Μια ομάδα κυβερνοεγκληματικών, γνωστή ως Funnull – που είχε προηγουμένως κυρωθεί από το Υπουργείο Οικονομικών των ΗΠΑ – επέστρεψε με μια επικίνδυνη νέα εργαλειοθήκη που ονομάζεται RingH23, αθόρυβα διακυβεύοντας τους κόμβους CDN και δηλητηριάζει το σύστημα διαχείρισης περιεχομένου MacCMS για να ανακατευθύνει εκατομμύρια χρήστες σε παράνομους ιστότοπους.
Η καμπάνια σηματοδοτεί μια σημαντική κλιμάκωση των δυνατοτήτων του Funnull, προχωρώντας πέρα από την απλή παραβίαση νόμιμων υπηρεσιών CDN στη δημιουργία και ανάπτυξη ενός πλήρους ιδιόκτητου πλαισίου επίθεσης από την πλευρά του διακομιστή.
Η Funnull, γνωστή και ως Fangneng CDN, είναι μια εταιρεία εγγεγραμμένη στις Φιλιππίνες που ισχυρίζεται δημόσια ότι προσφέρει υπηρεσίες CDN, αλλά έχει εδώ και καιρό λειτουργήσει ως βασικός πάροχος υποδομής για το κυβερνοεγκληματικό οικοσύστημα της Νοτιοανατολικής Ασίας.
Ο όμιλος διευκόλυνε απάτες μεγάλης κλίμακας «χασάπης χοίρων» και δόλιες επενδυτικές πλατφόρμες, με απώλειες θυμάτων να αναφέρουν ότι ξεπερνούν τα 200 εκατομμύρια δολάρια.
Στις 29 Μαΐου 2025, το Γραφείο Ελέγχου Ξένων Περιουσιακών Στοιχείων του Υπουργείου Οικονομικών των ΗΠΑ (OFAC) επέβαλε επίσημα κυρώσεις στον όμιλο, διακόπτοντας προσωρινά τις δραστηριότητές του.
Ωστόσο, οι αλυσίδες εφοδιασμού για εγκληματίες στον κυβερνοχώρο είναι εξαιρετικά ανθεκτικές – και η Funnull το απέδειξε αυτό ανακατασκευάζοντας αθόρυβα κάτω από μια νέα ταυτότητα.
Οι αναλυτές του XLab εντόπισαν την αναζωπύρωση στις 9 Ιουλίου 2025, όταν το Cyber Threat Insight and Analysis System (CTIA) εντόπισε ένα ύποπτο δυαδικό ELF που διανέμεται από τον τομέα download.zhw[.]sh — ένα αρχείο που καταγράφει μηδενικές ανιχνεύσεις στο VirusTotal.
Το πρόγραμμα-πελάτης ενσωματωμένου τομέα.110[.]Το nz έδειξε εκπληκτικά 1,6 δισεκατομμύρια αναλύσεις DNS στο σύστημα Passive DNS του XLab, ένα σαφές μήνυμα ότι οι ερευνητές δεν εξέταζαν ένα μεμονωμένο περιστατικό αλλά κάτι πολύ μεγαλύτερο.
Αυτή η ανακάλυψη πυροδότησε μια ενεργή έρευνα για το κυνήγι απειλών που θα αποκάλυπτε τελικά μια από τις πιο εξελιγμένες εγκληματικές επιχειρήσεις CDN που έχουν παρατηρηθεί τα τελευταία χρόνια.
Ο Funnull ακολούθησε δύο ξεχωριστές οδούς μόλυνσης. Στην πρώτη, οι εισβολείς παραβίασαν έναν κόμβο διαχείρισης GoEdge CDN και χρησιμοποίησαν μια μονάδα μόλυνσης για να εκδώσουν απομακρυσμένες εντολές SSH, αναγκάζοντας όλους τους συνδεδεμένους κόμβους ακμών να κατεβάσουν και να εκτελέσουν το κιτ εργαλείων RingH23.
Στη δεύτερη διαδρομή, η ομάδα δηλητηρίασε το επίσημο κανάλι ενημέρωσης του maccms.la – ένα ευρέως διαδεδομένο CMS βίντεο ανοιχτού κώδικα με πάνω από 2.700 αστέρια GitHub – για να παραδώσει μια κακόβουλη κερκόπορτα PHP.
Κατά την πρώτη σύνδεση του διαχειριστή μετά την εγκατάσταση, το ωφέλιμο φορτίο λήφθηκε σιωπηλά και ενεργοποιήθηκε. Ο σύνδεσμος λήψης παρέμεινε έγκυρος μόνο για τρία λεπτά και έληξε αυτόματα στη συνέχεια, απογοητεύοντας εσκεμμένα οποιαδήποτε ιατροδικαστική ανάκτηση.
Η κλίμακα του αντίκτυπου είναι συγκλονιστική. Η τηλεμετρία του XLab εντόπισε περισσότερες από 10.748 μολυσμένες διευθύνσεις IP, οι περισσότερες από τις οποίες ανήκουν σε ιστοτόπους ροής και που σχετίζονται με ταινίες.
