區塊鏈

「三合會」網路/FUNNULL在制裁後的基礎設施重建

金色財經

事件概述

Triad Nexus是一個與亞洲有組織犯罪生態系統相關的欺詐基礎設施網路,主要從事加密貨幣投資詐騙和高仿品牌冒充活動。歷史上, 該網路一直與 FUNNULL CDN 緊密關聯。2025年5月,美國財政部將FUNNULL列為基礎設施提供商,指其支持「數十萬」個虛擬貨幣投資詐騙網站,並指出其與多起案件存在直接關聯,這些案件中美國受害者報告的損失總額超過2億美元。 同期,聯邦調查局發布了一份FLASH報告,向私營部門共享了CNAME和域名的入侵指標(IOCs)。


截至2026年4月,Silent Push披露,該網路在受到制裁後已完成「去FUNNULL化」及基礎設施洗白流程。這包括對前端營運進行品牌重塑,使用「乾淨」 空殼公司、針對美國實施地理圍欄,並將業務擴展至越南、印度尼西亞及西班牙語市場。



對於非技術讀者而言,此次事件的核心並非某種具體的「病毒」,而是一個工業化詐騙平台。 它像SaaS(軟體即服務)一樣運作,用於批量生成域名、輪換雲IP,並重複使用偽造的頁面模板,將受害者引導至欺詐性的投資、支付或KYC頁面。 本質上,這更像是一條「詐騙供應鏈」,而非孤立的假網站集合。


時間線

以下時間線重點展示了過去30天內披露的事件,並追溯了該網路的演變過程:


時間軸中的關鍵證據包括美國財政部2025年5月29日的制裁公告、聯邦調查局(FBI)同日發布的FLASH報告,以及Silent Push於2026年4月14日發布的關於「制裁後持久化」的技術披露。美國財政部明確指出,FUNNULL支持了「數十萬」個受影響的網站;聯邦調查局在技術通告中量化了其基礎設施,包括548個CNAME記錄和超過332,000個函數變量名。


攻擊鏈分解

在此背景下,有必要澄清"橫向行動"這一概念。在傳統的企業入侵中,橫向行動指攻擊者在內部網路中從一個主機行動到另一個主機。就 Triad Nexus/FUNNULL 而言,公開證據表明其重點在於基礎設施橫向行動。這涉及在不同品牌、國家和頂級域名(TLD)之間快速複製相同的模板、CNAME根域名、雲IP地址以及支付腳本。


關鍵技術與運作要點

l 將可復用基礎設施武器化: 核心並非複雜的漏洞,而是從合法雲服務商處大規模採購IP地址,隨後轉售給詐騙團伙。他們利用域名生成算法(DGA)創建大量相似域名,並提供用於冒充可信品牌的模板。

l 基礎設施洗白: 遭受制裁後,該網路利用空殼公司和多層CNAME,將欺詐網站隱藏在信譽良好的雲服務提供商和內容分髮網絡(CDN)之後。它們利用亞馬遜、Cloudflare、谷歌和微軟等生態系統的基礎設施和聲譽,而AS152194(CTG Server Limited)仍作為其骨幹網路。

l CNAME 鏈與域名輪換:該網路已從 9 個穩定的 CNAME 演變為超過 175 個隨機生成的 CNAME。 FBI報告識別出超過332,000個獨立域名,這些域名與548個獨立CNAME相關聯。

l 模板化品牌冒充:攻擊資產涵蓋銀行業、金融科技、奢侈品零售、物流及公共服務領域。 這些模板與「豬屠宰」戰術相結合,涉及捏造關係和偽造利潤曲線。

l 反偵察: 該網路利用地理圍欄技術,向美國訪問者返回「451 因法律原因不可用」的錯誤資訊以逃避執法。它們偽裝成合法的 CDN 服務(例如 cdnbl[.]com、Yunray[.]ai),並通過 Telegram(t[.]me/sara5433)進行溝通。

l 資產變現:該網路支持多種加密貨幣(BTC、ETH、USDC 等),通常會在 48 小時內轉移被盜資產,以壓縮資金被凍結的時間窗口。


證據與關鍵IOC

下表僅列出了公開披露的具有代表性的IOC/可檢索特徵,並不構成完整列表。 完整的 CNAME/功能變量名稱列表要長得多;FBI FLASH 明確指出,公開披露的 IOC 僅代表其中一部分。




