每个月有35个伪造的政府网站上线,21个国家的公民在不知情的情况下下载"官方App",然后银行账户被清空。这不是电影剧本,是Infoblox安全团队和越南非营利组织Chong Lua Dao刚刚曝光的一条完整黑产链。
更魔幻的是,发送钓鱼邮件的人自己也是受害者——他们被贩卖到柬埔寨西哈努克市的K99凯旋城园区,在武装看守下被迫工作。
一次DNS异常牵出的"恶意软件即服务"帝国
事情始于Infoblox客户网络中异常的DNS流量 spike。安全研究员顺着这条线索,发现了一个此前从未被记录的恶意软件即服务(MaaS,Malware-as-a-Service)平台。
这个平台运作得像正规SaaS公司一样"专业":每月注册约35个新域名,覆盖印尼、泰国、西班牙、土耳其等21国。域名专门仿冒政府和银行官网,界面做得足以乱真。
攻击链条设计得相当"用户友好":受害者下载假App后,要走完完整的KYC(Know Your Customer,实名认证)流程——上传身份证、刷脸、录视频。 attackers 在这个过程中收割全套个人数据加生物特征,一鱼多吃。
App装上后,手机就成了透明盒子:短信被拦截(包括银行验证码), attackers 还能直接操控正版银行App完成转账。
整个流程不需要受害者输入密码或二次确认。钱没了,很多人第一反应是银行系统故障。
园区里的"客服":被贩卖的技术工人
链条的末端,是K99凯旋城的几栋建筑。这座位于柬埔寨西哈努克市的园区,去年已被联合国点名涉及大规模诈骗和强迫劳动。
几名被困工人设法联系到Chong Lua Dao求救。被解救后,他们交出了内部群聊记录、截图和运营数据——证据链完整到可以直接当法庭证物。
这些材料证实:K99园区内部运行着一套服务化的恶意软件分发体系,Infoblox追踪的多个域名正是该体系的对外接口。换句话说,你收到的钓鱼链接,可能是某个被关在房间里的人,在监控摄像头下敲出来的。
园区运作高度军事化。工人按"业绩"分组,完不成指标面临体罚或转卖。技术岗位相对"吃香"——懂点代码的人会被安排维护MaaS平台,而不是打诈骗电话。
政商关系网:谁在给园区开绿灯
调查挖出了更棘手的层面。K99的准入不是有钱就能进,而是由一个小而紧密的群体控制,成员有政治背景。
浮出水面最显眼的名字:Kok An参议员。公开记录显示他是柬埔寨商界资深人物,与执政党关系深厚。园区运营需要电力、网络、武装安保,这些在柬埔寨都不是纯商业能解决的事。
研究人员没有直接指控Kok An参与犯罪,但指出这种"政治掩护"结构让园区得以长期存在,即使国际压力不断。
这不是孤例。东南亚近年涌现大量类似"诈骗园区",从缅甸妙瓦底到柬埔寨西哈努克,模式高度雷同:武装看守、强迫劳动、多国目标、政商勾连。K99的特殊之处在于,它把传统电信诈骗升级成了工业化规模的MaaS服务——技术外包、客户定制、持续迭代。
35个月后的下一个目标是谁
对普通用户来说,这套攻击最难防的点在于"官方感"。域名是.gov.xx的变体,App界面和正版几乎像素级复刻,KYC流程甚至比某些正规银行还繁琐——越繁琐,受害者越觉得"靠谱"。
Infoblox的建议很实际:政府机构和银行应考虑主动监控相似域名注册,而不是等钓鱼网站上线后再封禁。但对个人,除了老生常谈的"别点链接",似乎没太多新招。
被解救的工人透露了一个细节:园区内部把目标国家分成"热区"和"冷区",35的月注册量会根据某国近期重大政策调整——比如养老金改革、税务申报季——动态倾斜。攻击不是随机的,是算过ROI的。
当你的手机弹出"社保局"通知要求更新信息时,你怎么判断对面是公务员还是被困在柬埔寨某个房间里、被迫每小时发送200条消息的人?
热门跟贴