Share this page!

Enter URL or ID to Unroll

You can paste full URL like: https://x.com/threadreaderapp/status/1644127596119195649
or just the ID like: 1644127596119195649

How to get URL link on X (Twitter) App

  1. On the Twitter thread, click on or icon on the bottom
  2. Click again on or Share Via icon
  3. Click on Copy Link to Tweet
  4. Paste it above and click "Unroll Thread"!
  5. More info at Twitter Help
View Regular
Aleksandr Litreev Profile picture
Aleksandr Litreev
@alexlitreev
Cybersecurity Expert | Engineer & Entrepreneur Focused on Global Security, Anti-Censorship Tech, and Data Privacy Building the future of decentralized VPN 💪

May 29, 34 tweets

🔥 ТРЕД: Как мы идентифицировали человека, помогающего сажать антивоенных россиян через фишинговые сайты.

Около года мы вместе с @artemtam ведём расследование масштабной фишинговой кампании, предположительно направленной на уголовное преследование россиян с антивоенной позицией.

Ранее, в августе '24 года мы рассказывали о сайтах-клонах, имитирующих официальные ресурсы @legion_svoboda и РДК.

Оказываясь в топе поисковой выдачи Яндекса, они собирали данные россиян, интересующихся вступлением в антипутинские формирования.

На протяжении этого времени, @artemtam уничтожает такие ресурсы и портит жизнь российским силовикам — автоматическими средствами узнаем о новых попытках развернуть очередной фишинговый ресурс и моментально отправляем запрос хостингу/регистратору с требованием блокировки.

За все время мониторинга мы находили и сайты, имитирующие сайт ЦРУ, и клоны сайтов РДК/ЛСР, и фишинговую версию "Хочу Жить". Кампания, в рамках которой весь этот фишинг разворачивается идёт с 2023 года остаётся активной и по сей день.

В рамках одной из рутинных проверок свежезарегистрированных доменов, был обнаружен новый подозрительный домен: legionliberty[.]space

IP-адрес, на который указывал домен, принадлежит к сети Ekabi LLC — на смежных сетях этого оператора ранее наблюдались и иные фишинговые ресурсы.

Например, rusvolcorps[.]net, который изображал из себя сайт РДК и хостился на AS401120. Позднее, материнская ASN этой сети (Sovy Cloud Services) была отключена из-за регулярного размещения вредоносных ресурсов.

Но вернемся к домену legionliberty[.]space, о котором мы говорили двумя твитами ранее. Он был зарегистрирован через российского регистратора REG-RU. Но несколько деталей выгодно (для нас) отличали этот домен от остальных, вероятно относящихся к этой же кампании.

При регистрации конкретно этого домена, наш персонаж забыл скрыть свои контактные данные владельца домена в WHOIS — информационной карточке домена.

Регистратор REG-RU требует верификации email'а для добавления в WHOIS. Таким образом, мы достоверно знаем, что данный домен был зарегистрирован человеком с данным email'ом.

Обычно, для регистрации фишинговых ресурсов используется одноразовый email и рандомный номер, который не применяется больше нигде. Однако в данном случае, картина была совсем другая.

Даже если просто ввести этот email в форму отправки письма в Gmail, то можно увидеть, что учетная запись используется — у нее даже есть аватарка.

Сам email найти в каких-либо источниках нам не удалось, зато удалось найти человека, который очень активно использует никнейм "illegalmercy". Вот например, YouTube канал. По аватарке и совпадающему никнейму можно сделать вывод, что он закреплен за тем же самым аккаунтом Google.

А вот результаты поиска в Google. Сразу находится и профиль в Github, и профиль разработчика расширений для браузера Firefox.

Для Firefox наш персонаж написал аудиоплеер Lo-Fi музыки. Здесь можно обнаружить точно такую же аватарку, как и в аккаунте Google.

К разговорам о любви к Synthwave, Retrowave и Lo-Fi жанрам мы ещё вернёмся.

