ハッカーらは、ライブのTwitter/X認証情報詰め込みボットネットを効果的にロック解除された状態にしており、その完全なコマンド&コントロールスタック、ワーカーフリート、およびルートパスワードを、その場所を知っている誰もがアクセス可能な状態にしています。
C2はドイツのFalkensteインに拠点を置くHetznerでホストされているWindows Server 2019インスタンスで動作しており、RDP、SMB、WinRMはすべてFlaskパネルと共に露出しており、ほぼハードニングされていないビルドを示しています。
このアプリケーションはPython Flask、Socket.IO、およびChart.jsで構築されたシングルページダッシュボードで、Twitter/Xログインエンドポイントに対するアクティブな認証情報詰め込みパイプラインからのライブ統計をストリーミングしています。
GHOSTの研究者は144[.]76[.]57[.]92:5000で露出したFlaskベースのコントロールパネルを発見しました。「Twitter Checker Master Panel – FULL FIX v2.3」というブランドで、認証がまったくありません。ログインルートがなく、APIキーチェックがなく、セッション処理もありません。すべてのページとAPI呼び出しはポート5000のHTTP経由で直接アクセス可能です。
GHOSTは完全な98 KBのパネルソースをキャプチャし、認証制御の欠落と、運用を駆動するハードコーディングされたAPIレイアウトを確認しました。
完全なC2およびワーカーの露出
すべての操作機能は、認証なしのRESTエンドポイントにマッピングされており、サーバー管理、キャンペーン制御、設定、およびデータ流出が含まれます。
/api/serversへの単一の呼び出しは、各ワーカーノードのIP、ルートSSHパスワード、ヘルスステータス、およびインストール状態をプレーンテキストで返し、実質的に攻撃者自身のインフラストラクチャ認証情報を公開しています。
バルクエンドポイントにより、訪問者は全ワーカーにわたるチェックの開始、停止、再開、新しいコンボリストのアップロード、ヒット結果のダウンロード、新しいプロキシリストのプッシュ、またはリザルトファイルの削除が可能となり、外部者がボットネットを完全に制御できるようにします。
C2の背後には、31[.]58[.]245[.]0/24ネットワークに18個のLinuxワーカーサーバーがあり、すべてトルコのアンカラに拠点を置くKomuta Savunma Yuksek Teknoloji Limited Şirketi所有で、ポート22のルートSSH経由でアクセス可能です。
サーバーラベルはトルコ語の「Sunucu」を使用しており、Sunucu 8からSunucu 25までの番号が付けられており、少なくとも7つの廃止されたノードの前の世代を示唆しています。
2026年4月10日の12分間の観測ウィンドウの間に、GHOSTはパネルがリアルタイムで722,763個のTwitter/X認証情報ペアをテストし、18個の新しい侵害されたアカウントをそのヒットリストに追加するのを監視しました。
ライフタイムカウンターは4,862,580個のアカウントがチェックされ、138回の成功した乗っ取りを示しており、パーセンテージ用語では大体0.0028パーセントですが、1日に数百万回の試行で駆動される場合は有意義です。
テレメトリはまた、2FAがこのアクティビティをどの程度ブロックするかを露出させます:テストされたアカウントの4,163,790個(約85.6パーセント)は2要素チャレンジを返し、ツールによって即座に破棄されました。
211,662個のアカウントのみが2FAなしの有効なパスワードを持っており、そのうち138個のみが完全に侵害されており、ボットネットが基本的なパスワード専用の乗っ取りに制限されていることを強調しており、より高度なバイパス技術ではありません。
トルコ人オペレーターとパスワードパターン
帰属指標は、ローカルインフラストラクチャに固定されたトルコ語を話すオペレーターを強く指しています。
ウェブUIの全体がトルコ語で、「Sunucu Ekle」(サーバーの追加)、「Toplu Baslat」(一括開始)、「Canli Istatistikler」(ライブ統計)などのラベルを使用してワーカー、ファイル、ヘルス管理を駆動しています。
18個のワーカーすべてがKomuta Savunmaに登録された比較的新しい/24ブロックで実行され、そのRIPEエントリはDecember 2024に遡り、良性のトルコ企業の混合をホストしており、専用の防弾ホスティングではなく小規模な地域ホスティングプロバイダーと一致しています。
ルートパスワードは同じパターンに従います:12文字の小文字の16進文字列の直後に「kmt.!」が続き、おそらくKomutaのニーモニックに静的な複雑さのサフィックスが続きます。
この均一なスキームは、2025年12月25日から2026年1月31日の間の3つのデプロイメント爆発に見られるように、サーバーを波状にプロビジョニングする単一のアクターまたはタイトなチームによって制御される自動ビルドパイプラインを示唆しており、その後2月下旬の調整されたツールロールアウトが続きます。
規模で運用し、独自のインフラストラクチャを広告しているにもかかわらず、ボットネットは主要な公開脅威フィードで見えないままです:VirusTotalはC2とワーカーのIPについてゼロの検出をリストし、報告時点でThreatFox、URLhaus、またはAbuseIPDBで記録されたカバレッジはありません。
その盲点は、impact[.]gradientconnectedai[.]comの有効期限切れのLet’s Encrypt証明書をまだ保持している再利用されたHetznerサーバーと組み合わせて、コモディティ認証情報詰め込みが汎用クラウドホスト上で静かに持続する方法を強調しています。
防御者にとって、運用は3つのコア要点を強化します:このキャンペーンがそれを一時停止として扱うため、可能な限りTwitter/Xで2FAを有効にします。共有IPブロックからの大量のチェックを調整するために、認証エンドポイントに強力なレート制限と異常検出を実装します。
翻訳元: https://gbhackers.com/botnet-exposed/
