Otkrivena koordinisana mreža za distribuciju CSAM sadržaja na mreži X

Vezano za nezakonite ruske operacije uticaja na platformi X, istraživači Alliance4Europe (A4E), neprofitne organizacije čija je misija zaštita i unapređenje demokratije i osnovnih vrednosti u Evropi, otkrili su delovanje koordinisane mreže (CIB – Coordinated Inauthentic Behaviour) koja je širila sadržaje koji prikazuju seksualno zlostavljanje dece (CSAM).
Mreža je otimala heštegove, objavljivala eksplicitne video snimke, i preusmeravala korisnike na druge platforme, zbog čega je nazvana “Operation X-ploitation”.

Kao vodeći istraživač Alliance4Europe Saman Nazari prijavio je slučaj belgijskoj policiji i organizaciji ChildFocus 18. jula.

Šta je CIB mreža?

To su internet nalozi koji pokazuju koordinisani i neprirodan obrazac ponašanja, često usmeren na amplifikaciju sadržaja ili manipulaciju publikom.

Zbog intenzivne upotrebe botova za komentarisanje i pregleda video zapisa, teško je proceniti stvaran broj pregleda, ali su neki video snimci postigli preko 20 – 30 hiljada pregleda i stotine neautentičnih komentara.
Istraga je trajala od 18. do 22. jula 2025. Međutim, dokazi ukazuju da operacija traje od najmanje 17. maja. Do 28. jula, platforma X je počela da reaguje – brže je suspendovala naloge, uvodila starosna ograničenja i čistila heštegove, ali nije zaustavila mrežu. Novi nalozi se i dalje se pojavljuju s manjom vidljivošću.
“Kada je moj istraživački nalog dobio starosnu verifikaciju, CSAM sadržaj je ponovo postao dostupan, što ukazuje da osnovni problemi – lakoća kreiranja naloga i neadekvatna moderacija – nisu rešeni”, kaže Nazari.

Analiza CIB mreže

Otkriveno je više od 150 naloga koji dele CSAM video sadržaj, pri čemu su novi nalozi kreirani i tokom istrage. Čini se da je cilj mreže profitirati – prodajom CSAM-a ili preusmeravanjem ka potencijalnim prevarama.
Otkriveno je da nalozi deluju automatizovano i imaju gotovo identične obrasce ponašanja, ali vode korisnike ka različitim sadržajima. Neki nalozi bili su hakovani, drugi su stvoreni za ovu operaciju, a neki su prepravljeni spam nalozi. Imena naloga sugerišu raznoliku geografiju – neko zovu vietnam-ski, drugi menjaju imena na engleski jezik.

Taktika uključuje poplavljivanje određenih heštegova, automatizovanim komentarima se pojačava sadržaj, a heštegovi služe kao agregator za CSAM sadržaj.
Poveznice vode ka Telegramu, Discordu i posebnim sajtovima, što sugeriše da su nalozi deo šire mreže koja servisira više klijenata ili više mreža koristi slične tehnike.
Ova povezanost ukazuje na mogućnost kupovine naloga ili njihove prerade za ovu svrhu.

Taktike mreže

Sadržaj mreže je građен od sledećih elemenata: Hashtags, tekst, linkovi, video sadržaj i komentari.

Nalozi koriste 19 specifičnih heštegova, često povezanih sa pojmovima poput „mama“, „tinejdžeri“, incest, pornografija.
Korišćeni heštegovi mogu jednako lako uputiti i decu i odrasle ka neprimernom sadržaju. Platforma X preporučuje povezane heštegove, što dodatno širi mrežu.

Širok domet i sistemski rizik

Mreža koristi spam taktike („Like, RT & Follow!“), i linkove ka CSAM prodavnicama, Telegram i Discord grupama, phishing mestima i drugim opasnim resursima. Jedan portal nudi priključenje uz plaćanje kriptovalutom. Brisanje pojedinačnih naloga ne zaustavlja širenje mreže – nove objave nastavljaju da se pojavljuju unutar minuta.

Sistemski problem i regulatorni okvir
Ova operacija koristi iste ranjivosti koje su ranije eksploatisane u ruskim operacijama uticaja (poput „Doppelganger“ i „Operation Overload“): lakoća kreiranja naloga, slaba moderacija i loše upravljanje rizicima. Takva situacija može predstavljati kršenja članova 34 i 35 Digital Services Act-a (DSA).

Prema preporukama istraživača nužna je strožija verifikacija naloga (telefonom, blacklistom email adresa, IP ograničenjem), bolje praćenje linkova i obrazaca ponašanja, sistematsko rešavanje ranjivosti, ne samo uklanjanje pojedinačnih naloga.

Iako se nalozi uklanjaju, novi se konstantno pojavljuju pod istim heštegovima. Tokom istrage, identifikovano je više od 150 takvih naloga, i iako se velika većina suspenduje u roku od nekoliko sati, poplava CSAM sadržaja se ne zaustavlja.

