文章总结： ShadowSyndicate集团利用服务器迁移技术轮换SSH指纹掩盖操作，关联Cl0p、BlackBasta等多种勒索软件。该组织作为初始访问代理或防弹托管提供商运营，使用CobaltStrike等工具，依赖特定ASN维持C2基础设施。尽管技术高超，SSH密钥重叠仍暴露了其活动，目前仍活跃并持续扫描漏洞。 综合评分： 78 文章分类： 威胁情报,勒索软件

ShadowSyndicate 在最新勒索软件攻击中利用服务器迁移技术

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年2月6日 13:00 北京

ShadowSyndicate 是一个复杂的网络犯罪集团，于 2023 年首次被发现，它通过实施一种以前未曾报道过的服务器迁移技术，改进了其基础设施管理策略。

这种方法涉及在多个服务器上轮换使用 SSH 指纹，以掩盖操作连续性。然而，操作安全 (OPSEC) 漏洞使得研究人员能够追踪到这些连接。

威胁行为者使用独特的SSH 密钥来协调大型服务器集群，每个指纹都会在数十个命令与控制 (C2) 服务器中创建可识别的模式。

与传统的基础设施重用不同，ShadowSyndicate 在不同的 SSH 集群之间转移服务器，以模拟合法的所有权变更。

服务器迁移技术的工作原理是在基础架构节点之间轮换访问凭证。如果执行得当，这可以在“旧”服务器控制器和“新”服务器控制器之间建立起可信的否认机制。

Group-IB 研究人员于 2026 年 2 月确认了另外两个与 ShadowSyndicate 行动相关的 SSH 指纹。

然而，某些服务器上重叠的 SSH 密钥暴露了操作链接，揭示了至少 20 台服务器作为攻击框架的 C2 基础设施，包括Cobalt Strike、Metasploit、Havoc、Mythic 和 Sliver。

勒索软件连接

经分析的基础设施与多个勒索软件活动保持着关联，关联程度各不相同。已确认的关联活动包括 Cl0p/Truebot、ALPHV/BlackCat、Black Basta、Ryuk 和 Malsmoke。

在 2024 年 9 月至 10 月期间调查的 RansomHub 攻击中，Darktrace 发现数据通过 SSH 协议泄露到与 ShadowSyndicate 相关的服务器，其中 IP 地址 46.161.27[.]151 特别与他们的 C2 基础设施相关联。

研究表明，ShadowSyndicate 很可能以初始访问代理 (IAB) 或防弹托管 (BPH) 提供商的身份运营。

同时在 179.60.149[.]222 服务器上观察到了 MeshAgent，其 SSH 指纹为 55c658703c07d6344e325ea26cf96c3b。

安全分析师以中等程度的信心评估认为，该组织通过俄罗斯的离岸实体，访问了一个具有情报机构托管特征的欧洲私人 BPH 提供商网络。

这些提供商使用交错的自治系统编号 (ASN)，如 AS209588 和 AS209132，将运营伪装成 VPN 或代理服务。

持久托管模式

ShadowSyndicate 在所有已发现的 SSH 指纹集群中都表现出对特定托管服务提供商的一致偏好。

Cobalt Strike 是一个知名的商业红队框架，其渗透后模块经常被合法的红队使用，但也被威胁行为者广泛滥用。

ShadowSyndicate拥有创新者级别的技术水平，包括零日漏洞利用能力和组织规模的资源，使其成为混合基础设施提供商，为多个勒索软件行动和潜在的国家支持的高级持续性威胁提供支持。

虽然服务器来自不同的地区和名义所有者，但对熟悉的 ASN 的反复依赖会形成可预测的归因模式。

这种一致性表明运营部门对特定供应商感到满意，并可通过基础设施关联实现主动检测。

截至 2026 年 2 月，该威胁行为者的基础设施仍然活跃，继续扫描漏洞并部署有效载荷。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《ShadowSyndicate 在最新勒索软件攻击中利用服务器迁移技术》