🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
Back
استخبارات الخصم

التمحور من PayTool: تتبع عمليات الاحتيال المختلفة والجرائم الإلكترونية التي تستهدف كندا

يكشف التحقيق الأخير الذي أجرته CloudSek عن نظام احتيال سريع التطور يستهدف الكنديين من خلال انتحال شخصية مقنعة للغاية للخدمات الحكومية والعلامات التجارية الوطنية الموثوقة. من غرامات المرور المزيفة واسترداد الضرائب إلى حجوزات الطيران وتنبيهات تسليم الطرود، يقوم المهاجمون بتوسيع نطاق العمليات باستخدام البنية التحتية المشتركة ونماذج التصيد الاحتيالي كخدمة. يكشف التقرير عن كيفية تسليح الإلحاح والثقة المؤسسية - وما يجب على المنظمات القيام به للبقاء في المقدمة.
January 27, 2026
7
min
Table of Content
Example H2
Example H2

ملخص تنفيذي

نظرًا لاعتماد المواطنين الكنديين بشكل متزايد على الخدمات الرقمية للنقل والضرائب وتسليم الطرود والسفر، تواصل الجهات الفاعلة في مجال التهديد استغلال هذه التبعية من خلال نشر حملات انتحال شخصية مقنعة للغاية تحاكي الهيئات الحكومية الموثوقة والعلامات التجارية الوطنية. كلاود سيك اكتشفت العديد من مجموعات الاحتيال المترابطة التي تسيء استخدام موضوعات إنفاذ تذاكر المرور، وروايات استرداد الضرائب، وبوابات حجز شركات الطيران، وتنبيهات التسليم البريدي لجمع المعلومات الشخصية والمالية على نطاق واسع.

يتماشى جزء كبير من النشاط مع»أداة الدفع» نظام التصيد الاحتيالي، وهو إطار احتيال معروف متخصص في المخالفات المرورية وعمليات الاحتيال المتعلقة بدفع الغرامات التي تستهدف الكنديين من خلال الهندسة الاجتماعية القائمة على الرسائل القصيرة.

وبالتوازي مع ذلك، لوحظت بنية تحتية إضافية تنتحل شخصية وكالة الإيرادات الكندية (CRA)، وشركة طيران كندا، والبريد الكندي، مما يشير إلى عملية احتيال أوسع تعيد استخدام أنماط التصميم الشائعة. علاوة على ذلك، كشف التحقيق عن وجود جهات تهديد تعمل بنشاط على تسويق هذه الحملات في المنتديات السرية من خلال بيع مجموعات التصيد المتخصصة المصممة لتقليد الخدمات الحكومية الرسمية والبوابات المصرفية.

طريقة العمل

يُنظر إلى الضحايا في المقام الأول على أنهم يتم استدراجهم باستخدام الرسائل القصيرة والإعلانات الخبيثة. تستخدم الرسائل أساليب الضغط العالي التي تدعي الغرامات غير المدفوعة أو فشل التسليم أو أخطاء الحجز لانتحال شخصية الهيئات الموثوقة مثل PayBC و CRA و Canada Post و Air Canada. يضيف استخدام أدوات تقصير عناوين URL أو النطاقات المطبعية طبقة من الشرعية المتصورة.

عند النقر، لا يُطلب من الضحايا على الفور الحصول على البيانات. بدلاً من ذلك، يتم نقلهم من خلال مرحلة «التحقق الوهمي». تتطلب هذه المرحلة عادةً مدخلات مثل أرقام التذاكر أو مراجع الحجز أو معرفات الحساب. ومع ذلك، تقبل هذه الحقول أي قيمة تقريبًا ولا تقوم بإجراء تحقق حقيقي. هدفهم الوحيد هو خلق وهم الأصالة وتهيئة الضحية نفسياً من خلال جعل التفاعل يبدو رسميًا وإجرائيًا.

بعد خطوة بناء الثقة هذه، ينتقل الموقع إلى بوابة دفع احتيالية. تحاكي هذه الصفحات بشكل وثيق معالجات الدفع الشرعية ولكن في الواقع، تم تصميمها لجمع معلومات التعريف الشخصية (PII) والبيانات المالية.