原始示意圖和截圖可直接參考《Silent Push》報告中的CNAME架構圖和前端公司界面,以及FBI FLASH中的CNAME和函數變量IOC列表。由於本輪公開披露缺乏可靠的樣本哈希值或完整的與後端 IP 的完全一對一映射,本報告將 IOC 分析重點放在根域名、偽造域名、解析鏈、雲 ASN 地址以及營運觸點上——這些對象更適合企業防禦團隊進行即時攔截。


響應與處置建議

針對企業:

l 升級防禦策略: 從阻斷單個域名轉向監控 域名家族 + CNAME 鏈 + 雲端着陸點。實施 CNAME 鏈回溯和證書透明度 (CT) 監控。

l 帶外驗證:要求對所有支付、KYC 或投資請求進行帶外驗證。切勿使用可疑消息線程中提供的鏈接。

l 統一事件響應:確保安全營運中心(SOC)、法務和客戶服務團隊共享同一證據庫,以防止資訊孤島。

l 取證證據保全:在執行「清理」刪除操作前,保留屏幕截圖、完整 URL、CNAME 鏈和傳輸記錄,以協助未來的法律取證。

l 防釣魚認證:推廣使用 密鑰(FIDO2) 替代傳統密碼,以顯著降低釣魚攻擊的成功率。


針對個人:

l 立即停止:若懷疑遭遇詐騙,請立即停止操作。 聯繫您的銀行凍結帳戶,或將剩餘的加密資產轉移到一個全新的地址。

l 僅限官方渠道:僅通過官方網站更改密碼,並撤銷未知會話。

l 硬體錢包:對於加密貨幣用戶而言,將高價值資產隔離在硬體錢包中比嘗試被盜後的恢復更為有效。

l 屏幕共享警告:切勿在自稱「官方」支持人員通過電話或 Google Meet 指導下共享屏幕或安裝應用程序。


檢測與歸因方法

對於安全分析師而言,此類事件值得投入資源進行 三層歸因分析:


第1層:域名與基礎設施層:

l 分析師應利用投訴鏈接、頁面截圖或郵件頭資訊,反向查詢域名註冊日期、證書(及證書批次)、HTML標題、網站圖標和CNAME根域名。 

l 目標是進行多級解析,以識別共享的中間域名和雲端着陸點。

l FBI 技術警報和 Silent Push 鏈接示例表明,欺詐基礎設施通常使用「客戶域名 → 中間 CNAME → 最終 A 記錄」的結構進行「洗白」。 


第 2 層:金融層:

l 若涉及加密貨幣,應優先捕獲首跳地址、授權記錄、交易哈希值和時間戳。 

l TRM 指出,這些欺詐網路通常會在 48 小時內轉移資產;因此,在報告前準備好地址、交易 ID、金額、時間、使用的區塊鏈以及交易所/錢包資訊,對於凍結資金至關重要。 

l 「大西洋行動」在一周內成功凍結超過1200萬美元,其根本原因在於鏈上情報、受害者通知和法律凍結措施的同步推進。 


第3層:社會工程學關聯層:

