04/04/25
Он предоставляет так называемый «пуленепробиваемый» хостинг, которую активно используют начинающие киберпреступники для распространения вредоносного ПО и других незаконных проектов. Ключевой фигурой в новом расследовании стал неизвестный ранее актор Coquettte, связанный с группировкой Horrid. Об этом пишет Securitylab.
Поводом для расследования послужил сайт cybersecureprotect[.]com, маскирующийся под законный антивирусный продукт. На деле он оказался частью инфраструктуры, распространяющей вредоносное ПО. Ошибка в операционной безопасности (OPSEC) привела к тому, что директория сайта оказалась открытой, и исследователи получили доступ ко всей структуре, включая дропперы и исполняемые вредоносные файлы.
В частности, был обнаружен архив CyberSecure Pro.zip, содержащий установщик CyberSecurePro.msi. При запуске тот подключался к URL-адресам cia[.]tf и quitarlosi[.] и загружал вторую стадию вредоносного ПО. Малварь была идентифицирована как Rugmi (также известный как Penguish) — модульный загрузчик, предназначенный для доставки инфостилеров, троянов и другого вредоносного софта.
Платформа Proton66 выступает связующим звеном для многочисленных вредоносных ресурсов, включая сайты, имитирующие авторитетные бренды, банковские порталы и криптобиржи. В большинстве случаев такие сайты создаются с целью кражи учётных данных и распространения малвари. При этом наблюдается низкий уровень технической грамотности у их операторов — от незащищённых директорий до однотипных доменов и конфигураций.
Особый интерес вызвал сам Coquettte — судя по данным с сайта coquettte[.]com, это молодой человек, представившийся как 18-летний разработчик, обучающийся на программиста. На сайте содержались ссылки на проекты и контактные данные, включая GitHub, YouTube и даже профиль Last.fm под псевдонимом chickenwing_11. Эта цифровая активность, наряду с ошибками в OPSEC, лишь подчёркивает неопытность и возраст фигуранта.
Исследователи обнаружили, что домен cia[.]tf, выступающий в роли C2-сервера, был зарегистрирован с почты root[@]coquettte[.]com, что напрямую связывает его с Coquettte. В результате анализа также был выявлен ряд связанных ресурсов:
- meth[.]to и meth[.]su — сайты с инструкциями по производству наркотиков, взрывчатки и краже катализаторов.
- terrorist[.]ovh — ещё один домен, использующий ту же инфраструктуру.
- horrid[.]xyz — сайт, предположительно принадлежащий хакерской группе Horrid, в которую может входить Coquettte.
Общие скрипты аналитики (Google Analytics G-RPK032CCFZ), повторяющиеся элементы дизайна и прямые ссылки между сайтами указывают на единое происхождение. Это даёт основания полагать, что речь идёт не о единственном акторе, а о небольшом коллективе или сообществе, где каждый участник занимается своей частью общего дела.
Проекты Coquettte, указанные в файле other_projects.txt на его сайте, включают:
- meth[.]to — чёрный справочник по химии и взрывчатым веществам;
- cia[.]tf — C2-сервер для доставки вредоносного ПО;
- xn--xuu[.]ws — терминалоподобный сайт на базе кода mercurywork.shop.
Таким образом, инфраструктура Coquettte представляет собой точку входа в цифровую преступность для начинающих акторов: инструменты, хостинг, трояны и даже «учебные материалы» — всё доступно с минимальным техническим порогом.
Даже акторы с ограниченными знаниями и опытом, имея доступ к платформам вроде Proton66, могут развернуть полноценные вредоносные кампании, представляющие серьёзную угрозу. Внимательное отслеживание подобных инфраструктур и своевременное реагирование на индикаторы компрометации остаются ключевыми мерами защиты для корпоративных и персональных систем.