صفحة ويب مزيفة تنتحل شخصية بوابة البحث عن تذاكر المرور

تحليل البنية التحتية والحملات المرصودة

الموضوع الأساسي الذي تمت ملاحظته عبر مجموعات متعددة في هذه الحملة هو انتحال شخصية سلطات المرور الحكومية الكندية وخدمات دفع الغرامات. يتماشى هذا النشاط بشدة مع نظام «PayTool» البيئي الموثق سابقًا، والذي يركز على غرامات المرور الإقليمية وانتهاكات وقوف السيارات، مع التوسع أيضًا في النمط الفيدرالي الأوسع»بوابة البحث عن تذاكر المرور» نموذج يجمع مقاطعات متعددة تحت واجهة واحدة.

على عكس مواقع التصيد الاحتيالي البسيطة ذات الصفحة الواحدة، تم تصميم هذه البنية التحتية لمحاكاة خدمة حكومية مركزية. يُعرض على الضحايا ما يبدو أنه بوابة «حكومة كندا» الرسمية حيث يمكنهم اختيار مقاطعتهم (ألبرتا، كولومبيا البريطانية، أونتاريو، كيبيك، مانيتوبا، ساسكاتشوان، إلخ) للبحث عن المخالفات المرورية المعلقة. ويعكس هذا كيف توفر الخدمات الفيدرالية الكندية الشرعية نقاط دخول إلى أنظمة المقاطعات، مما يعزز بشكل كبير وهم الأصالة.

عند التحليل، وجدنا أكثر من 70 موقعًا إلكترونيًا تم حلها باستخدام عنوان IP 198 [.] 23 [.] 156 [.] 130 ينتحل شخصية الشرعي كندا. ca يؤدي إدراج الشعارات الإقليمية ولافتة «بوابة البحث عن تذاكر المرور - حكومة كندا» إلى بناء الثقة المؤسسية قبل طلب أي بيانات.

تُظهر النتائج نطاقات Canada.ca المتعددة التي تنتحل شخصية «بوابة البحث عن تذاكر المرور» المستضافة على البنية التحتية المشتركة

من منظور تشغيلي، يخدم هذا الهيكل ثلاثة أغراض رئيسية:

  • مركزية الثقة: من خلال وضع الصفحة كخدمة على المستوى الفيدرالي، يقلل المهاجمون من الشك. يتم تكييف الضحايا للاعتقاد بأنهم يتفاعلون مع منصة حكومية شرعية على الصعيد الوطني بدلاً من موقع مستقل.
  • قابلية التوسع عبر المقاطعات: يمكن إعادة استخدام نموذج واحد لمقاطعات متعددة، مما يسمح للجهات الفاعلة في مجال التهديد بنشر عمليات الاحتيال المحلية بسرعة دون إعادة بناء البنية التحتية لكل منطقة.

يعكس سير العمل هذا بوابات إنفاذ حركة المرور الإقليمية الشرعية مثل PayBC و ServiceOntario، مما يجعله متسقًا مع أنماط هجوم PayTool المعروفة.

ملاحظات نمط المجال

تعرض المجالات المرتبطة بهذه المجموعة اصطلاحات تسمية منهجية للغاية تتمحور حول:

  • «تذكرة»
  • «حركة المرور»
  • «البوابة»
  • «بحث»
  • «انتهاك»
  • «مخالفة»
  • «جريمة»
  • «الاقتباس»

تشير أنماط التسمية هذه إلى الأتمتة والتوليد المجمع بدلاً من إنشاء المجال العضوي. يعزز تكرار المصطلحات سرد الشرعية من خلال مطابقة الكلمات الرئيسية التي يتوقعها المستخدمون عند التعامل مع خدمات المخالفات المرورية الرسمية.

محاذاة أداة الدفع

يعد هذا النشاط امتدادًا مفاهيميًا مباشرًا لمجموعة PayTool التي تنتحل تقليديًا صفة بوابات دفع الغرامات الإقليمية (PayBC و ServiceOntario وصفحات دفع مواقف السيارات). تعمل هذه الحملة على توسيع هذا النموذج من خلال تقديم طبقة دخول على الطراز الفيدرالي، ومحاكاة البنية التحتية لـ Canada.ca قبل تسليم المستخدمين إلى بوابات ذات طابع إقليمي.

