С июня 2023 года компания DomainTools Investigations изучает значительный кластер доменов, используемых для доставки вредоносного ПО и связанных с китайскими злоумышленниками. Первичные результаты показывают масштабную, быстро эволюционирующую инфраструктуру, которая к августу 2025 года изменила свою архитектуру и тактику, усложнив обнаружение и отслеживание.
Ключевые факты
- Изначально выявлено более 2 800 доменов; позднее обнаружено дополнительно ~1 900, итого — порядка 4 700 зарегистрированных доменов.
- Переход от централизованной модели хостинга к более децентрализованной — зафиксирован к августу 2025 года.
- Зависимость от отдельных интернет‑провайдеров снизилась с пиковых 90% до примерно 40%.
- Инфраструктура распространилась по 5 странам вместо прежних 3; число регистраторов выросло с 3 до 8.
- 78.9% доменов привязаны к TLD .CN или .com.cn; около 38% доменов зарегистрированы через регистраторов с китайскоязычным интерфейсом.
- Используются исключительно местные DNS‑провайдеры в Китае.
- Аномалия массовой регистрации: 16 октября — в рамках этого события зарегистрировано 69% доменов.
- Анализ найденных бинарных образцов (через VirusTotal) показал, что злоумышленники загружали сравнительно большие файлы — 100–250 МБ, что затрудняло их сканирование без использования API.
- Внедрён рабочий процесс на базе AI, позволивший за ~10 часов проанализировать ~2 000 доменов доставки вредоносного ПО.
Как изменилась инфраструктура и тактика злоумышленников
Исследование демонстрирует явную стратегию фрагментации инфраструктуры: переход к распределённому хостингу, расширение числа регистраторов и географическое рассредоточение. Эти изменения повышают устойчивость кампаний и снижают эффект от блокировок отдельных провайдеров.
Злоумышленники активнее пользуются локальными (китайскими) регистраторами и DNS‑провайдерами, внедряют рандомизированные соглашения об именовании доменов и подстраиваются под операционные реалии региона — всё это повышает их OPSEC и затрудняет международное вмешательство.
«69% доменов были зарегистрированы во время этого единственного события.»
Технические особенности и методы уклонения
- Массированная загрузка больших бинарных файлов (100–250 МБ), что ограничивало возможности ручного анализа через веб‑интерфейсы VirusTotal и вынуждало использовать API для масштабного сканирования.
- Имитация популярных китайских приложений и сервисов для повышения доверия жертв и обхода сигналов поведенческого детектирования.
- Рандомизация доменных имён и распределение по нескольким регистраторам и хостингам для уменьшения единой точки отказа.
Временные и географические закономерности
Регистрации доменов в целом соответствуют рабочим часам Восточной Азии, при этом активность сохраняется и во время праздников в США, за исключением перерыва на китайский Новый год. Выделяется единичный массовый всплеск регистрации 16 октября, объясняющий большую часть выявленных доменов.
Роль искусственного интеллекта в расследовании
Для оптимизации расследования был внедрён AI‑базированный рабочий процесс, где автономные агенты выполняют сбор, категоризацию и первичный анализ подозрительных сайтов. Такой подход позволил:
- Анализировать тысячи доменов в масштабе, недоступном для чисто ручного расследования;
- Сократить время обработки — ~2 000 доменов за ~10 часов;
- Автоматизировать сопоставление индикаторов и выделение приоритетных объектов для углублённого анализа человеком.
Последствия и оценка риска
Наблюдаемая эволюция инфраструктуры подтверждает, что злоумышленники способны поддерживать масштабные и ориентированные на китайских пользователей кампании по доставке вредоносного ПО. Их тактика диверсификации и имитации популярных приложений усложняет обнаружение и повышает риск успешных компрометаций конечных пользователей на территории Китая.
Рекомендации для защиты
- Мониторинг регистраций и активности доменов в TLD .CN и .com.cn, с акцентом на массовые всплески регистраций.
- Усиление сотрудничества с регистраторами и поставщиками DNS в регионе для ускоренной блокировки вредоносных ресурсов.
- Использование API аналитических сервисов (включая VirusTotal) для автоматизированного сканирования больших бинарных файлов.
- Развитие детекции фишинговых сайтов, маскирующихся под популярные китайские приложения (включая анализ UI/контента и доменных шаблонов).
- Интеграция AI‑инструментов в процессы triage и приоритизации угроз, сохраняя при этом контроль качества и валидацию результатов людьми‑аналитиками.
- Повышение осведомлённости пользователей в Китае о рисках загрузки крупных файлов из непроверенных источников.
Заключение
Исследование DomainTools Investigations показывает, что операторская инфраструктура доставки вредоносного ПО активно эволюционирует: она становится более распределённой, ориентированной на локальные регистраторы и провайдеров, и использует продвинутые методы уклонения. Внедрение AI‑инструментов продемонстрировало преимущества масштабируемого анализа, но одновременно подчёркивает необходимость международного сотрудничества и оперативного обмена данными между исследователями, провайдерами и регуляторами для эффективной нейтрализации подобных угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Кластер доменов .CN: эволюция инфраструктуры доставки вредоносного ПО".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.