TokyoBlackHatNews

silentpush.com 12分で読了

制裁後の継続活動:Triad Nexusの運用インフラが再構築、脅威アクターがFUNNULL CDNから活動距離を確保

主要な発見

  • 2025年の米財務省による制裁の後、Triad Nexusは運用セキュリティを強化し、地理的なフェンシングを採用して米国の捜査官の目をくらませながら、同時にアカウントミューリングと回転する「クリーン」フロント企業ネットワークを通じてインフラを資金洗浄化しています。
  • このネットワークは世界規模でブランド盗難を産業化しており、高級品から公共サービスまで、あらゆるものの「ピクセルパーフェクト」なクローンを含むカタログを保有しています。
  • Triad Nexusが使用する自動難読化に対抗するため、SilentPushのCNAME Chain Lookupは多層的なリダイレクトパス分析と、リアルタイム防御のための基盤となる「資金洗浄化」インフラの暴露のための迅速なフォレンジック手法を提供します。

エグゼクティブサマリー

Triad Nexusは報告された損失200百万ドル以上の責任を負っており、主に高度な「豚コマ詐欺」と仮想通貨詐欺によって駆動されています。個別の被害者の平均損失は150,000ドルであり、その運用の高い転換率を強調しています。2025年の連邦制裁にもかかわらず、グループはグローバル詐欺エンジンを再起動し、新興市場への焦点をシフトさせながら、西側企業資産への継続的な脅威を維持しています。

Triad Nexusは企業ブランド整合性と顧客信頼への直接的なリスクをもたらし続けています。このグループは以下を対象とした産業化された偽造資産のカタログを管理しています:

  • 銀行とフィンテック:ウェルズファーゴとバンク・オブ・アメリカを含む25以上のグローバル機関の支払いポータル。大規模な認証情報の回収と「豚コマ詐欺」に使用されています。
  • ラグジュアリー小売:ティファニーやカルティエなどのブランドの高忠実度クローン。高額な消費者取引を傍受するために使用されます。
  • グローバルロジスティクス:ベトナム郵便を含むサービスの悪用。地域的な個人識別情報(PII)の盗難を促進するために使用されます。

標準的なリアクティブセキュリティ対策では、Triad Nexusの欺瞞インフラの自動ローテーションに対して不十分です。軽減には先制的サイバー防御と高忠実度の可視化へのシフトが必要です。

背景

Triad Nexusはアジア全域の組織犯罪グループに根ざした広大なサイバー犯罪エコシステムです。FUNNULL Content Delivery Network(CDN)への依存により歴史的に識別されており、このネットワークは少なくとも2020年以降、投資詐欺、資金洗浄、違法ギャンブル運営の大規模な急増を促進してきました。違法ネットワークは、「豚コマ」スキームと世界的な消費者を狙う詐欺的な金融ポータルの主要なバックボーンとして機能します。

これらの詐欺活動に加えて、このグループは高忠実度のブランド偽造を専門としており、Global 2000企業のデジタルアイデンティティを武器化して被害者を欺くことを武器化しています。

「インフラ資金洗浄化」の大胆さ

Triad Nexusの兵器庫における効果的なテクニックは「インフラ資金洗浄化」です。低評判のサーバのみに依存するのではなく、Triad Nexusは「アカウントミューラ」を武器化して、主要なエンタープライズクラウドプロバイダーのアカウントを盗んだり、違法に取得したりします。これにより、詐欺に「正当性の外観」、高速性、およびテクノロジーに精通した西側の視聴者さえが抵抗できないプロフェッショナルなパフォーマンスを提供します。

私たちのチームの調査により、この運用の「防弾」バックボーンはAS152194(CTG Server Limited)のままであることが明らかになりました。ただし、完全な是正を防止するため、グループは基盤を複数のASNプールにセグメント化し、調査官がネットワーク全体を識別することを防ぎます。

現在これらの資金洗浄化スキームで悪用されている主要なプロバイダーは以下の通りです:

  • Amazon(AS16509)
  • Cloudflare(AS13335)
  • Google(AS396982)
  • Microsoft(AS8075)

ブランド偽造の産業化されたカタログ

Triad Nexusは、FBIに報告された仮想通貨投資詐欺ウェブサイトの大多数にリンクされています。このネットワークは世界規模でブランド盗難を産業化しました。

そのカタログには、高級ブランドから公共サービスまでのあらゆるものの「ピクセルパーフェクト」なクローンが含まれています。私たちは以下を偽造する積極的なキャンペーンを文書化しました:

  • ラグジュアリー&小売:ティファニー、カルティエ、シャネル、コーチ、メイシーズ、eBay、楽天、およびケリング。
  • 金融&投資:iTrustCapital、ウェスタンユニオン、マネーグラム、およびEtsy。
  • 公共サービス:トリップアドバイザーおよびベトナム郵便(vietnampost[.]vn)の洗練された欺瞞的なクローン。

迅速な資金流出を促進するために、Triad Nexusサイトはゴールドマンサックスロイヤルバンク・オブ・カナダバンク・オブ・アメリカ、およびウェルズファーゴを含む25以上のグローバル金融大手にリンクされた支払いポータルを提供しています。