تتم استضافة مجموعات الاحتيال الفعلية الخاصة بالدفع (حيث تحدث السرقة المالية) على كتلة بنية تحتية متميزة. يكشف تحليل DNS السلبي عن تركيز عالٍ للنشاط على الشبكة الفرعية 45.156.87.0/24، ويستهدف على وجه التحديد خدمات المقاطعات الكندية.

علاقات IP الرئيسية:

  • 45 [.] 156 [.] 87 [.] 145
  • 45 [.] 156 [.] 87 [.] 131
  • 45 [.] 156 [.] 87 [.] 143
  • 45 [.] 156 [.] 87 [.] 213
تُظهر العقدة المركزية 45.156.87.145 علاقة عالية الكثافة مع نطاقات التصيد الاحتيالي الإقليمية المتعددة

تسمح البنية التحتية بالاستهداف المتزامن عبر الولايات القضائية المختلفة باستخدام نفس مزود الاستضافة. استنادًا إلى بيانات علاقة المجال، اكتشفنا نطاقات تصيد متعددة في مقاطعات مختلفة:

  • كولومبيا البريطانية (PayBC): paytool-bc-2025 [.] com، bc-infraction [.] com، بوابة paybc [.] بث مباشر
  • أونتاريو (خدمة أونتاريو): Ontariotticketpay [.] بث مباشر، أونتاريو - paytool-2025 [.] com، خدمة على التذاكر [.] بث مباشر
  • كيبيك/مونتريال: فيل-مونتريال-باي [.] com، أميندي-إنجلين-كيو سي [.] com، a25pont-laval [.] com (انتحال شخصية تول بريدج)

بالإضافة إلى عمليات انتحال الهوية الحكومية المباشرة، تكشف بيانات العلاقة الخاصة بـ 162 [.] 243 [.] 100 [.] 252 والشبكة الفرعية 45.156.87.x «سلسلة طويلة» من نطاقات المخالفات العامة، مثل بوابة وقوف السيارات [.] live وoverduticketinfracture [.] info.

يشير هذا إلى أن عامل تهديد PayTool يحتفظ بمجموعة من المجالات الاحتياطية العامة. عندما يتم وضع علامة على نطاقات إقليمية معينة (مثل paybc-portal) حتمًا أو إدراجها في القائمة السوداء من قبل موردي المتصفحات، يمكن للممثل تدوير حركة المرور على الفور إلى مواقع «المخالفات» العامة هذه للحفاظ على استمرارية الحملة.

التصيد الاحتيالي للطرود البريدية الكندية وإعادة التسليم

كشف المزيد من التحليل للبنية التحتية عن مجموعة فرعية من المجالات التي تحاكي Canada Post. في حين أن هذه النطاقات المحددة كانت غير نشطة أثناء التحقيق، فإن بيانات DNS السلبية وإشارات السمعة تشير بقوة إلى حملة تركز على عمليات الاحتيال المتعلقة بتسليم الطرود.

تستخدم اصطلاحات التسمية بشكل كبير الكلمات الرئيسية المرتبطة بروايات «التسليم الفاشل»:

  • إعادة تسليم
  • التعامل مع
  • جزء
  • يمكن نقص/غطاء

على الرغم من أن النطاقات كانت غير متصلة بالإنترنت، إلا أن تجميعها حول نفس مزود الاستضافة يتماشى مع البنية التحتية الأوسع لـ «PayTool» والاحتيال على التذاكر. يشير هذا إلى نمط ثابت من استغلال ثقة العلامة التجارية باستخدام المجالات التي يمكن التخلص منها لإنشاء شبكة واسعة للضحايا.

انتحال شخصية الخطوط الجوية الكندية وأخطاء إملائية

يستهدف فرع متميز من هذه الحملة قطاع السفر من خلال انتحال شخصية طيران كندا. على عكس عمليات الاحتيال المتعلقة بالتذاكر والبريد، والتي تعتمد بشكل كبير على الرسائل القصيرة (Smishing)، يبدو أن هذه المجموعة مدفوعة بـ تسمم تحسين محركات البحث والأخطاء المطبعية.

