Funnull: почему фальшивый крипто-рай хостился в Amazon

Министерство финансов США ввело санкции против филиппинской компании Funnull Technology Inc., обвинив её в участии в международных криптовалютных схемах мошенничества, известных как pig butchering . Вместе с компанией под санкции попал и её администратор — 40-летний гражданин Китая Лю Личжи, который, по данным американских властей, управляет инфраструктурой, на которую опираются сотни тысяч фальшивых инвестиционных сайтов.

Суть схемы «pig butchering» заключается в том, что жертву через мессенджеры или соцсети знакомят с якобы заинтересованным в отношениях человеком. Постепенно завязывается доверительное общение, в ходе которого злоумышленник предлагает «инвестировать» в криптовалюту на платформе, которая якобы приносит огромную прибыль. Жертва вкладывает всё больше средств, однако при попытке вывести деньги сталкивается с требованием оплатить дополнительные «налоги», после чего доступ к средствам окончательно закрывается. Потери отдельных инвесторов в США нередко превышают шестьзначные суммы.

В заявлении американского Минфина подчёркивается, что Funnull «непосредственно способствовала реализации ряда таких мошеннических схем, приведших к более чем 200 миллионам долларов потерь среди граждан США». По оценкам ФБР, инфраструктура компании связана с подавляющим числом криптовалютных инвестиционных сайтов, фигурирующих в жалобах, поступивших в федеральные правоохранительные органы. Подавляющее большинство этих сайтов используют механизмы маскировки и перенаправления трафика через легальные американские облачные провайдеры.

Ещё в январе 2025 года аналитики обнаружили, что Funnull выполняет функции преступной CDN-сети (content delivery network), обслуживая сайты азартных игр и мошеннические ресурсы, при этом активно используя IP-адреса крупных американских облачных провайдеров — Amazon и Microsoft. Причём многие из доменов, обслуживаемых Funnull, были оформлены с логотипом китайской Suncity Group — компании, фигурирующей в докладе ООН от 2024 года за отмывание средств в интересах северокорейской группировки Lazarus .

Доклад ФБР, охватывающий период с октября 2023 по апрель 2025 года, содержит технический разбор схемы, по которой Funnull генерировала множество доменов и привязывала их к инфраструктуре облаков США. Автоматизация создания доменных имён и регулярная смена IP-адресов позволяла преступникам эффективно обходить системы фильтрации и угроз-детекцию. Всё это делало Funnull мощным прокси-щитом между атакующими и конечными жертвами.

Silent Push в январе 2025 года повторно провела анализ инфраструктуры Funnull и обнаружила, что она всё ещё использует многие IP-адреса, упомянутые в октябрьском отчёте. Несмотря на публичные заявления обеих компаний, только Microsoft, по словам аналитика Зака Эдвардса, удалила вредоносные узлы. Amazon же, по его словам, продолжала допускать активность доменов Funnull даже спустя месяцы. Один из серверов Funnull, как указано в отчёте, впервые появился в 2023 году и до сих пор остаётся в рабочем состоянии.

Эдвардс не скрывал разочарования: «Amazon делает ужасную работу. Каждый день, начиная с момента их заявления, мы видим активные IP, связанные с Funnull. Некоторые из них остаются на месте беспрецедентно долго». Amazon в ответ заявила, что только в 2025 году остановила сотни попыток злоупотребления, связанных с этой группой, и попросила направлять жалобы через форму Trust & Safety.

Фундаментальная проблема, подчёркивают специалисты, заключается в особенностях облачных провайдеров США. Организации опасаются блокировать IP-адреса из этих сетей, поскольку на одних и тех же узлах хостятся и легитимные, и вредоносные ресурсы. Это даёт киберпреступникам возможность маскировать вредоносный трафик под нормальный, в том числе географически приближаясь к жертвам — например, чтобы обойти локационные фильтры онлайн-банков.

Funnull — не единственный провайдер инфраструктуры, попавший в поле зрения правоохранительных органов. 20 мая 2025 года Евросоюз ввёл санкции в отношении компании Stark Industries Solutions, которая, согласно расследованию , активно использовалась для проксирования атак, включая сканирование уязвимостей, перебор паролей и распространение дезинформации. Вся эта активность также проходила через IP-адреса американских облачных сетей.

Основатели Stark — молдавские братья Иван и Юрий Некулити — на протяжении многих лет продавали так называемый «пуленепробиваемый» хостинг через киберпреступные форумы, обещая клиентам, что не будут реагировать на жалобы и запросы полиции. Несмотря на публичные отрицания участия в киберпреступлениях, ЕС включил обоих в санкционные списки.

Таким образом, Funnull и Stark стали символами новой эры — когда поставщики хостинга и CDN не просто предоставляют инфраструктуру, но и активно способствуют глобальной киберпреступности, вмешательству и манипуляциям, используя слабые места в экосистеме облачных технологий.