その暗号通貨の受け入れは同様に広範であり、BTCとETHだけでなく、USDC、TRON、MATIC、およびTRC20トークンもサポートしています。

地理的回避と米国ブロック

制裁後の法執行機関の監視を回避するための皮肉な試みとして、Triad Nexusは直感に反する「米国ブロック」を実装しました。米国のIPアドレスから多くのサイトにアクセスしようとする訪問者は、「リージョンが拒否されています。」というメッセージの「451 法的理由により利用不可」エラーに遭遇しています。

ネットワークが米国財務省の主な目からの隠蔽を避けるために米国への直接的な露出から撤退し続ける中で、スペイン語、ベトナム語、インドネシア語市場への重要な拡大を行っています。これらの地域をターゲットとするローカライズされたテンプレートを使用して、その目標は米国財務省の主な目から隠れていても、違法な利益が流れ続けることを確認することです。

クリーンフロント企業の台頭

  • Bole CDN(cdnbl[.]com):時間的詐欺の典型的なケースでは、サイトは2015年以降10,000のクライアントに役立つことを主張しています。ただし、ドメインレコードは2025年3月に登録されたことを証明しています。
  • CDN1[.]ai:このフロント企業は、合法的な開発者を引き込むためにネスレなどのグローバルブランドと協力していると誤って主張しています。
  • その他のフロント:調査官はYunray[.]aiCDN5[.]com、およびCTGCDNをネットワークのシェルゲームの一部として識別しました。

フロント企業はしばしば人間のオペレーターに依存して採用を行い、特に見込み客とのコミュニケーションにTelegramアカウントt[.]me/sara5433を利用しています。「FUNNULL」ブランディングが見えないため、これらのエンティティを平均的なユーザーが悪意あるものとして識別することはほぼ不可能です。

CNAME チェーンマッピングで対抗

Triad Nexusが基盤防御の自動化を採用する中で、トラフィック経路のための9つの一次的で安定したCNAMEドメインの使用から、175以上のランダムに生成されたCNAMEドメインへのシフトを文書化しました。これらのドメインのそれぞれが、悪意あるクライアントウェブサイトのクラスタを取得したIPアドレスに接続します。

Image

インフラストラクチャのマッピングにはCNAME Chain Lookupが必要になりました。

従来のルックアップは単一のリンクのみを表示しますが、CNAME チェーンマッピングは最終的な目的地を隠すために使用される自動パス全体を明らかにします。一般的な悪意あるチェーンは次のようになります:

  1. クライアントドメイン(例:tripdsdvjea[.]com)
  2. 中間CNAME 1(例:kanejwo[.]com)
  3. 中間CNAME 2(例:iiauuw[.]com)
  4. 最終Aレコード(資金洗浄化されたIPアドレス。多くの場合AS152194に見られます)

Triad Nexus’ FUNNULL CDNインフラストラクチャの変化の追跡

Triad Nexus’ FUNNULL CDNは明らかに「インフラストラクチャアズコード」を心に留めており、広大なクライアントドメイン全体にわたってCNAMEドメインの変更を自動化しています。

新しいCDNとCNAME命名規則のテクニックへの可視性を提供する興味深いTriad Nexus FUNNULLクライアントドメインの1つの例は、alicdn9858[.]com全体ビュー)であり、2022年まで遡るFUNNULLからのCNAMEレコードに加えて、2022年7月にマップされた最初の11個の異なるFUNNULL CNAMEドメイン、funnull[.]vipを備えています。

上の画像に示されているように、ドメインは次のCNAMEを通じてローテーションしました:

  • funnull[.]org
  • funnull[.]vip
  • funnull6[.]com
  • funnull301[.]com
  • fn01[.]vip
  • fn02[.]vip
  • fn03[.]vip
  • fc686[.]xyz
  • dns888[.]xyz
  • kanejwo[.]com
  • attackcdn[.]com

上記のリストから、かなりのパターンの多様性が進行していることが明らかです。「FUNNULL」、「FN」、または「FC」は、以前の一般的なパターンでは、新しいCNAMEドメイン内で参照されなくなりました。

また、Triad Nexusが中間ドメインとしてAmazonなどの信頼されたサービスプロバイダーにインフラストラクチャを継続的にマップする方法を見ることができます。kanejwo[.]comをCNAMEドメインの例として使用します。Aレコードを確認すると、このCNAMEがAmazonの評判の成功した悪用にマップされることが確認されます。これは2025年9月に検出されました。IPアドレスがCNAMEにマップされたとき。

興味深いことに、この例では、Amazonはネットワークをレーダーに持っているようであり、FUNNULLは盗まれたAmazon IPを積極的にマップすることを停止したようです。

別の興味深い最近発見されたTriad Nexus CNAME、cdn899[.]com、(全体ビュー)は2020年12月までさかのぼる歴史を持っており、様々なASN全体の多数のIPにマップされています。2024年4月、Amazon IPはここに1か月間マップされ、その後削除されました。その後、4ヶ月間、CNAMEもそのクライアントインフラストラクチャも解決されませんでした。