Na primer, pod jednim od heštegova, CSAM sadržaj se objavljuje svakih 1 do 10 minuta i to kontinuirano tokom tri dana. Postoji nekoliko različitih varijacija teksta koje ovi nalozi koriste. Te varijacije sadrže različite komponente koje se kombinuju u objavama.
Jedna od najčešće ponavljanih fraza je: „Znaš šta ti je činiti – Like, RT & Follow!“ i „BEBI👀 Znaš šta ti je činiti – Like, RT & Follow! 😎“, u kombinaciji sa raznim heštegovima.
Druga verzija koristi nasumični niz teksta, nakon čega sledi reč „ideas“ i neki emodži.
Treća komponenta uključuje frazu „Seen This“ (Viđeno) praćenu emodžijima.
Četvrta često korišćena fraza je „Check This“ takođe praćena emodžijima.
Gotovo svi postovi sadrže nasumične nizove brojeva i/ili slova, koji su priloženi na kraju.
Sve objave pokušavaju da preusmere korisnike na eksterne veb-sajtove ili komunikacione platforme.

Nalozi koriste video snimke kako bi privukli pažnju publike, a zatim ih preusmeravaju na spoljne linkove.

Ti linkovi vode ka: Veb-sajtovima koji prodaju foldere sa materijalom seksualnog zlostavljanja dece (CSAM), Telegram nalozima i grupama, kao i Discord grupama koje omogućavaju pristup CSAM sadržaju, (Moguće) prevarantskim alatima za „hakovanje“ Snapchat naloga, Sajtovima za upoznavanje, stranicama za preuzimanje alata koji izgledaju kao privatne/zaštićene aplikacije za četovanje, a zapravo služe za pristup zajednicama koje dele CSAM.

Neki od ovih linkova podsećaju na rusku operaciju uticaja „Doppelganger“, koja je poznata po tome što maskira krajnju destinaciju linkova kroz preusmeravanja, dok drugi to ne rade. Iako su nalozi na platformi X koji su delili ove linkove uklonjeni, X ne blokira same linkove, što napadačima omogućava da nastave sa širenjem sadržaja koristeći druge, jednokratne naloge.

Na jednom od pojačano promovisanim profila, može se videti da nude prodaju pristupa paketima CSAM sadržaja.

Hosting veb stranice je skriven iza Cloudflare-a, što onemogućava praćenje provajdera hostinga ili vlasnika u ovoj fazi.

Potrebno je dalje istražiti da li su eksterne stranice nekako povezane jedna sa drugom i da li su nekako „pregledave“ nekome ko bi znao šta da traži.

Na primer, članstvo u privatnom ćaskanju može biti preduslov za preuzimanje sadržaja iz Telegram grupa.

Video sadržaj

Nalozi često dele iste video zapise u određenom periodu. Drugim rečima, čini se da se talasi različitih video zapisa pojavljuju istovremeno.
Video zapisi prikazuju decu, od mališana do tinejdžera, koja su seksualno zlostavljana, silovana ili su na drugi način eksplicitno izložena. Neki od video zapisa imaju brendiranje, koje se odnosi na vezu koju pokušavaju da pojačaju. Neki od video zapisa imaju komentare ispod njih koji takođe prikazuju liste video zapisa.

Komentari

Nekoliko sekundi nakon što jedan nalog objavi originalnu objavu, niz drugih naloga počinje da preplavljuje objavu komentarima. Komentari sadrže ili linkove ka veb-sajtovima ili Telegram kanalima koji prodaju materijal sa seksualnim zlostavljanjem, ili tekst koji podstiče korisnike da provere svoje profile za „tinejdžerski sadržaj“ koristeći poseban font.
Iako se komentari automatski označavaju kao spam, objave se i dalje pojavljuju kao „najbolji“ sadržaj pod hashtagovima koje ciljaju, očigledno zahvaljujući ovom preplavljivanju komentarima.
Nalozi

Iako izgleda da postoje prazni nalozi koji se koriste isključivo u ovu svrhu, postoje i spam nalozi i hakovani nalozi koji su izgleda iskorišćeni.

Spam nalozi

Neki nalozi deluju kao generički spam nalozi, sa sadržajem poput reklama za kriptovalute, a zatim i CSAM sadržajem. Ovo sugeriše da se ti spam nalozi mogu koristiti kao usluga za profit, gde ljudi plaćaju da oni postavljaju nemodertirani sadržaj. Ako se ova mogućnost potvrdi, predstavljalo bi to veliki i nekontrolisani sistemski rizik.

Neki drugi spam nalozi objavljuju nasumične stvari, sa opisima koji su verovatno automatski generisani.

Posmatrani spam nalozi često su kreirani u poslednjih godinu dana, od marta do juna 2025. godine, i obično imaju mali broj pratilaca (posmatrano, od 0 do 32) i naloga koje prate (posmatrano, od 0 do 35).