تتضمن أنماط المجال التي تمت ملاحظتها:

  • aircanda-booking [.] com (إغفال الأحرف)
  • air-canada-booking [.] com (تكرار الأحرف)
  • airscanada-booking [.] com (استبدال الأحرف)
لقطة شاشة للصفحة المقصودة المنتحلة لشركة طيران كندا

الهدف هو اعتراض المستخدمين الذين يخطئون في كتابة النطاق الشرعي أو ينقرون على إعلانات محرك البحث الضارة. علاوة على ذلك، حددت استعلامات FOFA خوادم متعددة تستضيف هذه المجالات باستخدام:

  • تجزئات Favicon المتطابقة المطابقة لموقع Air Canada الرسمي.
  • عناوين الصفحات المنسوخة.

تظهر نتائج بحث FOFA مجموعة الحيوانات المستنسخة من شركة طيران كندا

هذا يؤكد الاستنساخ المتعمد لأصول العلامات التجارية المشروعة بدلاً من التقليد السطحي. من المحتمل أن يستغل المهاجمون الاحتيال في شركات الطيران للأسباب التالية:

  • يتوقع المستخدمون إدخال تفاصيل الدفع للحجوزات.
  • توفر رسوم التعديل والأمتعة ذريعة طبيعية للرسوم.
  • المواعيد النهائية للسفر تقلل من شكوك الضحايا.

يوضح هذا التوسع أن الجهات الفاعلة في مجال التهديد لا تقتصر على انتحال شخصية الخدمات الحكومية؛ فهي تعمل بشكل فعال على تنويع أهدافها لاستغلال القطاعات التجارية حيث يكون الإلحاح المالي أمرًا شائعًا.

العلاقة مع نشاط المنتديات السرية

تؤكد المعلومات التي تم جمعها من العديد من منتديات الجرائم الإلكترونية على الويب المظلم أن انتشار هذه الحملات المحلية مدفوع بنموذج «التصيد الاحتيالي كخدمة» (PhaaS). حدد تحليلنا جهة تهديد تعمل تحت الاسم المستعار «theghostorder01»، وتبيع بنشاط مجموعة أدوات التصيد الاحتيالي المتخصصة المصممة لمحاكاة عملية تجديد رخصة القيادة في أونتاريو على العديد من منتديات الويب المظلمة.

ممثل التهديد يدرج صفحة احتيال أونتاريو على DarkForums، المصدر: GTI CloudSek 

يسلط الإعلان الضوء على قدرة المجموعة على جمع نقاط البيانات عالية القيمة، بما في ذلك:

  • المعلومات الشخصية (PII): الاسم الكامل والعنوان وتفاصيل الترخيص.
  • بيانات الاعتماد المصرفية: تستهدف على وجه التحديد عمليات تسجيل الدخول إلى Interac e-Transfer لتسهيل عمليات الاستحواذ الفورية على الحساب.
  • بيانات الدفع: أرقام بطاقات الائتمان ورموز CVV.
لقطة شاشة تمت مشاركتها بواسطة ممثل التهديد الذي ينتحل شخصية صفحة رخصة القيادة في أونتاريو، مدعيًا أنها تحتوي على 14 صفحة بنكية معنية.

يقوم الممثل بتسهيل المبيعات والدعم عبر قنوات برقية مختلفة. للتحقق من صحة هذه الادعاءات، تعامل أحد مصادرنا مع ممثل التهديد. أثناء التفاعل، لم يتمكن البائع من إثبات أي معالجة للبيانات من جانب الخادم أو البنية التحتية المستضافة. أيضًا عند سؤاله عن كيفية التقاط بيانات الضحايا وتسليمها، قدم الممثل ردودًا غامضة، مشيرًا إلى أنه سيتم إرسال النتائج عبر البريد الإلكتروني أو منصات المراسلة.

في حين أن معالجة البيانات المسربة تقع على عاتق المشتري في معظم الحالات، إلا أن حاجز إعداد البنية التحتية الخلفية قد انخفض بشكل كبير. يمكن للجهات الفاعلة في مجال التهديد الآن استخدام أدوات Gen AI لكتابة منطق الواجهة الخلفية بسرعة لمعالجة بيانات الضحايا. بالإضافة إلى ذلك، بدلاً من قاعدة البيانات المعقدة من جانب الخادم، يمكن جلب بيانات الضحية عبر API ودفعها مباشرة إلى الروبوتات ومنصات المراسلة في الوقت الفعلي، وهي وظيفة تتطلب الحد الأدنى من المهارات الفنية لتنفيذها.