Ένας τομέας με τυπογραφική καταχώριση που μιμείται το Cloudflare — cdnjs.clondflare[.]com — κατέγραψε 340.000 μοναδικές επισκέψεις πελατών σε μια μέρα στο αποκορύφωμά της στις 30 Αυγούστου 2025.
Δεδομένου ότι η παρακολούθηση του XLab καλύπτει μόνο το 5% περίπου της εγχώριας αγοράς, οι ερευνητές εκτιμούν συντηρητικά ότι πάνω από ένα εκατομμύριο χρήστες την ημέρα εκτέθηκαν σε κακόβουλο JavaScript που τους ανακατευθύνει σε ιστότοπους τυχερών παιχνιδιών και ενηλίκων.
Inside the RingH23 Arsenal: Modular Design κατασκευασμένο για απόλυτο έλεγχο
Το κιτ εργαλείων RingH23 είναι ένα προσεκτικά σχεδιασμένο πλαίσιο πολλαπλών συστατικών με σαφή διαχωρισμό των ευθυνών σε κάθε στάδιο της αλυσίδας επίθεσης — χαρακτηριστικό της επαγγελματικής ανάπτυξης στη μαύρη αγορά και όχι του ευκαιριακού hacking.
.webp.jpeg)
Το σημείο εισόδου είναι το infect_init, ένα infector με βάση το Golang γεμάτο με UPX που απαιτεί δικαιώματα ρίζας και επικυρώνει διακριτικά περιόδου λειτουργίας και κλειδιά ομάδας έναντι ενός διακομιστή C2 πριν προχωρήσετε.
.webp.jpeg)
Μετά τον έλεγχο ταυτότητας, ζητά από τη βάση δεδομένων διαχείρισης GoEdge για τη συλλογή διαπιστευτηρίων κόμβου άκρης και στη συνέχεια αναπτύσσει το επόμενο στάδιο — download_init — σε κάθε συνδεδεμένο διακομιστή μέσω SSH.
Το download_init λειτουργεί ως μηχανισμός σταδίου (Εικόνα 2: download_init αλυσίδα ανάπτυξης ωφέλιμου φορτίου). Ελέγχει τη διαμόρφωση Nginx του παραβιασμένου συστήματος, εγγράφεται στον διακομιστή C2 και ανακτά τις διευθύνσεις URL λήψης για όλα τα υπόλοιπα ωφέλιμα φορτία — συμπεριλαμβανομένου του backdoor, του rootkit, της κακόβουλης μονάδας Nginx και των κανόνων επιμονής udev.
Το πιο προηγμένο τεχνικά στοιχείο είναι η κερκόπορτα Badredis2s (ring04h_office_bin), η οποία επικοινωνεί μέσω κρυπτογραφημένων σηράγγων WebSocket AES-128-CBC, με διευθύνσεις C2 που λαμβάνονται δυναμικά από το Microsoft Azure Blob Storage.
Εάν η κύρια σύνδεση μπλοκαριστεί, επιστρέφει αυτόματα στη σήραγγα DNS χρησιμοποιώντας το εργαλείο ανοιχτού κώδικα ιωδίου, διασφαλίζοντας μόνιμη πρόσβαση C2 ανεξάρτητα από τους περιορισμούς του τείχους προστασίας.
Παράλληλα, η μονάδα Badnginx2s Nginx παρεμποδίζει την εξερχόμενη κυκλοφορία για να εισάγει κακόβουλο JavaScript, να αντικαθιστά σιωπηλά τις διευθύνσεις πορτοφολιού Ethereum και TRON με ελεγχόμενες από εισβολείς και να εισάγει τμήματα βίντεο 5 δευτερολέπτων σε λίστες αναπαραγωγής ροής HLS.
Το rootkit userland του Badhide2s ολοκληρώνει την εικόνα γράφοντας τον εαυτό του στο /etc/ld.so.preload για να αποκρύψει όλα τα κακόβουλα αρχεία, διεργασίες και συνδέσεις δικτύου από κοινά εργαλεία όπως ps, ls και netstat. Οι Defenders μπορούν να απενεργοποιήσουν αμέσως αυτό το rootkit ορίζοντας τη μεταβλητή περιβάλλοντος RING04H={hash}, η οποία αποκαλύπτει αμέσως όλα τα κρυφά στοιχεία.
Το XLab συνιστά ανεπιφύλακτα στους χειριστές του ιστότοπου να σταματήσουν να χρησιμοποιούν το maccms.la, να ελέγχουν τα αρχεία διακομιστή χρησιμοποιώντας grep xxSJRox και grep gzuncompress για να ανιχνεύσουν την ένεση προτύπου και τα κρυφά ωφέλιμα φορτία PHP και να αφαιρέσουν το active.php από τον κατάλογο της εφαρμογής για να σπάσει ο κύκλος επίμονης επαναμόλυνσης.