U okviru analize posmatrani su spam nalozi sa zvučnim imenima sa Zapada, poput Linda Džons, Marija Grin i Elizabet Braun. Imaju veoma malo pratilaca i prate veoma malo naloga (između 0 i 5).

„Zapadni“ nalozi sadrže linkove koji vode do stranice koja poziva ljude da se pridruže CSAM Discord serveru. Discord linkovi sa „zapadnih“ naloga vode do sajtova koji sadrže maliciozni kod.

Međutim, drugi nalozi sa imenima nejasnog porekla deluju kao da vode do pravih Discord servera. Jedan od njih koristi izrazito eksplicitno ime.

Još jedna grupa spam naloga ima vijetnamska imena. Imaju nešto veći broj pratilaca (od 1 do 30) i prate više naloga (od 13 do 35). Vijetnamski nalozi pružaju linkove do različitih stranica: CPteen.pages.dev, pravi i aktivan CSAM sajt; razni Telegram kanali povezani sa CSAM sadržajem, kao što su „Dirtybox“, „Flamefolder“, „XStore“ i „Snapchat hack“.

Hakovani nalozi

Nekoliko naloga deluje kao da su bili neaktivni duži vremenski period, pokazujući autentično ponašanje, pre nego što su počeli da se koriste za distribuciju CSAM sadržaja, ponekad i nakon godina neaktivnosti.
Pornografske objave obično se dele jedna za drugom u kratkom vremenskom razmaku. Zabrinjavajuće je što neki hakovani nalozi zadržavaju profilne slike pravih ljudi.

Nalozi koji prate druge naloge

Mnogi nalozi, posebno oni sa profilnim slikama azijskih devojaka, prate druge slične spam naloge. Profil „Dang“ u nastavku je dobar primer ovog obrasca, koji je široko rasprostranjen.

Kako nalog koji objavljuje CSAM sadržaj, tako i nalozi koje on prati, postavljaju komentare koji izgledaju kao citati, praćeni slučajnim imenima. Značajno je da nalozi koje prati pornografski nalog ne objavljuju CSAM sadržaj.

Istraga je sprovođena u periodu od 18. do 22. jula 2025. Međutim, istraživači su pronašli dokaze da je operacija trajala bar od 17. maja. Tokom celog ovog perioda, iako nije moguće precizno izračunati, broj objava se procenjuje na milione, a operacija je uglavnom funkcionisala bez većih prekida.

Od 28. jula, X je počeo brže uklanjati pojedinačne sadržaje. Iako je to smanjilo intenzitet operacije, aktivnosti nisu zaustavljene. Dana 29. jula primećeno je i da je X-ov sistem za proveru starosti počeo da ograničava korisnike u pristupu sadržaju, što je onemogućavalo naloge koji komentarišu (deo CIB mreže) da pojačavaju sadržaj. To je donekle otežalo preuzimanje (hijacking) heštegova, ali nije ga potpuno zaustavilo.

Isprva je izgledalo da X reaguje na CSAM operaciju (skraćeno vreme uklanjanja sadržaja, redovno brisanje hashtagova ukazivalo je na to).

Međutim, kada je nalog istraživača dobio verifikaciju starosne dobi, CSAM sadržaj je ponovo postao dostupan, i operacija se vratila u punom obimu. Čini se da su neke od mera koje je X preduzeo povezane sa novom politikom ograničenja po starosnoj dobi.

Zaista, pristup X platforme deluje da se zasniva na primeni politike verifikacije starosne dobi kako bi se osetljiv sadržaj zaštitio od naloga korisnika mlađih od 18 godina. Ovo predstavlja odstupanje od prvobitnog odgovora platforme na operaciju, kada je X suspendovao naloge, verovatno zbog kršenja pravila platforme.
Primena politike verifikacije starosti podrazumeva da X automatski i proaktivno proverava starost korisnika.

Ova mera verifikacije starosti izgleda kao odgovor na novu potrebu usklađivanja sa Irskim kodeksom za bezbednost na internetu i Zakonom o bezbednosti na internetu u Velikoj Britaniji, koji uključuju odredbe o zaštiti starosne dobi kako bi se maloletni sprečili da pristupe štetnom sadržaju, uključujući pornografski i nasilni sadržaj.
Irski regulator medija je 24.jula reagovao na X po ovom pitanju. U tom smislu, mere nisu specifične za CSAM, niti sistematski rešavaju osnovni tehnički problem, poput blokiranja URL-ova, hashtagova i lakoće kreiranja lažnih naloga. Ažuriranje posle 6. avgusta pokazalo je da su istraživači mogli da potvrde da nalozi sa verifikovanom starošću i dalje mogu pristupiti sadržaju.

Operacija nastavlja da funkcioniše na sličan način kao i tokom početne istrage, dosežući desetine hiljada korisnika./The Geopost/