Threat Actor Profiling
Active since2024
Reputation0
Current StatusACTIVE
History The threat actor has been active for at least two years and operates under the same username across multiple underground forums. Recent leaks revealed the email theghostorder01@gmail.com. The activity mainly advertising and selling custom phishing (“scampage”) source code targeting banks, cryptocurrency platforms, webmail providers, government services, and e-commerce brands majorly targeting UK, Canada, Australia and United States.
RatingMedium
Payment MethodsUSDT (TRC-20), Bitcoin (BTC)
Crypto Assets (USDT)TWNCawkk3NbPZsY6mdnog8Sn7rS2vue95d
Crypto Assets (Bitcoin)bc1qvhxkqujf347apsgy65ffykste0jy6txhgejhm048ukrys7cm6d3q2v4ze7

تقييم التأثير والمخاطر

  • تسوية البيانات الجماعية: تسوية واسعة النطاق لمعلومات تحديد الهوية الشخصية والبيانات المالية، بما في ذلك تفاصيل بطاقة الائتمان وبيانات اعتماد Interac e-Transfer، مما يتيح عمليات الاستحواذ على الحسابات والاحتيال المالي المباشر.
  • تآكل الثقة العامة: زيادة تآكل ثقة الضحايا في الحكومة الكندية الشرعية وخدمات العلامات التجارية الوطنية (CRA، Canada Post، Air Canada، PayBC، ServiceOntario).
  • تنويع القطاع: توسيع نطاق الهجوم من خلال التنويع في قطاعات متعددة (الخدمات الحكومية والتسليم البريدي وشركات الطيران)، مما يزيد من التعرض للاحتيال بشكل عام.
  • مخاطر السمعة: المخاطر التنظيمية والسمعة المحتملة للمؤسسات التي يتم إساءة استخدام علاماتها التجارية وبنيتها التحتية في حملات التصيد عالية الدقة هذه.

التخفيف

  • قم بفرض مراقبة استباقية للنطاقات القائمة على الأخطاء المطبعية والقائمة على الكلمات الرئيسية (مثل التذاكر والبوابة والمخالفة والحجز والطرود) والشروع في إجراءات الإزالة السريعة.
  • قم بتطبيق عناصر تحكم DNS وبوابة الويب لحظر النطاقات المسجلة حديثًا ونطاقات TLDs المشبوهة (.live، .info) ونطاقات IP المعروفة المتعلقة بـ Paytool.
  • تعزيز حملات التوعية العامة مع التأكيد على أن الوكالات الحكومية الكندية وشركات الطيران لا تطلب مدفوعات أو بيانات حساسة عبر روابط الرسائل القصيرة.
  • يمكنك نشر الاكتشافات المستندة إلى معلومات التهديدات لتحديد أنماط الاستضافة المشتركة وتجزئات الرموز المفضلة وإعادة استخدام عنوان الصفحة عبر البنية التحتية للتصيد الاحتيالي.
  • شجع المستخدمين على الوصول إلى الخدمات فقط من خلال البوابات الرسمية المرجعية (على سبيل المثال، canada.ca، PayBC، ServiceOntario، aircanada.com) بدلاً من الروابط في الرسائل أو الإعلانات.

الخاتمة

يسلط هذا التحقيق الضوء على تطور كبير في حملات التصيد الاحتيالي التي تستهدف الفئة السكانية الكندية. وبالانتقال إلى ما هو أبعد من إغراءات «استرداد الضرائب» العامة، تستفيد الجهات الفاعلة في مجال التهديد الآن من الموضوعات المحلية للغاية والتي تدرك السياق والتي تتراوح من غرامات PayBC السريعة وتجديدات ServiceOntario إلى تعديلات الحجز الخاصة بشركة Air Canada.

