Sofistike bir kurşun geçirmez barındırma operasyonu, küresel kötü amaçlı yazılım kampanyalarının kritik bir kolaylaştırıcısı olarak ortaya çıktı ve siber güvenlik araştırmacıları, İngiltere kayıtlı Qwins Ltd’yi yaygın siber suç faaliyetlerine bağlayan kapsamlı kanıtları ortaya çıkardı.
Otonom Sistem Numarası (ASN) 213702 altında faaliyet gösteren şirket, Lumma Stealer, Amadey Botnet ve Mirai varyantları dahil olmak üzere çok sayıda yüksek profilli kötü amaçlı yazılım ailesini destekleyen altyapı omurgası olarak tanımlanmıştır.
100’den fazla Lumma Stealer örneğinin son analizi, tehdit aktörlerinin Qwins Ltd’nin ev sahipliği hizmetlerini birden fazla vektördeki koordineli saldırıları düzenlemek için kullandığını ortaya koydu.
15-22 Temmuz 2025 tarihli soruşturma, kötü niyetli faaliyetlerle ilişkili 292 iletişim IP adresini belirledi ve şirketin altyapısı hem komut ve kontrol merkezleri hem de yük dağıtım merkezleri olarak hizmet verdi.
Rusya, Almanya, Finlandiya, Hollanda ve Estonya’daki sunucu konumlarından faaliyet gösteren Qwins Ltd, sanal özel sunucular sunuyor ve aylık 2 $ başlayan oldukça düşük fiyatlarla özel bir barındırma sunuyor ve maliyet etkin altyapı arayan siber suçlular için cazip bir seçenek sunuyor.
.webp)
Şirketin kurumsal yapısı, 11 Kasım 2024’te Birleşik Krallık’ta Kristina Konstantinova Direktörlüğü altında kurulmuş olan ek kırmızı bayraklar yükseltiyor.
Özellikle, Konstantinova, şirketin Nisan 2025’te stratejik bir marka geçirmesinden önce tam altı ay boyunca Vekiyet Direktörü olarak görev yaptı ve “Kalite BT Network Solutions Limited” haline geldi. Bu zaman çizelgesi, sağlayıcının ağ altyapısında artan kötü niyetli etkinlik ile çakışır.
Siber İstihbarat Analizleri Araştırmacılar, Qwins Ltd’nin ağ segmentlerinde rahatsız edici bir istismar modeli belirlediler ve birden fazla tehdit aktör grubunun sistematik sömürüsüne işaret etti.
Soruşturma, barındırma sağlayıcının yaklaşık 2.300 ana bilgisayarının, Brex gibi meşru finansal hizmetleri taklit eden kimlik avı web sitelerini barındırmaktan, hem Windows hem de Linux mimarlarını hedefleyen gelişmiş kötü amaçlı yazılım yüklerini dağıtmaya kadar çeşitli kötü niyetli amaçlar için kullanıldığını ortaya koydu.
Ağın kötü niyetli altyapısının analizi, tespiti en aza indirirken saldırı etkinliğini en üst düzeye çıkarmak için tasarlanmış sofistike bir operasyonel yapıyı ortaya koymaktadır.
Birincil kötü niyetli aktiviteler, her biri daha geniş siber suçlu ekosistemde özel işlevler sunan dört farklı ağ segmentinde yoğunlaşır.
Ağ segmentasyonu ve saldırı altyapısı
Analizden en önemli vahiy, Qwins Ltd’nin ağ altyapısında kötü niyetli faaliyetlerin sistematik olarak bölümlenmesini içerir.
93.123.39.0/24 ağ segmenti, 120’den fazla farklı kötü amaçlı yazılım yükünü dağıtan 39 kötü amaçlı IP adresi barındıran birincil DDOS ve BOTNET komut merkezi olarak işlev görür.
.webp)
Bu ağ, öncelikle 666 bağlantı noktasından iletişim kurarak büyük ölçekli dağıtılmış hizmet reddi saldırılarını kolaylaştıran ve uzlaşmış sistemlere kalıcı erişimi sürdüren botnet altyapısını işletmektedir.
141.98.6.0/24 segmenti, yaklaşık 45 kötü amaçlı yazılım örneğini barındıran 15 bayraklı IP adresi ile bilgi stealer merkezi olarak hizmet vermektedir.
Bu ağ, hassas kullanıcı kimlik bilgilerini ve finansal bilgileri hedefleyen Amadey, Lumma ve Vidar gibi infosterers’ın dağıtılmasında uzmanlaşmıştır.
Anahtar IP Adresi 141.98.6.34 Özellikle aktif olmuştur, kimlik avı sitelerini barındıran ve birden fazla kötü amaçlı yazılım ailesi için bir iletişim uç noktası olarak hizmet vermektedir.
.webp)
Saldırı zincirini destekleyen 95.164.53.0/24 Ağ, ilk enfeksiyon vektörü olarak işlev görür ve kötü niyetli PDF, DOC ve ZIP dosyaları dahil olmak üzere belge tabanlı damlalar dağıtır.
Bu yükler enfeksiyon zincirleri için giriş noktaları olarak hizmet eder ve daha sonra kurbanları diğer ağ segmentlerinden ek kötü amaçlı yazılım bileşenleri indirmeye yönlendirir.
77.105.164.0/24 segmenti, enfekte sistemler ve tehdit aktör altyapısı arasında kalıcı iletişim sağlayarak komut ve kontrol hizmetleri, yapılandırma barındırma ve veri açığa çıkma özellikleri sağlayarak altyapıyı tamamlar.
Ağ kullanımına yönelik bu sistematik yaklaşım, modern kurşun geçirmez barındırma operasyonlarının sofistike doğasını ve bunların birden fazla kötü amaçlı yazılım ailesinde ve saldırı vektörlerinde büyük ölçekli siber suç kampanyalarının sağlanmasındaki kritik rollerini göstermektedir.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin