被罰后14個月：這個詐騙團伙用175個域名重建了更難抓的全球網絡

被美國財政部制裁后，一個亞洲網絡犯罪集團花了多久重建全球業務？答案是：14個月。而且他們學會了用亞馬遜、谷歌、微軟的服務器當掩護。

被制裁后，他們換了一套更隱蔽的打法

2024年5月，美國財政部對FUNNULL內容分發網絡實施聯邦制裁。這個團伙原本靠FUNNULL的CDN基礎設施快速部署詐騙網站，專仿Tiffany、Cartier、Chanel這些奢侈品牌，還有西聯匯款、速匯金、富國銀行、高盛、美國銀行的金融頁面。

制裁生效后，他們沒有收手，而是迅速轉向研究人員稱為"基礎設施洗錢"的新模式。

具體操作上，該團伙開始劫持亞馬遜云服務（Amazon Web Services）、Cloudflare、谷歌、微軟這些主流云平臺上的合法企業賬戶。把惡意流量路由進這些可信平臺后，假網站看起來就像真的一樣，檢測和攔截難度陡增。

Silent Push的研究人員指出，這是該團伙戰術上的重大進化——他們放棄了固定的CNAME域名，改用超過175個隨機生成的CNAME域名輪換池，每個域名把成簇的詐騙網站連接到被盜或非法獲取的IP地址。

這種"域名+IP"的雙重隨機化，讓傳統的黑名單防御幾乎失效。你今天封了一個域名，明天它已經換到下一個。

10億美元損失背后的"殺豬盤"流水線

該團伙不是新面孔。自2022年起，這個深植于亞洲有組織犯罪網絡的集團就在運營投資詐騙、洗錢平臺和非法賭博網站。

他們的核心手法叫"殺豬盤"——不是一次性騙完就跑，而是花幾周甚至幾個月培養感情，讓受害者自愿把大額資金投入假的加密貨幣平臺。平均每個受害者損失約4.7萬美元，總報案損失超過10億美元。

這個數字可能還只是冰山一角。很多受害者因羞恥感或追回無望而選擇沉默。

為了躲避制裁后的執法壓力，該集團還啟動了一系列"干凈"的殼公司。這些實體有專業的品牌包裝和偽造的運營歷史，專門用來制造信任感。

一個典型例子是偽裝成CDN服務商的cdnbl.com，聲稱自2007年起服務客戶。但域名注冊記錄顯示，它實際創建于2024年3月。17年的公司歷史，全是編的。

為什么說這是"基礎設施即服務"的黑暗面

這個案例暴露了一個被忽視的問題：云計算的普及正在降低網絡犯罪的門檻，但提高的是執法的門檻。

該團伙的"基礎設施洗錢"之所以有效，是因為它利用了云平臺的信任機制。當流量來自AWS或Google Cloud的IP段時，安全工具會天然降低警惕。企業防火墻、郵件過濾器、威脅情報平臺——這些防御層都建立在"大平臺=相對可信"的假設上。

該集團的進化路徑也很清晰：2022-2024年初，依賴FUNNULL這種專門服務于灰黑產的CDN；2024年5月后，轉向"寄生"主流云服務商。這不是技術升級，而是風險轉移——把被制裁、被封禁的風險，轉嫁給無辜被盜用的企業賬戶。

對于云平臺來說，這成了兩難。加強賬戶審核會提高企業客戶的 friction（摩擦成本），放任則成為犯罪基礎設施的溫床。目前看，該團伙能批量劫持賬戶，說明現有的風控機制存在可被規模化利用的漏洞。

175個域名輪換：對抗檢測的技術細節

Silent Push的分析揭示了更多技術層面的對抗手段。

該集團的CNAME域名不是靜態列表，而是動態輪換。每個域名生命周期極短，可能只活躍數小時到數天。這種"速朽"設計讓基于域名的威脅情報幾乎滯后——等你分析完、入庫、同步到防御設備，對方已經換了一批。

更麻煩的是，這些CNAME指向的IP地址也來自被盜用的云賬戶。這意味著IP的"信譽"是真實的、歷史的，而非新注冊的惡意地址。傳統的基于IP信譽的攔截策略會失效。

對于安全團隊來說，這迫使他們從"黑名單思維"轉向行為檢測：不看流量從哪里來，看流量在干什么。但行為分析的誤報率更高，運營成本更重。

該團伙顯然算準了這一點。他們的詐騙頁面制作精良，像素級復刻正品網站，連交互細節都模仿到位。