Killnet: storia di possibili origini di un gruppo DDoS

Primo tentativo di doxing, sull’ipotetico responsabile di Killnet, i gruppi che ultimamente stanno attivamente supportando la Russia in questo conflitto, nell’invasione dell’Ucraina

Da dove nasce Killnet? Chi possono essere i responsabili dietro al gruppo che, durante questo conflitto Russia-Ucraina, si sta esprimendo essere decisamente attivo in attacchi di tipo DDoS?

E’ possibile conoscere i responsabili di Killnet?

Con assoluta certezza non si sa, riporto però in questo articolo alcuni dettagli estratti da materiale condiviso dal gruppo KelvinSecurity, anche al fine di lasciare una traccia nel percorso di costruzione di un volto, per queste attività cyber, che prima o poi potrà portare all’identificazione completa dei responsabili del gruppo.

Nel materiale condiviso si fa riferimento al fatto che i gruppi e sottogruppi collegati alle attività di Killnet, provengano dal Vietnam, in particolare nella città di Ho Chi Minh City, per opera di un personaggio di nome Luân Nhan Thế.

Presumibilmente laureato in Informatica presso l’Università di Tecnologia e Tecnologia di Ho Chi Minh City, è stato ritrovato dietro differenti profili social, sotto il nickname “killnet”, dicitura utilizzata anche nel proprio profilo professionale sotto l’azienda per la quale svolge la propria attività professionale.

Un dettaglio che ha destato sospetti e che ha spinto questo gruppo a ricostruire i contatti online partendo proprio dalla stringa “killnet”.

Dettagli del doxing

Lo si riscontra nel profilo registrato su SlideShare: https://www.slideshare.net/killnet, su Facebook: https://www.facebook.com/killnet e Youtube: https://www.youtube.com/user/killnet/.

A questo punto, la foto la si riscontra anche in ambito professionale, in una società di informatica vietnamita che lavora principalmente a Killnet NFT o KillNet Metaverse: https://nctcorp.vn/company?id=1

Un probabile numero telefonico, basandosi sull’attività professionale: (028) 3868 7979 e la mail: luannt@nct.vn

Insomma tutte informazioni da prendere sicuramente con le pinze, ma che possono instillare un ricordo, utile a iniziare un’attività di indagine, da ricollegare poi quando le autorità diffonderanno eventuali rapporti più dettagliati sulla composizione del gruppo.

L’origine ricondotta al Vietnam

Tutti i sospetti sono basati sullo studio dell’IP del dominio che ospita il sito web del gruppo “killnet.club”.

L’IP assegnato a questo dominio, benché dietro Cloudflare, è stato trovato e collegato al seguente:

sito Web principale: https://154.83.12.121/ (killnet.club), indirizzo IP appunto di origine vietnamita.

In generale, si nota che la maggior parte degli utenti Killnet, sia di origine asiatica e con profondi allineamenti politici tipici: pro ISIS, pro Russia, anti America e anti UE.

Il gruppo di discussione Telegram

Sul codice Javascript di script presenti sul sito (esempio qui), vengono incapsulati indirizzi blockchain per ricevere transazioni in denaro. Si è visto utilizzare già in passato con altri profili social, questi stessi indirizzi, e si ritiene che Killnet possa sfruttare questa ondata di aumento della propria fama online, per vendere NFT ed eventualmente in cambio di denaro, mettere in piedi una frode economica, come quelle alle quali abbiamo già assistito, tramite crypto (Squid Game etc).

Un esempio di transazione recente

Indirizzi Ethereum:

  • 0xB7859b96d023352f41Fa8dafD920A850d9CE6B0d
  • 0x55d398326f99059fF77548524699027B3197955
  • 0xe9e7CEA3DedcA5984780Bafc599bD69ADd087D56

L’ultimo indirizzo è lo stesso utilizzato anche in ulteriori canali: