AML-Solana/Sextortion-Campaign-Analysis-SadNews

GitHub: AML-Solana/Sextortion-Campaign-Analysis-SadNews

一份分析全球自动化色情勒索活动的 CTI 报告,涵盖基础设施追踪、资金账本取证和攻击时间线还原。

Stars: 0 | Forks: 0

# CTI 威胁报告:活动分析 "Sad News"(全球色情勒索) **日期:** 2026 年 6 月 19 日 **作者:** [Aimen Rizouk / AML-Solana] **类别:** 自动化网络勒索 / 社会工程 ## 1. 执行摘要 2026 年 6 月 17 日至 18 日,一场名为 **"Sad News"** 的自动化全球邮件勒索(色情勒索)活动正式启动,主要针对欧洲用户。该活动利用复杂的 SMTP 标头欺骗("Friendly From" 操纵)来绕过传统的域名过滤器,并勒索 **1,490 美元** 的比特币。本报告梳理了与该威胁行为者相关的资金指标、基础设施节点以及按时间顺序排列的策略。 ## 2. 基础设施分析(投递引擎) 该活动并非由孤立的攻击者运作,而是利用了自动化的全球僵尸网络投递基础设施,该基础设施能够跨越多个主权网络进行无缝地理跳转,从而规避防火墙黑名单。 * **主要攻击 IP:** `105.27.113.2` * **ISP/托管服务提供商:** SEACOM Limited(南非开普敦) * **自治系统编号(ASN):** `AS37100` * **作案手法:** 该节点利用电子邮件欺骗来模拟本地系统被攻陷。通过 AbuseIPDB 的历史分析表明,该 IP 已被记录 85 次,显示出其长期参与全球 SMTP 暴力破解和大规模垃圾邮件投递。 ## 3. 资金账本追踪与取证 该活动的整个金融基础设施都锚定在单一的旧版/Bech32 入口点上。 * **目标比特币地址:** `bc1qne2vc0mypu9ypp9flvapkhrnl69khs970w6u0z` * **活动启动资金 TxID:** `a4066bb5...` * **当前地址余额:** `0.02168732 BTC`(约 1,356.17 美元) ### 资金流向观察 * **资金层:** 目标钱包于 6 月 18 日通过一笔批量多输出交易完成结构性注资,将来自一个 transit 平台的 `0.1324 BTC` 拆分到了 31 个单独的操作钱包中(该目标地址恰好与输出 #24 匹配)。这证明了对多个变现投资组合同时进行的基础设施协调管理。 * **变现层:** 截至撰稿时,`Total Sent`(总发送量)仍为零,表明目前还没有任何被盗资金被整合或转移到外部混币器或交易所节点。 ## 🕒 4. 活动时间线与行动手册 威胁行为者根据安全边界防御措施动态轮换基础设施: ``` ┌──────────────────────────────┐ │ ALPHA PHASE (June 17) │ ──► Pre-flight testing wave via Airtel Kenya mobile gateway. └──────────────┬───────────────┘ Misconfigured Quoted-Printable encoding script detected. ▼ ┌──────────────────────────────┐ │ BLITZ PHASE (June 17) │ ──► Mass-mailing script ignited across Western/Eastern Europe. └──────────────┬───────────────┘ Fully compiled Base64 payloads utilized to bypass content filters. ▼ ┌──────────────────────────────┐ │ EVADE PHASE (June 18-19) │ ──► Automated controller dynamically swings outbound targets to └──────────────────────────────┘ broadband ranges in India, Indonesia, and obfuscated Russian proxies. ``` ## 🛡️ 5. 技术入侵指标 | 类型 | 指标值 | 描述 | | --- | --- | --- | | **加密钱包** | `bc1qne2vc0mypu9ypp9flvapkhrnl69khs970w6u0z` | 活跃的勒索付款目的地 | | **IPv4 地址** | `105.27.113.2` | 主要的南非中继节点 (AS37100) | | **战术** | T1565.001(数据操纵) | 伪造 "From:" 字段以模拟系统访问权限 | ## 🏁 6. 活动总结矩阵 | 维度 | 活动指标 / 情报发现 | | --- | --- | | **活动状态** | 已结束(已记录充分的遥测数据) | | **总指标数** | 1 个加密钱包,6 个全球网络 IP,1 个 Base64 Payload 字符串 | | **地理跨度** | 东非、西欧/东欧、南亚、东南亚 | | **主要战术** | SMTP 入口欺骗 + 动态僵尸网络中继轮换 | *免责声明:本报告仅供威胁情报和教育作品集记录之用。* ``` ```
标签:ESC8, 加密货币追踪, 区块链取证, 威胁情报, 开发者工具, 敲诈勒索, 电子邮件欺诈, 社会工程学