Зашел посмотреть кино – проиграл деньги букмекеру. Нас всех превращают в трафик для сомнительных сайтов

Когда сайт с фильмами внезапно начинает отправлять посетителей на букмекерские и порносайты, владелец обычно винит шаблон или рекламную сеть. В случае с RingH23 всё куда серьёзнее. Речь идёт о масштабной операции, за которой, по техническим признакам, стоит печально известная группировка Funnull.

Funnull Technology Inc., зарегистрированная на Филиппинах, давно фигурирует как поставщик инфраструктуры для мошеннических схем в Юго-Восточной Азии. В мае 2025 года Управление по контролю за иностранными активами Министерства финансов США внесло компанию в санкционный список за поддержку интернет-афер, включая «инвестиционные» схемы с ущербом более 200 млн долларов. После санкций публичная активность Funnull почти сошла на нет. Новые данные показывают, что команда не исчезла, а перезапустилась под новым прикрытием.

В июле специалисты XLab заметили подозрительный исполняемый файл для Linux, который распространялся через домен download.zhw.sh. Анализ показал, что файл служит загрузчиком и тянет с сервера целый набор компонентов: вредоносный модуль для Nginx, пользовательский руткит, правила udev для закрепления в системе и бэкдор. Так постепенно сложилась картина полноценного серверного набора инструментов, получившего имя RingH23.

Атака начинается с компрометации управляющего узла GoEdge. После взлома злоумышленники через SSH заходят на пограничные серверы и принудительно устанавливают загрузчик. Дальше на машине появляются несколько модулей с чётким разделением ролей. Бэкдор, названный Badredis2s, поддерживает связь с центром управления через защищённый веб-сокет, а при блокировке переключается на туннелирование через DNS. Конфигурацию шифруют по схеме XOR и Base64, сетевой трафик дополнительно сжимают и шифруют по алгоритму AES.

Модуль Badnginx2s встраивается в Nginx как фильтр. Через него злоумышленники могут выполнять команды, подменять загружаемые файлы, внедрять на страницы вредоносный JavaScript, вставлять фрагменты видео в поток M3U8 и даже менять адреса криптокошельков на свои. В коде обнаружены конкретные адреса для Ethereum и Tron, на которые переводятся средства жертв.

Отдельный компонент, Badhide2s, работает через механизм LD_PRELOAD. Он скрывает процессы, файлы и сетевые соединения, а также автоматически подгружает вредоносный модуль в Nginx при запуске сервера. Для закрепления в системе используется редкий приём с правилами udev: при появлении сетевого интерфейса система запускает скрипт, который снова поднимает бэкдор. Подобный способ ранее встречался лишь в единичных кампаниях.

Главная цель кампании – массовая переадресация посетителей на нелегальные сайты. Вредоносные скрипты размещают на доменах, имитирующих популярные библиотеки, например cdn.jsdclivr.com или cdnjs.clondflare.com. Пик активности по одному из таких доменов пришёлся на конец августа 2025 года. По оценкам, с учётом доли наблюдаемого трафика, в сутки под перенаправление могли попадать более миллиона пользователей в Китае.

Код внедряемых скриптов практически совпадает с тем, что использовался в атаке на Polyfill.io в 2024 году и в серии отравлений публичных сетей доставки контента. Тогда ответственность связывали с Funnull. Совпадают стиль обфускации, логика отбора жертв и даже временные интервалы для максимальной конверсии. Скрипт проверяет часовой пояс, тип устройства и ключевые слова на странице. Мобильных пользователей из китайского часового пояса перенаправляют чаще всего в промежутке с двух до шести утра, когда вероятность импульсивных действий выше.

Параллельно выявлен второй канал заражения – через систему управления сайтами MacCMS. Сообщество поддерживает версию maccms.la, популярную у владельцев небольших видеосайтов. В механизме обновления обнаружили внедрение вредоносного кода. При первом входе в административную панель сервер отправляет скрытый PHP-файл, который добавляет на страницы тот же вредоносный JavaScript. Файл доступен всего несколько минут, что осложняет расследование. Многие администраторы удаляют заражённый скрипт, но не замечают скрытый PHP-модуль, из-за чего сайт заражается снова.

Инфраструктура злоумышленников тоже изменилась. Домены с вредоносными скриптами массово переехали на площадку CDN1.AI, зарегистрированную летом 2025 года. Сервис позиционирует себя как глобальную сеть доставки контента, но использует открытый проект GoEdge и демонстрирует признаки слабого администрирования. Прямых доказательств связи с Funnull нет, однако синхронная миграция доменов и характер использования позволяют предположить, что CDN1.AI служит новым прикрытием группировки.

По выявленным признакам заражение подтвердили более чем у 10 тысяч IP-адресов, в основном у видеосайтов. Учитывая динамическое внедрение кода и ограниченную видимость мониторинга, реальный масштаб может быть выше. Бэкдоры активно работают, а управляющие серверы входят в первые 500 тысяч сайтов по мировым рейтингам популярности.