谷歌与 Cloudflare 平台现 “钓鱼帝国”，三年未被察觉

图片

研究人员发现，一个利用 “伪装技术” 运作的全球性 “钓鱼即服务”（PhaaS）网络犯罪集团，依托公共云基础设施秘密活动已超三年。这一 长时间、工业级钓鱼与品牌仿冒团伙” 长期潜伏在谷歌云（Google Cloud）与 Cloudflare 平台，直至近期才被安全研究团队 Deep Specter Research 曝光。

01 钓鱼集团规模：4.8 万主机 + 80 余集群，仿冒 200 家机构

根据 Deep Specter Research 本周发布的博客报告，该钓鱼集团的运作规模令人震惊：

基础设施庞大

涉及 4.8 万台主机、80 多个集群，滥用 “高信任度” 过期域名搭建钓鱼网络，部分新克隆网站已延伸至 Cloudflare 平台。

IP 资源分布

共发现 86 个物理 IP（均托管于中国香港和中国台湾地区的谷歌云），以及 4.8 万个虚拟 IP（其中 4.4 万个来自谷歌云，4000 个来自其他托管服务商），且核心架构已迭代至第七代，仍在持续升级。

仿冒范围广泛

克隆了 200 家知名机构的网站内容，涵盖洛克希德・马丁公司等《财富》500 强企业，甚至包含企业员工与合作伙伴的登录页面，同时通过 “品牌可信资源” 分发恶意软件与非法赌博内容。

值得注意的是，这种 “抢占过期域名” 的手段并非首次出现 — 今年早些时候，黑客组织 Hazy Hawk 就曾通过盗用美国疾病控制与预防中心（CDC）等顶级机构的废弃域名实施广告欺诈，但此次钓鱼集团的规模与持续时间远超以往。

02 关键技术：“伪装术” 欺骗搜索引擎，谷歌流量成帮凶

该钓鱼集团能长期潜伏，核心依赖一种名为 “搜索引擎伪装”（Cloaking）的技术：

技术原理

向谷歌爬虫（如 GoogleBot）展示与真实用户不同的内容 — 爬虫抓取时呈现的是仿冒知名品牌的 “合规内容”，以骗取搜索引擎信任并获得排名；而真实用户访问时，却会跳转至赌博页面或钓鱼站点（如克隆的企业登录页）。

流量来源

伪装站点可接收来自谷歌搜索、Meta 平台及安卓应用的自然流量，研究团队已监测到 265 起该恶意活动的公开记录。

典型案例

以域名 “militaryfighterjet.com” 为例，该域名原是一个拥有 10 万订阅者的 “军事战斗机” 主题 Facebook 页面配套网站，2024 年 9 月 14 日 DNS 记录过期后被该集团收购。此后，用户在谷歌搜索该域名时会看到洛克希德・马丁公司的产品结果，但直接访问域名会跳转至 “168 彩票结果” 赌博页；若在域名后添加 “/index-2.html”，则会显示克隆的洛克希德・马丁官网（含员工登录入口）。

03 危害：企业声誉受损 + 用户数据遭窃，多方受牵连

这一钓鱼活动的隐蔽性给企业、用户及云服务商均带来严重威胁：

对企业

品牌被绑定至恶意活动会导致声誉与信任度崩塌，还可能因 “间接为钓鱼网站提供资源” 面临监管问责（部分克隆网站仍从原品牌云服务器加载资源）；若员工因钓鱼页面泄露账号密码，企业内网可能被入侵，进而引发业务中断与财务损失。

对用户

访问伪装站点可能遭遇账号被盗、敏感数据泄露（如身份证号、银行卡信息），或误下载恶意软件导致设备被控制。

对云服务商

此类滥用行为会损害平台安全性口碑，且自动化检测系统难以识别 — 黑客已掌握绕过常规监测的手段，导致该集团三年未被发现。

04 应对建议：企业需追讨过期域名，云服务商强化监测

针对此次事件暴露的安全漏洞，Deep Specter Research 提出针对性解决方案：

企业层面

主动追查已过期或休眠的域名，避免被黑客抢注后用于仿冒；定期排查自身云资源，防止被克隆网站 “盗用” 加载内容；加强员工反钓鱼培训，警惕非官方登录页面。

云服务商层面

不能仅依赖自动化检测工具，需结合威胁情报开展深度分析，实时监控 IP 与域名的异常关联（如同一 IP 解析大量不同机构的仿冒域名），从源头阻断钓鱼基础设施搭建。

用户层面

访问知名企业网站时，优先通过官方 APP 或手动输入域名，避免点击搜索引擎结果中的陌生链接；遇到 “登录页跳转异常”“内容与品牌不符” 等情况，立即关闭页面并核查域名真实性。