Это не стартап, а фишинговый Хогвартс: студенты Heartsender по всему миру, экзамен — в банке

[Artifact]

Они придумали, как обмануть почту, банки и антивирусы, но не справились с календарём.



В Пакистане задержана группа из 21 человека, которых обвиняют в организации и многолетней работе над Heartsender — одним из крупнейших киберпреступных сервисов, специализировавшихся на распространении вредоносного ПО и спама . Сервис действовал более десяти лет, предоставляя преступным группам по всему миру инструменты для атак через электронную почту, особенно в схемах компрометации деловой переписки (BEC). Клиентами платформы становились транснациональные преступные сети, маскирующие себя под легальные компании, чтобы вводить жертв в заблуждение и выманивать крупные суммы.



По данным Национального агентства по расследованию киберпреступлений Пакистана (NCCIA), аресты прошли 15 и 16 мая 2025 года в городах Лахор и Мултан. Операции были сосредоточены в районе Бахрия-Таун, где находилась часть офисной инфраструктуры подозреваемых. Представители NCCIA заявили, что ущерб от деятельности сервиса превысил 50 миллионов долларов только в США, при этом в Европе расследуются ещё 63 инцидента с аналогичным почерком. Подчёркивается, что речь идёт не просто о технической платформе, а о «киберпреступном университете», который снабжал мошенников всего мира готовыми решениями для атак.



Heartsender продвигался через открытую главную страницу сайта, где прямо рекламировались фишинговые наборы , ориентированные на пользователей популярных онлайн-сервисов: Microsoft 365, Yahoo, AOL, Intuit, iCloud и ID.me. Помимо основного бренда, та же команда управляла другими торговыми марками — Fudpage, Fudtools и множеством других, содержащих аббревиатуру «fud». Этот термин, сокращение от «Fully Un-Detectable», в сленге преступного мира означает невидимость вредоносного кода для антивирусных решений и фильтров спама.



Службы безопасности США уже в январе 2025 года провели совместную с голландской полицией операцию по захвату технической инфраструктуры Heartsender. В ходе расследования выяснилось, что основной функционал платформы активно использовался для атак BEC — преступники внедрялись в деловую переписку, подменяли счета и вынуждали компании переводить деньги на контролируемые ими банковские реквизиты.



Центральной фигурой в расследовании стал Рамиз Шахзад — предполагаемый лидер Heartsender, ранее возглавлявший также компании под названиями The Manipulaters и WeCodeSolutions. В 2021 году он уже оказывался в поле зрения журналиста Брайана Кребса, после того как сам случайно заразил собственные компьютеры шпионским ПО, что позволило установить его реальную личность и Facebook-страницу. Именно от лица Шахзада, действовавшего под псевдонимом «Saim Raza», в редакцию KrebsOnSecurity неоднократно поступали письма с требованиями удалить публикации. Последнее такое сообщение пришло в ноябре 2024 года, где утверждалось, что он оставил киберпреступный бизнес после стычки с полицией.

Некоторые из основных разработчиков и продавцов Heartsender позируют на тренировочной прогулке в 2021 году (KrebsOnSecurity)

Компания The Manipulaters, предшественник Heartsender, вела довольно открытую деятельность ещё в середине 2010-х годов, рекламируя свои услуги прямо на популярных форумах киберпреступников. Ситуация изменилась в 2019 году, когда администраторы забыли продлить основной домен manipulaters[.]com, и его перехватила американская аналитическая компания Scylla Intel. С этого момента аналитики стали получать всю входящую почту, предназначенную для преступной группы, что в итоге позволило детально реконструировать их деятельность.



К 2024 году Heartsender допустил очередную критическую ошибку: веб-интерфейс утекал огромное количество данных без аутентификации. Специалисты DomainTools зафиксировали, что сайт раскрывал внутренние учётные записи сотрудников, логины клиентов, переписку и структуру бизнес-операций. Более того, анализ заражённых машин сотрудников показал, что группа допускала множество оплошностей в собственной безопасности, в том числе хранила на рабочих компьютерах информацию о клиентах и деталях преступной инфраструктуры.



Среди арестованных вместе с Рамизом Шахзадом оказался и его отец Мухаммад Аслaм. Остальные задержанные также причастны к техническому обеспечению сервиса, его распространению, сопровождению клиентов и, как полагают следователи, — координации атак. Расследование продолжается, и международные правоохранительные органы ожидают, что на основе полученных данных будут возбуждены новые дела в других странах. Объёмы собранной информации позволяют надеяться на более широкую деконструкцию преступной инфраструктуры, которая десятилетие оставалась в тени и влияла на сотни компаний по всему миру.



@ SecurityLab