あるメールをきっかけに、現在最大規模のフィッシング キャンペーンの 1 つを調査することになりました。
2026 年 5 月 2 日
著者: フアン・マシューズ レベロ・サントス
1. エグゼクティブサマリー
この技術レポートは、賞品の通知と保留中の入金を含む詐欺メールを受け取った私が行ったフォレンジック調査を記録したものです。分析の結果、フィッシング、スケアウェア、アフィリエイト詐欺キャンペーンを国際規模で実行している高度なサイバー犯罪インフラが明らかになりました。
調査中に、次のようなリダイレクトのチェーンを特定しました。
- ソーシャルエンジニアリングを使用した電子スパム。
- Cloudflare Pagesインフラストラクチャの悪用。
- コンゴ民主共和国における政府職員の関与。
- 指揮統制インフラストラクチャー (C2);
- ドメイン生成アルゴリズム (DGA) の使用。
- ワイルドカード SSL 証明書。
- Impact Radius を介した Norton/Gen Digital アフィリエイト プログラムによる収益化。
この運用では、高度な技術的プロフェッショナリズム、分析回避、悪意のあるキャンペーンの自動化が実証されています。
2. 調査の起源
調査は、次のアドレスに送信された明らかに偽造された電子メールを受け取った後に始まりました。
```テキスト [email protected] 「」
メッセージの件名は次のとおりです。
```テキスト 賞品コード 「」
電子メールの内容には、アラビア語のテキストと経済的緊急性のメッセージが混在していました。これは、スパム対策フィルターを妨害し、正当性を高めるために使用される戦略です。
特定された抜粋:
```テキスト شكراً على مشاركتك في المسابقة يرجى الاحتفاظ بالكود للمراجعة عند السحب 「」
おおよその翻訳:
```テキスト 「コンテストにご参加いただきありがとうございます。 抽選中は確認用にコードを保管してください。」 「」
メッセージには、プロモーション コードと思われるものも含まれていました。
```テキスト コード: 9132289937520370 「」
ただし、この電子メールの本当の目的は、ユーザーをだましてメッセージの途中に挿入された悪意のあるリンクをクリックさせることでした。
```テキスト ⚠️ 緊急: $3,639.00 の入金は保留中です。今すぐ確認してください: https://obs.regideso.cd/?8nqrpm 「」
コンテンツには、個人化と正当性の感覚を追加するために私の電子メール アドレスも表示されました。
```テキスト [email protected] 「」
分析により、電子メールは以下を組み合わせて作成されていることが判明しました。
- 偽の賞;
- 経済的な緊急性。
- 外国語;
- ソーシャルエンジニアリング;
- 詐欺の部分的な隠蔽。
目的は、被害者にすぐにクリックさせることでした。
3. 悪意のあるリダイレクト チェーン
リンクにアクセスする場合:
```テキスト https://obs.regideso.cd/?8nqrpm 「」
私は、ドメインが操作内の中間中継としてのみ機能していることを確認しました。
調査中に確認された完全なフローは次のとおりです。
```テキスト スパムメール ↓ obs.regideso.cd ↓ linen-wharf-river.pages.dev ↓ yandehyto.com のランダムなサブドメイン ↓ スケアウェア/フィッシングエンドドメイン 「」
特定された最終目的地は次のとおりです。
「ペルノリバ.ショップ」
「baleiddiste.com」
* phidatharacce.com
このアーキテクチャは、インフラストラクチャ難読化の専門的なチェーンを示しており、追跡、自動ブロック、フォレンジック分析を困難にしています。
4. コミットされたリレーの分析
ドメイン:
```テキスト obs.regideso.cd 「」
IP に解決されます:
```テキスト 161.35.30.54 「」
DigitalOcean インフラストラクチャでホストされます。
この資産はコンゴ民主共和国の公共水道会社に属しているようです。
- レジデソ SA
Web 環境の分析中に、次のことが判明しました。
- 許可されていない PHP ファイル;
- リダイレクターとして機能するスクリプト。
- Laravel環境への露出;
- バックエンドはデバッグ モードで動作します。
観察されたファイル:
info.phpindex.php
内部サーバーの絶対パスも公開されました。
```テキスト C:\api-factures\api-factures\ 「」
この情報の公開により、Laravel フレームワークの深刻な強化上の欠陥と安全でない構成が確認されます。
5. 指揮制御インフラストラクチャ (C2)
運用の中核は、次のように動作するサーバーに集中されました。
- 中央リダイレクター;
- クリックトラッカー; *収益化ゲートウェイ;
- およびキャンペーンコントローラー。
識別されたエンドポイント:
```テキスト /click.php 「」
6. 回避テクニック
6.1 分析に対するクローキング
サーバーが以下に対してアクティブ クローキングを実装していることを確認しました。
- 研究者;
- 自動スキャナ;
- データセンター IP;
curlやNmapなどのツール。
疑わしい環境を検出すると、サーバーは次のように応答しました。
```http HTTP/1.1 302見つかりました 場所: http://yahoo.com/ 「」
または:
```http 場所: http://google.com/ 「」
この技術により、悪意のあるランディング ページがセキュリティ システムにさらされる可能性が大幅に減少します。
6.2 DGA とワイルドカード DNS
調査中に、ドメイン内でワイルドカード DNS が広範囲に使用されていることを確認しました。
