Открытые каталоги, трояны, C2-сервера: как устроена кухня молодых хакеров

Исследователи выявили растущую угрозу со стороны сети Proton66 — хостинг-платформы, предоставляющей так называемый «пуленепробиваемый» хостинг, которую активно используют начинающие киберпреступники для распространения вредоносного ПО и других незаконных проектов. Ключевой фигурой в новом расследовании стал неизвестный ранее актор Coquettte, связанный с группировкой Horrid.

Поводом для расследования послужил сайт cybersecureprotect[.]com, маскирующийся под легитимный антивирусный продукт. На деле он оказался частью инфраструктуры, распространяющей вредоносное ПО. Ошибка в операционной безопасности (OPSEC) привела к тому, что директория сайта оказалась открытой, и исследователи получили доступ ко всей структуре, включая дропперы и исполняемые вредоносные файлы.

В частности, был обнаружен архив CyberSecure Pro.zip, содержащий установщик CyberSecurePro.msi. При запуске тот подключался к URL-адресам cia[.]tf и quitarlosi[.] и загружал вторую стадию вредоносного ПО. Малварь была идентифицирована как Rugmi (также известный как Penguish) — модульный загрузчик, предназначенный для доставки инфостилеров, троянов и другого вредоносного софта.

Платформа Proton66 выступает связующим звеном для многочисленных вредоносных ресурсов, включая сайты, имитирующие авторитетные бренды, банковские порталы и криптобиржи. В большинстве случаев такие сайты создаются с целью кражи учётных данных и распространения малвари. При этом наблюдается низкий уровень технической грамотности у их операторов — от незащищённых директорий до однотипных доменов и конфигураций.

Особый интерес вызвал сам Coquettte — судя по данным с сайта coquettte[.]com, это молодой человек, представившийся как 18-летний разработчик, обучающийся на программиста. На сайте содержались ссылки на проекты и контактные данные, включая GitHub, YouTube и даже профиль Last.fm под псевдонимом chickenwing_11. Эта цифровая активность, наряду с ошибками в OPSEC, лишь подчёркивает неопытность и возраст фигуранта.

Исследователи обнаружили, что домен cia[.]tf, выступающий в роли C2-сервера, был зарегистрирован с почты root[@]coquettte[.]com, что напрямую связывает его с Coquettte. В результате анализа также был выявлен ряд связанных ресурсов:

• meth[.]to и meth[.]su — сайты с инструкциями по производству наркотиков, взрывчатки и краже катализаторов.
• terrorist[.]ovh — ещё один домен, использующий ту же инфраструктуру.
• horrid[.]xyz — сайт, предположительно принадлежащий хакерской группе Horrid, в которую может входить Coquettte.

Общие скрипты аналитики (Google Analytics G-RPK032CCFZ), повторяющиеся элементы дизайна и прямые ссылки между сайтами указывают на единое происхождение. Это даёт основания полагать, что речь идёт не о единственном акторе, а о небольшом коллективе или сообществе, где каждый участник занимается своей частью общего дела.

Проекты Coquettte, указанные в файле other_projects.txt на его сайте, включают:

• meth[.]to — чёрный справочник по химии и взрывчатым веществам;
• cia[.]tf — C2-сервер для доставки вредоносного ПО;
• xn--xuu[.]ws — терминалоподобный сайт на базе кода mercurywork.shop.

Таким образом, инфраструктура Coquettte представляет собой точку входа в цифровую преступность для начинающих акторов: инструменты, хостинг, трояны и даже «учебные материалы» — всё доступно с минимальным техническим порогом.

Даже акторы с ограниченными знаниями и опытом, имея доступ к платформам вроде Proton66, могут развернуть полноценные вредоносные кампании, представляющие серьёзную угрозу. Внимательное отслеживание подобных инфраструктур и своевременное реагирование на индикаторы компрометации остаются ключевыми мерами защиты для корпоративных и персональных систем.