米国がトライアドネクサスサイバー犯罪シンジケートに対して行った高名な制裁に続いて、彼らのインフラストラクチャは甚大なダメージを受けるように見えました。しかし1年後、この集団は完全に回復するだけでなく、運用上のセキュリティを大幅に強化し、世界中の法執行機関と企業に対して強大な課題を提示しています。
Silent Pushによる調査によると、トライアドネクサスは存在する最も利益の多い詐欺エコシステムの1つであり続けています。2020年以来、このネットワークは2億ドルを超える損失に関連しており、彼らの主な収入源は「豚の屠殺」詐欺と暗号通貨詐欺から得られており、個々の被害者の損失は平均して驚くべき15万ドルです。2025年の制裁に続いて、運営者は西側の企業目標への継続的な関心を維持しながら、新興市場への焦点をシフトさせました。
このグループは「インフラロンダリング」として知られるタクティックを巧みに採用しています。疑わしいサーバーに依存する代わりに、敵はAmazon、Cloudflare、Google、Microsoftなどのエリートクラウド環境内のアカウントをハイジャックまたは調達します。この戦略は詐欺的なドメインを正当性の見かけで隠し、洞察力のある利用者の間でも信頼を生み出しています。コアの技術的基盤はCTGサーバーリミテッドネットワークに結びついたままですが、検出を難しくするために多数のセグメント全体に断片化されています。
トライアドネクサスは著名なブランドの偽造を産業化しています。調査により、銀行ポータル、決済プロセッサ、およびティファニー、カルティエ、シャネルなどのラグジュアリーブランドの精巧な複製が発見されました。彼らの運営の別の部門はベトナム郵便を含む物流エンティティと政府機関になりすまし行為を行っています。これらの手段を通じて、シンジケートは認証情報と個人情報を収集し、25以上の主要銀行機関を含む金融取引を仲介しています。
コンピュータサーバー
制裁後の計算された防御姿勢として、ネットワークは米国内のユーザーに対するジオフェンシングを開始しました。米国のIPアドレスから彼らの多くのドメインへのアクセス試行は、「法的理由」による利用不可通知をもたらします。このタクティックは規制当局の監視を回避するために設計されています。同時に、トライアドネクサスはヒスパニック地域、ベトナム、インドネシアに積極的に拡大し、彼らの詐欺的プラットフォームのローカライズされたバージョンを展開しています。
彼らの痕跡をさらに隠蔽するため、シンジケートは「洗浄された」ペーパーカンパニーを設立しています。BoleCDNやCDN1.aiのような正当なコンテンツ配信ネットワーク(CDN)のふりをして、彼らはクライアントとパートナーを勧誘し、以前に侵害されたFUNNULLインフラから自らを効果的に距離を置きます。調整のため、彼らはTelegramを含む暗号化メッセージングプラットフォームを利用しており、オペレーターはサービス購入見込み顧客と直接やり取りしています。
技術的アーキテクチャも同様に複雑性が進化しています。ネットワークがかつて限定的なドメインレパートリーに依存していたのに対し、現在は数百のランダムなCNAMEチェーンを利用してサーバーの真の出所を隠しています。これに対抗するため、専門家はCNAMEチェーンルックアップツールを開発しました。これにより、アナリストは複雑なリダイレクト連鎖を解きほぐし、インフラストラクチャの最終ノードを特定できます。
アナリストは、従来の防御措置はもはやそのような回復力のあるネットワークに対しては十分ではないと結論づけています。トライアドネクサスは高度な自動化とアーキテクチャの機動性の例であり、プロアクティブな防御とより詳細なネットワークトラフィックフォレンジックスへの転換が必要です。