```テキスト ヤンデヒト.com 「」
ランダムなサブドメインはすべて C2 サーバーに正しく解決されました。
特定された例:
q5tzrz.yandehyto.comsj9k9f.yandehyto.comwhonou.yandehyto.com
この技術を使用すると、新しいドメインを登録することなく、URL を無限にローテーションできます。
6.3 ワイルドカード SSL 証明書
オペレーターは、Let's Encrypt によって発行された有効なワイルドカード証明書を使用しました。
```テキスト *.yandehyto.com 「」
これにより、動的に生成されたすべてのサブドメインに対して有効な HTTPS が許可され、詐欺の信頼性が高まりました。
7. ペイロードスケアウェアの分析
リダイレクト後、被害者は次の場所にホストされているページにリダイレクトされました。
「ペルノリバ.ショップ」
「baleiddiste.com」
* phidatharacce.com
これらのページは、次のインターフェイスをシミュレートする悪意のある JavaScript を実行しました。
- マカフィー トータル プロテクション
コードには次のような関数が含まれていました。
```JavaScript start_circleProgress() 「」
偽のウイルス対策スキャンをシミュレートし、存在しない脅威を表示します。
Win32/Hoax.Renos.HX- 「トロイの木馬 IRC/Backdor.Sd.FRV」
私は次のことも特定しました:
- フルスクリーン API の使用;
- ナビゲーションのブロック;
- タブフォーカスキャプチャ;
onbeforeunloadのインターセプト。
目的は、心理的圧力をかけて被害者にウイルス対策製品をすぐに購入するよう誘導することでした。
8. アフィリエイト詐欺
最終的な収益化は、以下からの正規のページへのリダイレクトによって行われました。
ノートンライフロック ジェネデジタル
このキャンペーンはアフィリエイト プラットフォームを悪用しました。
- 衝撃半径
見つかった識別子:
```テキスト パートナーID: 3076190 キャンペーンID: 4405 「」
この運用モデルは、スケアウェアによって引き起こされる恐怖を金融手数料に変換しました。
9. 法医学的証拠
HTTP リダイレクト
```http HTTP/1.1 302 が見つかりました サーバー: nginx/1.28.0 日付: 2026 年 5 月 1 日金曜日 20:12:37 GMT 場所: https://sj9k9f.yandehyto.com/click.php?lp=1&uclick=d7qg... 「」
クローキングの検出:
```テキスト [検出がトリガーされました] -> http://yahoo.com/ にリダイレクトします 「」
SSL証明書
```テキスト 深さ=0 CN = yandehyto.com
X509v3 サブジェクトの別名: DNS:*.yandehyto.com DNS:yandehyto.com
発行者: C = 米国 O = 暗号化しましょう CN = E7 「」
10. コミットメントの指標 (IOC)
IP
161.35.30.54
ドメイン
smilingtooth.com.saobs.regideso.cdlinen-wharf-river.pages.dev「ヤンデヒト.com」 「baleiddiste.com」phidatharacce.com*「ペルノリバ.ショップ」ペルノリバ.ペルノリバ.ショップ
DGA サブドメイン
q5tzrz.yandehyto.comsj9k9f.yandehyto.comwhonou.yandehyto.com
アフィリエイト ID
```テキスト 衝撃半径パートナー ID: 3076190 キャンペーンID: 4405 「」
11. 結論
実施された調査全体に基づいて、分析されたキャンペーンは以下を使用した高度に専門的なサイバー犯罪活動を表していると結論付けました。
- フィッシング;
- スケアウェア;
- クローキング;
- DGA;
- 合法的なインフラストラクチャの悪用。
- アフィリエイト詐欺;
- および侵害されたサードパーティサーバー。
このオペレーションでは、次の点で強力な技術的能力が実証されています。
- 分析回避。
- ソーシャルエンジニアリング;
- 不正な収益化。
- キャンペーンの自動化;
- そしてインフラの隠蔽。
12. 信頼できる参照と URL の分析
以下は、脅威インテリジェンス プラットフォームでのドメインと URL の分析を証明するリンクです。
ウイルス合計
- https://www.virustotal.com/gui/domain/obs.regideso.cd
- [https://www.virustotal.com/gui/url/3545ac05fc6a737918d3e0d5953b61547602a797a33f8fb6addaedc21667c39f?nocache=1] (https://www.virustotal.com/gui/url/3545ac05fc6a737918d3e0d5953b61547602a797a33f8fb6addaedc21667c39f?nocache=1)
- https://www.virustotal.com/gui/domain/linen-wharf-river.pages.dev
- https://www.virustotal.com/gui/domain/yandehyto.com
- https://www.virustotal.com/gui/search?query=q5tzrz.yandehyto.com
- https://www.virustotal.com/gui/search?query=sj9k9f.yandehyto.com
- https://www.virustotal.com/gui/search?query=whonou.yandehyto.com
