Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

«Забой свиней» вышел на новый уровень. Хакеры теперь воруют деньги прямо в облаках Google

leer en español

Triad Nexus Silent Push Amazon Cloudflare Google Microsoft кибермошенничество
«Забой свиней» вышел на новый уровень. Хакеры теперь воруют деньги прямо в облаках Google
Triad Nexus Silent Push Amazon Cloudflare Google Microsoft кибермошенничество

Цена одного неосторожного клика выросла до сотен тысяч долларов.

image

После громких санкций США против киберпреступной сети Triad Nexus казалось, что её инфраструктура серьёзно пострадает. Однако спустя год группа не только восстановила работу, но и заметно усилила защиту своих операций, усложнив задачу правоохранителям и компаниям по всему миру.

По данным Silent Push, Triad Nexus продолжает оставаться одной из самых прибыльных мошеннических экосистем. С 2020 года сеть связали с убытками более чем на 200 миллионов долларов. Основной доход приносят схемы «Pig Butchering» и криптовалютные аферы, где средний ущерб на одного пострадавшего достигает 150 тысяч долларов. После санкций в 2025 году операторы сместили акцент на развивающиеся рынки, одновременно сохранив интерес к западным компаниям.

Группа активно использует так называемое «отмывание инфраструктуры». Вместо сомнительных серверов злоумышленники захватывают или покупают аккаунты в облачных сервисах Amazon, Cloudflare, Google и Microsoft. Такая схема придаёт фальшивым сайтам вид легитимных ресурсов и повышает доверие даже у опытной аудитории. При этом основная техническая база по-прежнему связана с сетью CTG Server Limited, но распределена по множеству сегментов, чтобы усложнить обнаружение. Подробнее о том, как FUNNULL маскировал операции через инфраструктуру американских облачных провайдеров, рассказывалось ранее.

Triad Nexus поставила на поток подделку известных брендов. В сети обнаружили точные копии сайтов банков, платёжных сервисов и люксовых марок вроде Tiffany, Cartier и Chanel. Отдельное направление — имитация логистических и государственных сервисов, включая Vietnam Post. Через такие ресурсы злоумышленники собирают учётные данные, персональную информацию и проводят финансовые операции с задействованием более чем 25 крупных банков.

После санкций сеть начала блокировать пользователей из США. При попытке открыть многие сайты с американских IP-адресов появляется сообщение о недоступности по юридическим причинам. Такой подход помогает скрыть активность от регуляторов. Параллельно Triad Nexus активно развивает операции в испаноязычных странах, Вьетнаме и Индонезии, используя локализованные версии мошеннических платформ.

Ещё один элемент маскировки — создание «чистых» компаний-прикрытий. Под видом легальных CDN-сервисов вроде Bole CDN или CDN1.ai злоумышленники привлекают клиентов и партнёров, скрывая связь с ранее скомпрометированной инфраструктурой FUNNULL. Для общения используют мессенджеры, включая Telegram, где операторы напрямую контактируют с потенциальными покупателями услуг.

Отдельное внимание в отчёте уделено усложнению технической архитектуры. Если раньше сеть опиралась на ограниченное число доменов, теперь используются сотни случайных CNAME-цепочек, скрывающих реальное расположение серверов. Для анализа таких схем специалисты разработали инструмент CNAME Chain Lookup, который позволяет отследить всю цепочку перенаправлений и выявить конечные узлы инфраструктуры.

Авторы отчёта считают, что традиционные меры защиты уже не справляются с подобными сетями. Triad Nexus демонстрирует высокий уровень автоматизации и гибкости, что требует перехода к проактивной защите и более глубокому анализу сетевого трафика.