12/09/25
Поводом для проверки послужило обновление контактных адресов у группировки Clop: её сайт утечек начал перенаправлять жертв на собственную почтовую площадку. Два домена, задействованные для переписки, были зарегистрированы 2 мая 2025 года и ведут на сервера с Roundcube.
Домен pubstorm.com оказался зарегистрирован на IP в Германии, а pubstorm.net — на сервере в Вануату. Оба ресурса привязаны к автономным системам компании Alviva Holding Limited. При этом именно её инфраструктура используется не только для коммуникации с пострадавшими от Clop, но и для торрент-сетей, через которые распространяется вредоносный софт.
История Alviva Holding уходит глубже: с 2009 года её адресное пространство замечено в распространении Cobalt Strike и других инструментов, активно применяемых преступными группами. Анализ пиринговых связей показал привязку к структурам Verdina Ltd из Белиза и украинской FOP Gubina Lubov Petrivna, фигурировавшим в кибератаках разного масштаба — от фишинга против украинских госорганов до кампаний APT28 и хостинга Nokowaya. Verdina, в частности, известна услугами «bulletproof hosting» и площадкой для DDoS-сервисов, а также связью с кампаниями BianLian, Storm-1575 и другими.
Ключевой узел расследования — документы Pandora Papers, где обнаружено совпадение юридического адреса Alviva Holding в Сейшелах с десятками фиктивных компаний. Формальным владельцем структуры числится россиянин по имени Денис, упомянутый в тех же утечках и связанный с Alpha Consulting — предприятием, лишившейся лицензии в 2025 году после включения в чёрный список SEC. Эта фирма фигурировала в материалах о схемах отмывания средств и обслуживала целую сеть фиктивных организаций. Адрес Начаева в Калининградской области оказался уникально закреплён за ним, но сопоставление с другими утечками показало многочисленные записи с именем «Денис».
