客服系统域名集群分析
2026-06-05 | 溯源域名集群调证
一、案件背景
涉诈平台 wspc2ui 使用 qiabot/Trinity 客服系统接待受害人。通过渗透涉诈客服代理服务器 67.230.171.39,从Caddy metrics接口提取到 189个域名。
二、全链路架构
涉诈平台 (wspc2ui SPA)
├─ API → 3dld5gj.shop → CloudFront → 隐藏源站
└─ 客服 → 2qd6m.ecvorinexal.top
↓ Cloudflare
67.230.171.39 (Caddy v2, Admin无认证)
↓
leo-widget.qiabotai.workers.dev
↓
frontgate.qiabot.com (TLS: caddy_ask_secretsecret)
三、域名分类统计
| 类型 | 数量 | 示例 |
|---|
| 算法生成词(疑似诈骗客户) | 97 | ecvorinexal, porafibewo, kujuzob3 |
| 随机字符串 | 66 | g6pqwtomo4, v5925n |
| 英文品牌类(疑似SaaS) | 18 | heartservice, keephelp |
| dofix客服系统 | 6 | dofix.top 子域 |
| 其他 | 2 | IP记录 |
四、访问量TOP 5
| 排名 | 域名 | 访问量 | 类型 |
|---|
| 1 | porafibewo.top | 50 | 算法生成 |
| 2 | kujuzob3.top | 16 | 算法生成 |
| 3 | bidubuta.top | 13 | 算法生成 |
| 4 | rekovuloc2.top | 13 | 算法生成 |
| 5 | dicotez1.top | 12 | 算法生成 |
五、调证路径
紧急(已就绪):
• 全部 .top 域名 → ZDNS abuse@zdns.cn(国内,最快)
• qiabot.com → Spaceship abuse@spaceship.com(国际协查)
• 67.230.171.39 → Cluster Logic Inc abuse@sioru.com
• CloudFront d19jrv4tsksnfi → aws-security@amazon.com
• Cloudflare → abusereply@cloudflare.com