05/08/25
Активная с середины 2022 года, эта группировка связана с такими брендами, как AlphaV/BlackCat, LockBit, Royal, Play, Cl0p, Cactus и RansomHub. В отличие от традиционных посредников первого доступа, она действует скорее как высокоуровневый участник RaaS -схемы, предоставляя услуги или инфраструктуру различным преступным партнёрам, пишут в Securitylab.
По данным Intrinsec, связи ShadowSyndicate выходят далеко за рамки обычного киберпреступного ландшафта. В их арсенале обнаружены тактики и инструменты, перекликающиеся с подходами таких групп, как TrickBot, Ryuk/Conti, FIN7 и TrueBot. Все они хорошо известны своей сложной техникой проникновения, умением уклоняться от обнаружения и использованием разнообразных эксплойтов.
Исходной точкой расследования стали два IP-адреса, использовавших один и тот же отпечаток SSH. Через сервисы Shodan и Fofa удалось расширить исследование до 138 серверов, объединённых по схожим признакам. Установленные пересечения включают участие в атаке с использованием уязвимости Citrix Bleed (CVE-2023-4966), где эксплуатировались серверы LockBit и ThreeAM.
Также были найдены совпадения с инфраструктурой, использовавшейся в ходе атак на MOVEit и ScreenConnect — в последнем случае эксплойт касался сразу двух уязвимостей: CVE-2024-1708 и CVE-2024-1709. Отдельные серверы ShadowSyndicate совпадают с хостами, ранее ассоциировавшимися с UAC-0056 (известной также как Cadet Blizzard) и Cl0p.
На фоне общего технического рисунка проявились и связи с другими группами, работающими с программами Black Basta и Bl00dy, а также подозрительными активностями, связанными с Cicada3301 — возможным ребрендингом BlackCat. Помимо этого, инфостилеры AMOS и Poseidon, распространявшиеся через фальшивые объявления Google и фишинговые LLM-приманки, также демонстрируют привязку к этой инфраструктуре.
Интерес представляет и техническое обустройство сети. Исследование указывает на наличие пуленепробиваемого хостинга (BPH), маскируемого под легитимные услуги VPN, VPS и прокси, а на деле предоставляющего устойчивую к ликвидации площадку для киберопераций. Упоминаются автономные системы AS209588 (Flyservers), AS209132 (Alviva Holding) и обширная структура AS-Tamatiya, объединяющая 22 ASN. Хостинг оперирует под прикрытием оффшорных юрисдикций, включая Панаму, Сейшельские острова и Виргинские острова.
Хотя наличие подтверждённых связей с государственными структурами в отчёте Intrinsec оценивается с умеренным уровнем уверенности, упоминания о высокопоставленных фигурах и гибридных операциях по манипуляции информацией указывают на гораздо более широкую роль этой инфраструктуры.
Так, исследование упоминает пересечения с DecoyDog (вариацией PupyRAT через DNS-туннелирование), а также использование вредоносных загрузчиков Amadey и Nitol. В мае 2025 года сеть оставалась активной, продолжая сканировать уязвимости и распространять вредоносные компоненты.
В совокупности все эти данные рисуют образ высокотехнологичной, устойчивой и многоуровневой экосистемы, поддерживающей не только обычные схемы вымогательства, но и тесно связанной с актёрами, действующими на уровне национальных интересов.