Несложно сопоставить это и с аккаунтом на Github, где выложен исходный код этого расширения. На этом моменте мы впервые узнаем имя нашего "героя" — Александр Остаенков. Из Екатеринбурга.

Вспомним, что в карточке WHOIS помимо email'а был еще и номер телефона. На Github'е — Екатеринбург. А код номера телефона из WHOIS — тоже относится к Свердловской области.

Также находим пользователя с таким email'ом в Trello. И там он зарегистрирован с точно таким же никнеймом в аналогичном формате написания — с маленькой "i" в начале, и большой "M" у второго слова.

С помощью платформы ищем что-нибудь по номеру телефона из WHOIS — и снова находим Александра Остаенкова, 1999 года рождения. OSEENT.com

Исследуя домены, также указывающие на тот же IP-адрес, что и вышеупомянутый, мы находим еще один интересный домен — hochuzhit[.]tech

Очевидно, что это фейковый клон @hochuzhit_com — проекта горячей линии для сдающихся в плен российских военнослужащих, которую курирует украинская разведка.

WHOIS-домена hochuzhit[.]tech возвращает те же контактные данные, что подтверждает его принадлежность тому же человеку.

Через поиск в Google мы быстро находим ссылающиеся на эти домены фейковые Telegram-каналы и боты, выдающие себя за официальные.

Каналы публикуют абсолютно идентичный контент, что и оригинальные официальные каналы, однако изменяют контактные данные для связи в публикациях — предположительно для получения данных людей, желающих сдаться или вступить в ЛСР/РДК.

Вернёмся к самому персонажу — Александру Остаенкову.

Александр ведёт себя чрезвычайно осторожно в информационной среде. Его онлайн-присутствие минимизировано и он практически никогда не публикует фотографии.

Вот, например, его страничка ВКонтакте:

Ранее "Александр Остаенков" сменил имя профиля на "Контент Уехал" и удалил свою аватарку. vk.com/id220540855

Совпадает всё — и дата рождения, и никнейм, и место проживания в Свердловской области, и даже, чёрт возьми, любовь к Synthwave/Retrowave.

Александр предусмотрительно скрыл своих родителей из списка друзей ВКонтакте, однако родители у себя сына скрывать не стали. Вот он в списке друзей у матери и отца: Валентины Остаенковой и Александра-старшего.

На фото, размещённых в профиле матери Александра, мы можем его опознать Остаенкова по характерной стрижке, форме ушей и другим внешним признакам, совпадающим с внешностью человека на удаленной аватарке "Контент Уехал" (справа).

Используя реверсивный поиск по лицам, мы с легкостью находим профиль отца Остаенкова и в другой соц. сети — в Одноклассниках.

Некоторые группы, в которых состоит батя, весьма специфичны — например, сообщества бывших членов экипажей конкретных подводных лодок с баллистическими ракетами (РПКСН), входящих в ядерную триаду России.

У Остаенкова-старшего также есть несколько друзей, которые указывают себя как действующие или бывшие офицеры российской армии и правоохранительных органов.

Резюмирую: Нам удалось найти, по меньшей мере, два Telegram-канала (~4K подписчиков), два бота и два сайта имперсонирующих @legion_svoboda и @hochuzhit_com. И нам удалось установить личность человека, стоящего за их развертыванием — 25-летний Александр Остаенков из Свердловской области.

@legion_svoboda @hochuzhit_com Опасные ресурсы:

• hochuzhit[.]tech
• legionliberty[.]space
• 87.120.117[.]52
• t[.]me/hochu_zhyt_offical
• t[.]me/legionoffreedom_offical
• t[.]me/spasisebya_offical_bot
• t[.]me/legionoffreedom_offical_bot
• dvizheneeSR@proton.me

@legion_svoboda @hochuzhit_com Привет, спишь? @illegalMercy

@legion_svoboda @hochuzhit_com Отчёт об угрозе на английском языке:

malfors.com/reports/2025-0…

Share this Scrolly Tale with your friends.

A Scrolly Tale is a new way to read Twitter threads with a more visually immersive experience.
Discover more beautiful Scrolly Tales like this.

Keep scrolling