Sofisticirana mreža sajber kriminalaca sa sjedištem u Pakistanu razvila je od 2021. godine preko 300 web stranica za “krekere” koje služe kao platforme za distribuciju malvera za krađu informacija, a koji ciljaju korisnike koji traže piratizovani softver. Ova opsežna operacija predstavlja jedan od najvećih dokumentovanih slučajeva koordinirane distribucije malvera putem naizgled legitimnih portala za krekere softvera, ugrožavajući korporativne i individualne korisnike širom svijeta koji postanu žrtve krađe vjerodajnica. Zlonamjerna infrastruktura koristi univerzalnu privlačnost besplatnog softvera za isporuku malvera tipa “stealer”, iskorištavajući želju korisnika da pristupe vrhunskim aplikacijama bez plaćanja. Žrtve obično nailaze na ove web stranice kada traže krekirane verzije popularnog softvera, nehotice preuzimajući zlonamjerne izvršne datoteke prerušene u legitimne alate za aktivaciju ili instalacione programe softvera. Nakon izvršavanja, ove komponente prikupljaju vjerodajnice pretraživača, kriptovalutne novčanike i osjetljive podatke za autentifikaciju, prije nego što ukradene informacije prenesu na servere pod kontrolom i zapovijedanjem. Sofisticirani pristup kampanje proteže se izvan jednostavnog hostinga malvera, uključujući tehnike optimizacije za pretraživače i Google oglase radi povećanja vidljivosti i angažmana žrtava. Ova višestruka strategija osigurava stalan protok saobraćaja ka zlonamjernim domenima, stvarajući neprekidan priliv potencijalnih žrtava koje vjeruju da pristupaju originalnim resursima za krekere softvera. Analitičari Intrinseca identifikovali su operaciju kroz forenzičku analizu incidenata kompromitovanja klijenata, prateći izvore infekcije do domena poput kmspico.io i povezane infrastrukture. Istraga je otkrila koordinisanu mrežu pakistanskih frilensera specijalizovanih za web razvoj i digitalno oglašavanje, od kojih mnogi možda prvobitno nisu bili svjesni zlonamjernih namjera svojih klijenata. Ovi programeri koristili su model plaćanja po instalaciji koji podsjeća na notornu operaciju Cryptbot, zarađujući provizije na osnovu uspješnih instalacija malvera u različitim geografskim regijama i operativnim sistemima.
Tehnička osnova ove operacije fokusira se na centralizovanu DNS infrastrukturu koristeći ns1.filescrack.com kao primarni imenski server za većinu zlonamjernih domena. Ovaj imenski server je povezan sa preko 300 web stranica za krekere od septembra 2024. godine, a obrasci registracije domena ukazuju na sistematično širenje od juna 2021. Konfiguracija imenskog servera omogućava operaterima da zadrže centralizovanu kontrolu, dok istovremeno raspoređuju rizik na brojne nazive domena. Infrastruktura za hosting primarno koristi 24xservice, pakistanskog provajdera koji upravlja autonomnim sistemom AS57717 iz Lahora. Analiza IP opsega 185.216.143.0/24 otkriva skoro isključivo korištenje za web stranice za krekere, što ukazuje na posvećenu infrastrukturu ili ugrožene hosting usluge. Zapisi o registraciji domena sadrže adrese e-pošte povezane sa stvarnim identitetima pakistanskih frilensera, što ukazuje na propuste u operativnoj sigurnosti koji su omogućili pripisivanje određenim pojedincima unutar mreže. Mehanizam distribucije malvera funkcioniše preko InstallPP, usluge plaćanja po instalaciji koja monetizuje uspješne infekcije na osnovu geografije žrtve i operativnog sistema. Ova integracija usluga pokazuje profesionalizovani karakter operacije, sa jasnim finansijskim podsticajima koji pokreću kontinuirano širenje i usavršavanje tehnika distribucije.