この期間の後、2024年9月に、Cloudflare IPが再びこのCNAMEにマップされ、執筆時点で14ヶ月以上ライブのままです。Cloudflare IPは、cdn899[.]com CNAMEドメイン(下図を参照)に対してCloudflare Name Server記録が設定されているため、CNAMEを通じて伝播します:

Image
Image

さらに、cdn899[.]comはエンタープライズクラウドホストにマップされており、資金洗浄に使用される偽造カジノウェブサイトのネットワークの解決を支援しているのが見られます。他の低品質の成人およびギャンブルコンテンツと共に、すべて中国の視聴者をターゲットにしています。

クラスタリング仮説を強化すると、各CNAMEは異なる方法で設定されているようです。これは、2024年のレポートと一致しており、一意のCNAMEとCNAMEサブドメイン自体がクライアントインフラストラクチャをセグメント化するのに役立つことを決定しました。実行されているスキームの種類を区別するのにも役立ちました。ただし、そのパターンはもはや完全には成り立たなくなっています。

FUNNULL CNAME の例は、3つのテクニック、自動CNAME フェイルオーバー、新しいCNAME命名スキーマ、およびインフラ資金洗浄化をより正確に示しています。

  • CNAME マッピングドメインsmaooe[.]comフォワード A ルックアップ)は、2025年6月のAmazon IP、Cloudie(ASN 55933)、CTG Server(ASN 152194)からのDNS Aレコード、およびオランダからの1つのIPアドレス、RoyaleHosting(ASN 212477)の間で切り替えられました。エンタープライズIPがマップされていません。最後のものはMicrosoftで、2025年9月から2025年10月初旬まで続きました。執筆時点(2026年4月)では、マップされている唯一のIPはASN 55933、香港を拠点とするCloudieからのものです。
  • CNAME ドメインddge[.]ruフォワード A ルックアップ)は2025年を通じてほぼ40個の異なるASNからのIPにマップされており、Amazon の16509 ASNからのIPを含みます。任意の週に、これらのマッピングは削除される前に約1か月間のみ続きます。このサンプルについて注目すべきことは、短縮されたタイムフレームです。以前は、一部のAmazon IPは数ヶ月間マップされており、2025年に1つのIPが7か月連続でマップされ、別のIPが5か月間マップされていました。
Image
Image
  • 新しいTriad Nexus CNAME の一部は、CNAME ドメインdnycdn[.]comなどの他の主要なCDNを直接偽造しており、Oracleが所有するDynドメイン登録およびホスティングサービスを偽装しているようです。
  • このCNAMEは複数のエンタープライズサービスにマップされています。ただし、ASN 8075からのMicrosoft IPは定期的に月単位でマップされており、2025年6月から2025年11月までそこにマップされているいくつかのMicrosoft IPのみがあります。Cloudflare IPもそこにマップされたまま数か月間保持されており、Cloudflare Name Server記録はほぼ7か月間関連付けられたままです。
Image
Image

Triad Nexusの複雑なCNAMEチェーンとIPアドレス取得スキームを調査しながら、私たちのチームはCNAMEチェーン全体をマップするための新しい方法が必要であることに気付きました。従来の複数のCNAMEフォワード/リバースクエリをドメインごとに手動で実行する代わりに。

だから私たちは新しいものを作りました!

新しいSilent Push CNAME Chain Lookup ツールを使用すると、ディフェンダーは以前に見た任意のCNAMEドメインをフォーム内の「chain_domain」フィールドに送信できます。これにより、チェーンを通じてマップされたホスト、およびそのホストにマップされたIPアドレスと共に、見られた全体のCNAMEチェーンのリストが返されます。

この新しいツールは、特定のドメインをオンラインに保つために使用されるCNAMEドメイン、CNAMEチェーン、およびIPの完全な範囲を返す複数の検索オプションを提供します。本質的には、クライアントドメインとそれらのIPアドレスを複数のCNAMEドメインと一緒にチェーンするネットワークを研究するための完璧なツールです。

それがどのように機能するかの例はここで見ることができます:

「fn01[.]vip」FUNNULLドメインのCNAMEチェーンルックアップ

chain_domain = fn01.vip

Image

Triad Nexus/FUNNULL CDNの追跡を続行

私たちの先制的サイバー防御および研究チームは、Triad Nexus、FUNNULL CDN、および新しいクラウドホスティングフロント企業の追跡とレポートを継続します。

このレポートの調査結果に関する情報を共有するための組織がある場合、協働の機会を大歓迎します。

翻訳元: https://www.silentpush.com/blog/triad-nexus-funnull-2026/

ソース: silentpush.com
#DNS #FUNNULL CDN #Triad Nexus #インフラ資金洗浄化 #クラウド悪用 #サイバー犯罪 #ブランド偽造 #仮想通貨詐欺 #脅威インテリジェンス #詐欺

関連記事

ピボットペナルティへようこそ:ツール拡散がSOCチームの対応時間を低下させ、IRチームが同じインシデントを何度も再検討する原因

Silent Push Context Graph とは?先制的サイバー防御について説明

まだ起こっていない攻撃を暴く