يؤكد اكتشاف مطوري أدوات التصيد الاحتيالي على الويب المظلم أن هذه عملية سلعية، مما يضمن إمدادًا ثابتًا بالنطاقات الجديدة والقوالب المحدثة.

نظرًا لأن هذه الهجمات تعتمد بشكل كبير على الاستعجال (الغرامات غير المدفوعة) والثقة (العلامة التجارية الحكومية)، يجب على المنظمات والمستخدمين أن يظلوا يقظين ضد النطاقات التي تستخدم نطاقات TLDs غير المنتظمة (على سبيل المثال، .live، .info) والتحقق من الروابط مباشرةً من خلال البوابات الإقليمية الرسمية.

Indicators of Compromise (IoCs) — Domains

Domain Registrar Creation Date Updated Date Expiration Date
justice-ticket-portal[.]comMAT BAO CORPORATION2025-12-142025-12-142026-12-14
paybc-portal[.]livePDR Ltd. d/b/a PublicDomainRegistry.com2025-07-192025-07-192026-07-19
bc-account[.]comPDR Ltd. d/b/a PublicDomainRegistry.com2024-05-202024-05-202025-05-20
paytool-bc-2025[.]comHosting Concepts B.V. d/b/a Registrar.eu2025-07-142025-07-242026-07-14
paybconline-ticket[.]livePDR Ltd. d/b/a PublicDomainRegistry.com2025-06-292025-11-242026-06-29
bc-infraction[.]comNICENIC INTERNATIONAL GROUP CO., LIMITED2025-10-192025-10-272026-10-19
vancouver-infraction[.]comNICENIC INTERNATIONAL GROUP CO., LIMITED2025-10-202025-10-222026-10-20
ontarioticketpay[.]livePDR Ltd. d/b/a PublicDomainRegistry.com2025-07-092025-11-242026-07-09
ontario-paytool-2025[.]comHosting Concepts B.V. d/b/a Registrar.eu2025-07-092025-07-272026-07-09
serviceon-ticket[.]livePDR Ltd. d/b/a PublicDomainRegistry.com2025-06-292025-07-042026-06-29
overdueticketinfraction[.]infoNameSilo, LLC2025-08-072025-10-212026-08-07
ville-montreal-pay[.]comHosting Concepts B.V. d/b/a Registrar.eu2025-07-062025-07-242026-07-06
amende-enligne-qc[.]comHosting Concepts B.V. d/b/a Registrar.eu2025-07-052025-07-242026-07-05
ville-montreal-ticket[.]livePDR Ltd. d/b/a PublicDomainRegistry.com2025-06-222025-11-242026-06-22
a25pont-laval[.]comNICENIC INTERNATIONAL GROUP CO., LIMITED2025-10-212025-10-242026-10-21
paytool-ab-2025[.]comHosting Concepts B.V. d/b/a Registrar.eu2025-07-142025-07-242026-07-14
serviceab-ticket[.]livePDR Ltd. d/b/a PublicDomainRegistry.com2025-06-292025-07-112026-06-29
ab-speed[.]comNICENIC INTERNATIONAL GROUP CO., LIMITED2025-10-162025-10-202026-10-16
abmarketworks[.]comDYNADOT LLC2003-05-182025-06-272026-05-18
outel[.]abmarketworks[.]comDynadot Inc2003-05-182025-06-272026-05-18
parking-portal[.]livePDR Ltd. d/b/a PublicDomainRegistry.com2025-07-092025-07-142026-07-09
unpaid-ticket-ca[.]livePDR Ltd. d/b/a PublicDomainRegistry.com2025-06-262025-11-242026-06-26
parking-fines[.]comOwnRegistrar, Inc.2025-12-162025-12-202026-12-16
speedfines[.]comOwnRegistrar, Inc.2025-12-082025-12-152026-12-08
paytoll-canada[.]comTUCOWS DOMAINS, INC.2025-07-032025-07-092026-07-03
quickplate-check[.]comOwnRegistrar, Inc.2025-06-292025-06-292026-06-29
ticket-search-portal[.]comMAT BAO CORPORATION2025-11-292025-12-092026-11-29
search-ticket-portal[.]comMAT BAO CORPORATION2025-11-292025-12-092026-11-29
ticket-search-violation[.]comMAT BAO CORPORATION2025-11-292025-12-092026-11-29
ticket-search-violations[.]comMAT BAO CORPORATION2025-11-292025-12-092026-11-29
