Изследователи от VulnCheck разкриват дейността на изключително напреднал атакуващ, който е изградил собствена Out-of-band Application Security Testing (OAST) инфраструктура върху Google Cloud с цел провеждане на мащабна експлойт кампания. Зловредната активност обхваща повече от 200 CVE и демонстрира високо ниво на техническа подготовка, прецизност и оперативна дисциплина.

Частен OAST домейн: първият червен флаг

VulnCheck идентифицира подозрителни обратни HTTP заявки към домейна detectors-testing.com – частна OAST платформа, която не е свързана с нито един от известните публични OAST доставчици като oast.fun, past, pro или interact. Собствената инфраструктура на атакуващия елиминира зависимостта от публични услуги и затруднява разкриването на техните дейности.

Анализът показва около 1 400 експлойт опита, свързани с над 200 уязвимости, всички насочени към мрежи, защитени чрез Canary Systems.

Фокус върху Бразилия: целенасочена регионална кампания

Въпреки че VulnCheck поддържа канарни сензори в глобален мащаб, атаките са концентрирани изцяло върху Бразилия за периода октомври – ноември 2025 г. Това показва, че операторите зад кампанията имат ясни регионални цели и вероятно разполагат с локални мотиви или клиенти.

Техника на атаката: модифицирани скенери и OAST callback потвърждения

Модифицирани Nuclei шаблони

Атакуващият използва преработени версии на Nuclei шаблони за уязвимости, което подсказва:

• наличие на собствена поддръжка и разработка на инструменти

• по-висока степен на анонимност

• избягване на стандартните детекции

Някои от използваните шаблони дори са премахнати от официалните репозитории, което означава, че операторът поддържа собствен архив с остарели, но работещи експлойт техники.

Callback механизъм

Компрометираните системи връщат заявки към поддомейни от вида i-sh.detectors-testing.com, което позволява на нападателите да потвърдят успешната експлоатация.

Един от опитите включва експлойт срещу CVE-2025-4428, уязвимост за отдалечено изпълнение на код в Ivanti Endpoint Manager Mobile.

Google Cloud като прикритие

Цялата инфраструктура на операцията се намира в Google Cloud, включително:

• шест скенерни IP адреса

• един специализиран OAST хост

Сървърът 34.136.22.26 работи с Interactsh услуги повече от година, което говори за дългосрочен и устойчив кампаниен модел.

Използването на трафик, идващ от легитимни облачни доставчици, предоставя ключово предимство:
много защитни системи избягват блокиране на големи облачни платформи, което прави зловредния трафик трудно разпознаваем.

Сложни payload-и и високо ниво на умения

VulnCheck открива на сървъра на нападателя модифициран Java клас TouchFile.class, който:

• разширява типичната Fastjson 1.2.47 експлоатация

• добавя изпълнение на команди

• включва HTTP callback механизъм

Тези модификации показват, че операторът разполага с реален експертен капацитет, а не просто използва публични инструменти.

Indicators of Compromise (IoCs)

Организациите трябва да наблюдават трафик към:

detectors-testing.com и неговите поддомейни.

Свързани Google Cloud IP адреси:

• 34.172.194.72

• 35.194.0.176

• 34.133.225.171

• 34.68.101.3

• 34.42.21.27

• 34.16.7.161

• 34.136.22.26

Препоръки за защита

За да ограничат риска, организациите трябва да:

• прилагат своевременно пачове за всички интернет-експонирани приложения

• провеждат редовни сканирания за уязвимости

• наблюдават за необичайни OAST callback заявки

• засилят мониторинга на трафик към инфраструктура на публични облаци

• осигурят защита срещу активно експлоатираните над 200 CVE, свързани с кампанията

Тази операция показва нарастващата тенденция атакуващите да използват големи облачни доставчици и частни OAST механизми, което прави откриването и блокирането им значително по-трудно.