висячих» DNS и просроченных облачных ресурсов. Для распространения вредоносного ПО используются бакеты Amazon Web Services (AWS) S3. Дропперы в виде APK-файлов, такие как «jayaplay168.apk» и «1poker-32bit.apk», содержат функции командного управления (C2) и кражи данных. Ранее эта активность отслеживалась компаниями Imperva и Sucuri, последняя из которых обозначила кампанию как «Slot Gacor», заменяющую легитимный контент спам-страницами казино.
Изображение носит иллюстративный характер
На территории этих зон расположены комплексы, в которых содержатся тысячи людей, ставших жертвами торговли людьми. Пострадавших заманивают обещаниями высокооплачиваемой работы, после чего у них конфискуют паспорта и под угрозой физического насилия заставляют заниматься мошенничеством. Интерпол классифицирует данную деятельность как «мошенничество в промышленных масштабах, подпитываемое торговлей людьми». Эта система позволяет преступным синдикатам масштабировать операции, используя принудительный труд для реализации сложных схем социальной инженерии.
Ключевым поставщиком услуг в этой экосистеме является Penguin Account Store, также известный под псевдонимами Heavenly Alliance и Overseas Alliance. Работая по модели «Криминальное ПО как услуга» (CaaS), эта группа предлагает наборы данных украденной личной информации граждан Китая, известные как «Shè gōng kù», а также украденные учетные данные, полученные из логов инфостилеров в дарквебе. Спектр целевых платформ включает Twitter, Tinder, YouTube, Snapchat, Ф⃰, И⃰, Apple Music, OpenAI ChatGPT, Spotify и Netflix. Стоимость предварительно зарегистрированных аккаунтов начинается от 0,10 доллара США, при этом цена возрастает в зависимости от возраста и достоверности учетной записи.
Penguin Account Store также предоставляет аппаратную инфраструктуру, включая массово зарегистрированные SIM-карты, роутеры 4G/5G и ловушки IMSI. Для вовлечения жертв используются «Наборы персонажей» — пакеты украденных фотографий для создания убедительных фальшивых личностей. Для автоматизации взаимодействия с жертвами применяется платформа SCRM AI («Социальное управление взаимоотношениями с клиентами»). Финансовые операции проводятся через анонимную P2P-систему BCD Pay, связанную с Bochuang Guarantee и имеющую корни в незаконном игорном бизнесе, что функционально схоже с системой HuiOne.
Другим важным элементом инфраструктуры является сервис UWORK, обеспечивающий управление контентом и агентами. Платформа предлагает готовые шаблоны сайтов для инвестиционного мошенничества и имитирует интеграцию с легитимными платформами, такими как М⃰Trader, для демонстрации фальшивых финансовых данных в реальном времени. В систему встроены панели KYC («Знай своего клиента») для кражи документов, подтверждающих личность жертв. Административная панель позволяет управлять пользователями, аффилированными агентами, просматривать записи чатов и электронной почты, а также отслеживать метрики прибыльности.
Мобильные приложения UWORK распространяются через APK-файлы или внедряются через программы тестирования Apple для обхода контроля магазинов приложений. Эти программы часто маскируются под новостные приложения, где доступ к торговой панели открывается только после ввода специального пароля в строке поиска. Стоимость услуг варьируется от 50 долларов за базовый шаблон сайта с хостингом до примерно 2500 долларов за полный пакет, включающий доступ администратора, VPS-хостинг, мобильное приложение, торговую платформу, подставную компанию в налоговой гавани и регистрацию у местного финансового регулятора.
Отдельное исследование DNS-угроз от Infoblox выявило значительные риски, связанные с припаркованными доменами. Более 90% посетителей таких доменов перенаправляются на незаконный контент, скам, мошенническое ПО или вредоносные программы. Злоумышленники используют тайпосквоттинг (намеренные опечатки в названиях популярных сайтов) и истекшие домены. Для фильтрации трафика применяется профилирование: пользователи с VPN или боты видят обычную страницу-заглушку, тогда как посетители с домашних IP-адресов перенаправляются на вредоносные ресурсы, определяемые по геолокации, отпечаткам устройств и файлам cookie.
В сфере фишинга с 12 апреля 2025 года зафиксирована кампания с использованием инструментария Evilginx Pro, нацеленная как минимум на 18 университетов и образовательных учреждений в США. Идентифицировано 67 доменов, связанных с этой активностью, целью которой является кража учетных данных и сессионных cookie-файлов. Атаки используют технику «Противник посередине» (AiTM) и включают методы уклонения от обнаружения, такие как использование wildcard TLS-сертификатов, фильтрация ботов через JA4-фингерпринтинг, создание отвлекающих веб-страниц и интеграция с DNS-провайдерами Cloudflare и DigitalOcean.
Параллельно с этим исследователи компании по безопасности Malanta — Йинон Азар, Ноам Ицхак, Цур Лейбовиц и Ассаф Мораг — раскрыли масштабную мошенническую игорную сеть, действующую как минимум с 2011 года. За 14 лет существования сеть развернула более 328 000 доменов и поддоменов, из которых свыше 236 000 связаны с азартными играми, а 7 700 ссылаются на бакеты AWS. Основными целями являются индонезийскоговорящие пользователи, однако жертвы также зафиксированы в США, Европе и Юго-Восточной Азии.
Группировка, предположительно являющаяся двойной операцией (спонсируемой государством APT-группой и организатором незаконных азартных игр), использует сложные тактики. Они включают манипуляции с SEO, взлом компонентов WordPress и PHP, а также эксплуатацию «висячих» DNS и просроченных облачных ресурсов. Для распространения вредоносного ПО используются бакеты Amazon Web Services (AWS) S3. Дропперы в виде APK-файлов, такие как «jayaplay168.apk» и «1poker-32bit.apk», содержат функции командного управления (C2) и кражи данных. Ранее эта активность отслеживалась компаниями Imperva и Sucuri, последняя из которых обозначила кампанию как «Slot Gacor», заменяющую легитимный контент спам-страницами казино.
