被美国财政部制裁后,一个亚洲网络犯罪集团花了多久重建全球业务?答案是:14个月。而且他们学会了用亚马逊、谷歌、微软的服务器当掩护。

被制裁后,他们换了一套更隐蔽的打法

打开网易新闻 查看精彩图片

2024年5月,美国财政部对FUNNULL内容分发网络实施联邦制裁。这个团伙原本靠FUNNULL的CDN基础设施快速部署诈骗网站,专仿Tiffany、Cartier、Chanel这些奢侈品牌,还有西联汇款、速汇金、富国银行、高盛、美国银行的金融页面。

制裁生效后,他们没有收手,而是迅速转向研究人员称为"基础设施洗钱"的新模式。

具体操作上,该团伙开始劫持亚马逊云服务(Amazon Web Services)、Cloudflare、谷歌、微软这些主流云平台上的合法企业账户。把恶意流量路由进这些可信平台后,假网站看起来就像真的一样,检测和拦截难度陡增。

Silent Push的研究人员指出,这是该团伙战术上的重大进化——他们放弃了固定的CNAME域名,改用超过175个随机生成的CNAME域名轮换池,每个域名把成簇的诈骗网站连接到被盗或非法获取的IP地址。

这种"域名+IP"的双重随机化,让传统的黑名单防御几乎失效。你今天封了一个域名,明天它已经换到下一个。

10亿美元损失背后的"杀猪盘"流水线

该团伙不是新面孔。自2022年起,这个深植于亚洲有组织犯罪网络的集团就在运营投资诈骗、洗钱平台和非法赌博网站。

他们的核心手法叫"杀猪盘"——不是一次性骗完就跑,而是花几周甚至几个月培养感情,让受害者自愿把大额资金投入假的加密货币平台。平均每个受害者损失约4.7万美元,总报案损失超过10亿美元。

这个数字可能还只是冰山一角。很多受害者因羞耻感或追回无望而选择沉默。

为了躲避制裁后的执法压力,该集团还启动了一系列"干净"的壳公司。这些实体有专业的品牌包装和伪造的运营历史,专门用来制造信任感。

一个典型例子是伪装成CDN服务商的cdnbl.com,声称自2007年起服务客户。但域名注册记录显示,它实际创建于2024年3月。17年的公司历史,全是编的。

为什么说这是"基础设施即服务"的黑暗面

这个案例暴露了一个被忽视的问题:云计算的普及正在降低网络犯罪的门槛,但提高的是执法的门槛。

该团伙的"基础设施洗钱"之所以有效,是因为它利用了云平台的信任机制。当流量来自AWS或Google Cloud的IP段时,安全工具会天然降低警惕。企业防火墙、邮件过滤器、威胁情报平台——这些防御层都建立在"大平台=相对可信"的假设上。

该集团的进化路径也很清晰:2022-2024年初,依赖FUNNULL这种专门服务于灰黑产的CDN;2024年5月后,转向"寄生"主流云服务商。这不是技术升级,而是风险转移——把被制裁、被封禁的风险,转嫁给无辜被盗用的企业账户。

对于云平台来说,这成了两难。加强账户审核会提高企业客户的 friction(摩擦成本),放任则成为犯罪基础设施的温床。目前看,该团伙能批量劫持账户,说明现有的风控机制存在可被规模化利用的漏洞。

175个域名轮换:对抗检测的技术细节

Silent Push的分析揭示了更多技术层面的对抗手段。

该集团的CNAME域名不是静态列表,而是动态轮换。每个域名生命周期极短,可能只活跃数小时到数天。这种"速朽"设计让基于域名的威胁情报几乎滞后——等你分析完、入库、同步到防御设备,对方已经换了一批。

更麻烦的是,这些CNAME指向的IP地址也来自被盗用的云账户。这意味着IP的"信誉"是真实的、历史的,而非新注册的恶意地址。传统的基于IP信誉的拦截策略会失效。

对于安全团队来说,这迫使他们从"黑名单思维"转向行为检测:不看流量从哪里来,看流量在干什么。但行为分析的误报率更高,运营成本更重。

该团伙显然算准了这一点。他们的诈骗页面制作精良,像素级复刻正品网站,连交互细节都模仿到位。