- https://www.virustotal.com/gui/domain/baleiddiste.com
- https://www.virustotal.com/gui/domain/phidatharacce.com
- https://www.virustotal.com/gui/domain/pelnoriva.shop
- https://www.virustotal.com/gui/domain/pelnoriva.pelnoriva.shop
AlienVault OTX
IPDB の悪用
センシス
- https://search.censys.io/search?resource=hosts&q=baleiddiste.com
- https://search.censys.io/search?resource=hosts&q=linen-wharf-river.pages.dev
- https://search.censys.io/search?resource=hosts&q=pelnoriva.pelnoriva.shop
- https://search.censys.io/search?resource=hosts&q=pelnoriva.shop
- https://search.censys.io/search?resource=hosts&q=phidatharacce.com
- https://search.censys.io/search?resource=hosts&q=q5tzrz.yandehyto.com
- https://search.censys.io/search?resource=hosts&q=sj9k9f.yandehyto.com
- https://search.censys.io/search?resource=hosts&q=smilingtooth.com.sa
- https://search.censys.io/search?resource=hosts&q=whonou.yandehyto.com
- https://search.censys.io/search?resource=hosts&q=yandehyto.com
セキュリティトレイル
- https://securitytrails.com/domain/baleiddiste.com
- https://securitytrails.com/domain/linen-wharf-river.pages.dev
- https://securitytrails.com/domain/pelnoriva.pelnoriva.shop
- https://securitytrails.com/domain/pelnoriva.shop
- https://securitytrails.com/domain/phidatharacce.com
- https://securitytrails.com/domain/q5tzrz.yandehyto.com
- https://securitytrails.com/domain/sj9k9f.yandehyto.com
- https://securitytrails.com/domain/smilingtooth.com.sa
- https://securitytrails.com/domain/whonou.yandehyto.com
- https://securitytrails.com/domain/yandehyto.com
urlscan.io
- https://urlscan.io/search/#baleiddiste.com
- https://urlscan.io/search/#linen-wharf-river.pages.dev
- https://urlscan.io/search/#pelnoriva.pelnoriva.shop
- https://urlscan.io/search/#pelnoriva.shop
- https://urlscan.io/search/#phidatharacce.com
- https://urlscan.io/search/#q5tzrz.yandehyto.com
- https://urlscan.io/search/#sj9k9f.yandehyto.com
- https://urlscan.io/search/#smilingtooth.com.sa
- https://urlscan.io/search/#whonou.yandehyto.com
- https://urlscan.io/search/#yandehyto.com
初段
- https://www.shodan.io/search?query=baleiddiste.com
- https://www.shodan.io/search?query=linen-wharf-river.pages.dev ※https://www.shodan.io/search?query=pelnoriva.pelnoriva.shop ※https://www.shodan.io/search?query=pelnoriva.shop
- https://www.shodan.io/search?query=phidatharacce.com ※ https://www.shodan.io/search?query=q5tzrz.yandehyto.com
- https://www.shodan.io/search?query=sj9k9f.yandehyto.com
- https://www.shodan.io/search?query=smilingtooth.com.sa
- https://www.shodan.io/search?query=whonou.yandehyto.com
- https://www.shodan.io/search?query=yandehyto.com
注: 悪意のある活動および侵害の兆候は、すでに適切な当局に報告されています。