詐欺、マネーロンダリング、および違法ギャンブル操作の中核となっている違法ネットワーク Triad Nexus は、制裁を回避するためにさまざまな技術とフロント企業を使用していると、Silent Push が報告しています。
2020年以降に活動している違法サイバー犯罪操作は、主に「豚の屠殺」と呼ばれる高度な暗号資産投資詐欺(CIF)詐欺が原因で、2億ドル以上の損失を引き起こしてきました。
アジア組織犯罪に関連している同グループは、歴史的に様々なタイプの詐欺を助長するために Funnull コンテンツデリバリーネットワーク(CDN)に依存していました。
昨年米国が Funnull に制裁を加えた後、Triad Nexus はインフラロンダリング、フロント企業の使用、およびジオフェンシングを通じてフィリピンを拠点とする企業から距離を置こうと試みました。
「2025年の連邦制裁にもかかわらず、同グループはグローバルな詐欺エンジンを復活させ、西側のエンタープライズ資産への継続的な脅威を維持しながら新興市場に焦点をシフトさせています」と、Silent Push は最新のレポートで述べています。
Triad Nexus の活動は 2024年に詳細が明らかになりました。その際、Silent Push は Funnull を通じてプロキシされていた 200,000 個のユニークなホスト名を分析し、同グループをPolyfill 攻撃および大手ブランドを対象とした小売フィッシング詐欺に関連付けました。
現在、サイバー防御企業は、不正なアカウント取得のためにアカウント・ミュールに依存するインフラロンダリング操作の一部として、Triad Nexus による Amazon、Cloudflare、Google、および Microsoft のクラウドサービスの悪用に注目しています。
「これにより、その詐欺は『正当性の外観』、高速度、および技術に精通した西側の視聴者でさえ抵抗できないプロフェッショナルなパフォーマンスを備えることになります」と、Silent Push は述べています。
同時に、同グループは AS152194(CTG Server Limited)をその操作の堅牢なバックボーンとして引き続き依存しています。
仮想通貨投資詐欺に従事することに加えて、Triad Nexus はブランド詐称に特化しており、Cartier、Chanel、Coach、eBay、Kering、Macy’s、Rakuten、Tiffany、TripAdvisor、およびベトナム郵便を含む多くの組織のウェブサイトのピクセル完全なクローンを作成しています。
また、Bank of America、Goldman Sachs、Etsy、iTrustCapital、MoneyGram、Royal Bank of Canada、Wells Fargo、および Western Union などの金融機関もターゲットにしました。
制裁後の監視を回避するために、同グループは米国ブロックを実装し、米国の IP アドレスから違法ドメインへのアクセスを防ぎました。
「ネットワークが検出を回避するために米国への直接的な露出から引き続き撤退する一方で、スペイン語、ベトナム語、およびインドネシア市場に重点的に拡大しています。これらの地域をターゲットにするためにローカライズされたテンプレートを使用し、その目標は不正な利益の流れが継続することを確保することです」と、Silent Push は説明しています。
Funnull ブランドから距離を置くために、Triad Nexus は米国制裁前からクリーンなフロント企業を使用しています。これらには Bole CDN、CDN1[.]ai、Yunray[.]ai、CDN5[.]com、および CTGCDN が含まれます。
さらに、同グループは 175 以上のランダムに生成された CNAME ドメインへのトラフィック ルーティングを開始し、それぞれを異なる方法で設定してクライアント インフラストラクチャをセグメント化し、複数のエンタープライズ サービスにマップしました。
翻訳元: https://www.securityweek.com/triad-nexus-evades-sanctions-to-fuel-cybercrime/