l 保留原始接觸點,包括短信、社交媒體私信、通話錄音、虛假客服號碼、話術腳本、原始郵件、屏幕共享邀請、會議鏈接以及任何「官方文件」的截圖。

l 通常,將多個詐騙網站串聯成單一犯罪集團的並非單一IP地址,而是共享的腳本模板、廣告文案、客服話術手冊、對賬表以及操作節奏。 

l 《Silent Push》報告中提到的Telegram聯繫點和空殼公司便是此類「營運指標(IOC)」的典型例證。


法律合規與追償考量


法律與舉報

l 針對企業:若品牌遭冒充,企業應同時採取三項措施:向執法部門舉報、向域名註冊商/主機服務商提交下架請求,以及向客戶發出通知。 

l 針對個人:立即向當地警方或反欺詐平台報案;持有加密資產者還應向交易所、錢包提供商及鏈上舉報平台提交相關材料。 

l NCA、TRM 和 Chainalysis 在「大西洋行動」中的經驗表明:舉報越早,在資金流出交易所前將其凍結的機率就越高。 


合規與盡職調查


l 金融機構、交易平台、支付公司及大型品牌營運商應將託管商/解析鏈/域名情報以及 制裁篩查 整合到其第三方風險和反欺詐流程中。 

l 美國財政部將 FUNNULL 列入制裁名單,表明基礎設施提供商本身也可能成為制裁和執法的目標。 

l 僅監控用戶是否遭遇詐騙已遠遠不夠;組織必須監控可疑基礎設施是否持續出現在其自身生態系統中。


恢復與取證

l 基於網頁的欺詐:若欺詐僅限於網頁(未感染設備),應優先緩解帳戶及財務損失,隨後保留瀏覽器相關證據。 

l 惡意軟體:若已安裝惡意應用或執行了可疑命令,應將設備視為潛在證據; 在考慮恢復出廠設置前,應優先進行數據鏡像/導出。

l 加密貨幣錢包:恢復措施應包括撤銷授權、遷移資產、創建新錢包、重置所有關聯信箱/交易所的密碼及多因素認證(MFA),並檢查瀏覽器擴展和通知權限。 

l 行動詐騙:檢查輔助功能服務是否被濫用、短信讀寫權限以及殘留的管理員權限。


參考資料

l 財政部對主要網路詐騙協助者採取行動;https://home.treasury.gov/news/press-releases/sb0149

l 2023年10月至2025年4月期間用於管理與加密貨幣投資詐騙相關的域名的基礎設施;https://www.fbi.gov/

l 制裁後的持續活動: 「Triad Nexus」營運基礎設施重生,威脅行為者將活動與FUNNULL CDN脫鈎;https://www.silentpush.com/blog/triad-nexus-funnull-2026/

l 威脅簡報: 與伊朗相關的網路風險升級(4月17日更新);https://unit42.paloaltonetworks.com/iranian-cyberattacks-2026/

l 密鑰比傳統登錄方式更安全 ;https://www.ncsc.gov.uk/blogs/passkeys-are-more-secure-than-traditional-ways-to-log-in

在NCA主導的「大西洋行動」中,針對加密貨幣的詐騙活動被制止,1200萬美元被凍結;https://www.nationalcrimeagency.gov.uk/news/fraudsters-targeting-cryptocurrency-stopped-and-12-million-frozen-in-nca-led-operation-atlantic

l Satori 威脅情報警報: Pushpaganda利用AI生成內容操縱Google Discovery資訊流以傳播惡意通知 - HUMAN Security ;https://www.humansecurity.com/learn/resources/satori-threat-intelligence-alert-pushpaganda-manipulates-google-discovery-feeds-with-ai-generated-content-to-spread-malicious-notifications/

來源:金色財經

發佈者對本文章的內容承擔全部責任
在投資加密貨幣前,請務必深入研究,理解相關風險,並謹慎評估自己的風險承受能力。不要因為短期高回報的誘惑而忽視潛在的重大損失。

暢行幣圈交易全攻略,專家駐群實戰交流

▌立即加入鉅亨買幣實戰交流 LINE 社群(點此入群
不管是新手發問,還是老手交流,只要你想參與加密貨幣現貨交易、合約跟單、合約網格、量化交易、理財產品的投資,都歡迎入群討論學習!

前往鉅亨買幣找交易所優惠


section icon

鉅亨講座

看更多
  • 講座
  • 公告

    Empty
    Empty