保護されていない管理コンソール、最も初歩的なパスワードさえなくアクセス可能で、秘密の作戦を透明な展示に変えました。ドイツに位置する単一のサーバを通じて、セキュリティ専門家はボットネットがXアカウントの認証情報を体系的にブルートフォースしながら、リアルタイムで監視することができました。侵害統計を明かし、運用インフラ全体のプレーンテキストのルートパスワードを暴露しました。
Breakglass Intelligenceの研究者は保護されていない管理インターフェースの発見を報告しました。タイトルはTwitter Checker Master Panel — FULL FIX v2.3で、サーバ144[.]76[.]57[.]92:5000でホストされていました。このパネルは認証なく機能し、認証情報詰め込み攻撃への無制限のアクセスを許可していました。このインターフェースを通じて、サーバインベントリを調査し、ログインペアのデータベースをアップロードし、検証プロセスの実行を操作し、侵害されたアカウントの収集結果をエクスポートすることができました。
ネットワークセキュリティ
2026年4月10日の短い12分間の監視ウィンドウ中に、システムは722,763個のログイン-パスワードペアを精査し、さらに18個のアカウントへの侵入に成功しました。パネルの総計統計は、420万以上の検証済みエントリと138の確認されたハイジャッキングを示していました。報告書の著者は、ターゲットアカウントの約85.6%が二要素認証(2FA)で保護されていたことを強調しており、ボットネットはそれを回避することができませんでした。実際には、作戦は保護されたプロフィールを効果的にフィルタリングし、単一のパスワードで保護されたものだけを狙っていました。
パネルに含まれていたのは、ルートSSHアクセス権を持つ18の運用サーバで、その認証情報は脆弱なプレーンテキストで保存されていました。これらのノードは、単一の31[.]58[.]245[.]0/24サブネット内に配置されており、アンカラのトルコプロバイダに関連していました。インターフェース自体は完全にトルコ語でレンダリングされており、サーバの指定はSunucuという用語で始まっていました。これはトルコ語を話すオペレーターまたはこの地域と深い関係を持つ集団をさらに示唆しています。
Breakglass Intelligenceによると、インフラは2025年12月下旬から2026年1月を通じて段階的に展開され、検証 ソフトウェアの大量インストールは2月24日に行われました。コマンドアンドコントロールサーバはHetznerでホストされており、ポート5000のパネルに加えて、公開されたRDP、SMB、およびWinRMサービスを保持していました。公開時点では、この活動の痕跡は主要な脅威インテリジェンスプラットフォーム上にはほぼありませんでした。VirusTotal、ThreatFox、URLhaus、およびAbuseIPDBはまだネットワークの動きをカタログ化していませんでした。
この物語は規模だけでなく、戦略の露骨な単純さでも注目に値します。高度な脆弱性や風変わりなエクスプロイトは含まれていません。代わりに、オペレーターは漏洩したデータセットを使用した認証情報詰め込みという古い方法を採用しており、ボットネットに対する主要な防壁は標準的な二要素認証のままでした。結局のところ、この調査は、パスワード再利用と2FAの拒否が、ユーザーが敵対者の統計における単なるエントリになる十分な機会を与え続けることの痛烈な警告として機能します。
