Malanta является киберразведывательной компанией, которая в Юго-Восточной Азии сумела раскрыть наиболее разветвленную и долговечную инфраструктура киберпреступности. Опубликованное в декабре 2025 года исследование показало, что группе злоумышленников уже более 14 лет.
Она начинала с 2011 года, развинув за это время огромную криминальную экосистему, которая совместила разные направления, среди которых:
- Нелегальные азартные игры.
- Распространение вредоносных программ.
- Кража цифровых активов.
- Масштабное злоупотребление легитимными онлайн-ресурсами.
Масштабы этой инфраструктуры
По оценкам компании Malanta, инфраструктура содержит:
- 236 000 доменов, которые связаны с онлайн-казино и ставками.
- 90 000 доменов, которые похитили у легитимных владельцев.
- 1481 поддомен, который используется в качестве вспомогательных технических узлов.
- Широкую сеть Android-вирусов, которые распространены через облачные сервисы, в том числе Amazon Web Services.
Исследователями отмечается: для прикрытия деятельности преступниками активно используются Cloudflare, американские IP-адреса. Этим усложняется отслеживание первоисточника трафика.
Доступы к азартным сервисам строго ограничиваются по геолокации — сайты можно открыть лишь пользователям из Индонезии.
Для регистрации и финансовых операций необходимы местные телефоны (+62) и счета популярных индонезийских банков: BCA, Mandiri и BRI, а также платежных системах DANA и OVO.
Угнанные госдомены и скрытые каналы связи
Особым вниманием у специалистов пользуется использование угнанных госдоменов, на которых злоумышленниками были развернули обратные прокси. Через них удавалось:
- Скрывать каналы управления вредоносным ПО.
- Перенаправлять и маскировать трафик.
- Перехватывать куки и другие чувствительные данные.
Проведенное исследование показывает
Проведенным расследование выявлено 480 фишинговых доменов, которые подделывают такие популярные мировые бренды, как: Slack, Amazon, Facebook и другие. Именно через них происходило распространение вредоносных приложений для Android.
Компанией Malanta обнаружены тысячи APK-файлов, в которых были дополнительные вредоносные модули для сбора данных, удаленного доступа и установки дальнейших нагрузок.
Хостинг эксплойтов операторов сети использовал 38 временных GitHub-аккаунтов, которые регулярно создавались и удалялись, помогая им избегать автообнаружения.
На дарквеб-маркетплейсах специалистами выявлено 51 000 украденных учетных записей, которые предположительно получены в ходе деятельности этой же криминальной инфраструктуры.
Финансовые оценки и рекомендации
Malanta дает оценку и годовым затрата злоумышленников на содержание сети, то есть от приобретения серверов до прокси-инфраструктуры и систем хранения - в диапазоне от 725 тысяч до 3 миллионов долларов.
Исследователи отмечают, эти масштабы и длительность операций напоминают больше деятельность хорошо организованных групп, возможно даже спонсируемых государством.
Компанией опубликован список обнаруженных доменов на GitHub, но поддоменные записи не были включены. По мнению экспертов, их раскрытие может стать провокацией повторных атак или причинением вреда незаметным компрометированным ресурсам.
- Регулярная проверка DNS-записей и истории домена.
- Отслеживание подозрительных изменений SSL-сертификатов.
- Проведение аудита цифровых активов и внедрение постоянного мониторинга инфраструктуры.
- Усиление контроля за использованием корпоративных Android-устройств.
Специалистами Malanta даны именно такие рекомендациям организациям в регионе и за его пределами.