ticket-portal-search[.]comMAT BAO CORPORATION2025-11-292025-12-092026-11-29
search-portal-ticket[.]comMAT BAO CORPORATION2025-11-292025-12-092026-11-29
ticket-portal-infractions[.]comMAT BAO CORPORATION2025-11-292025-12-092026-11-29
ticket-portal-infraction[.]comMAT BAO CORPORATION2025-11-292025-12-092026-11-29
ticket-portal-violations[.]comMAT BAO CORPORATION2025-11-292025-12-092026-11-29
ticket-portal-violation[.]comMAT BAO CORPORATION2025-11-292025-12-092026-11-29
my-traffic-ticket-portal[.]comGlobal Domain Group LLC2025-09-232025-12-122026-09-23
my-traffic-tickets-portal[.]comGlobal Domain Group LLC2025-10-222025-10-302026-10-22
my-traffics-citations[.]comDominet (HK) Limited2025-10-282025-11-042026-10-28
my-traffics-citation[.]comDominet (HK) Limited2025-10-282025-11-042026-10-28
my-traffic-citations[.]comDominet (HK) Limited2025-10-282025-11-042026-10-28
my-traffic-citation[.]comDominet (HK) Limited2025-10-282025-11-042026-10-28
my-traffic-violations[.]comGlobal Domain Group LLC2025-10-232025-10-302026-10-23
my-traffic-violation[.]comDominet (HK) Limited2025-10-222025-11-022026-10-22
my-traffic-offence[.]comGlobal Domain Group LLC2025-10-242025-10-302026-10-24
postcan-track-elment[.]livePDR Ltd. d/b/a PublicDomainRegistry.com2025-06-182025-11-242026-06-18
handlingpostecan1[.]comPDR Ltd. d/b/a PublicDomainRegistry.com2025-07-242025-09-072026-07-24
www[.]handlingpostecan1[.]comPDR Ltd. d/b/a PublicDomainRegistry.com2025-07-242025-09-072026-07-24
redeliverparcel[.]infoPDR Ltd. d/b/a PublicDomainRegistry.com2025-09-182025-09-272026-09-18
capost[.]redeliverparcel[.]info-2025-09-182025-09-182025-09-16
handlingxpress[.]infoPDR Ltd. d/b/a PublicDomainRegistry.com2025-09-132025-09-182026-09-13
capost[.]handlingxpress[.]info-2025-09-132025-09-132026-09-13
handlingparcel[.]infoNameSilo, LLC2025-09-072025-10-212026-09-07
canpost[.]handlingparcel[.]info-2025-09-072025-09-072026-09-07
aircanda-booking[.]comNAMECHEAP INC2025-08-062025-08-062026-08-06
air-canaada-booking[.]comNAMECHEAP INC2025-11-032025-11-042026-11-03
airscanada-booking[.]comNAMECHEAP INC2025-11-032025-11-042026-11-03

عناوين IP

45.156.87.145

45.156.87.131

45.156.87.143

45.156.87.213

198.23.156.130

162.243.100.252

192.109.138.183

209.141.50.110

3.99.171.190

15.223.72.181

35.183.85.238

3.97.15.116

35.183.132.238

35.182.194.55

3.96.139.96

15.156.206.92

3.97.9.55

99.79.60.130

المراجع:

جاينام شاه نيلشبهاي
Cyber threat researcher focusing on tracking APT campaigns, OSINT and threat hunting.
No items found.

Related Blogs

This is some text inside of a div block.
استخبارات الخصم
December 29, 2025
8
min
رودوتش دوت نت نيد ريكتل
Read more
This is some text inside of a div block.
استخبارات الخصم
December 24, 2025
9
min
شركة Silver Fox تستهدف الهند باستخدام خدع التصيد الاحتيالي ذات الطابع الضريبي
Read more
This is some text inside of a div block.
استخبارات الخصم
November 27, 2025
12
min
تكتشف CloudSek أكثر من 2,000 متجر مزيف تحت عنوان العطلات يستغل الجمعة السوداء والمبيعات الاحتفالية
Read more