WINNTIのお話。

■ドメイン登録から手がかりを得る 攻撃者は、通常、複数のドメインを利用して、マルウェアを拡散して複数のコマンド＆コントロール（C&C）サーバに誘導します。ドメイン名を登録する際には必ず、住所、メールアドレスおよび電話番号など身元を証明する情報が必要となります。特に、メールアドレスは、ドメイン管理事業者がドメイン購入の確認や管理に必要な情報を送信する宛先となるため最も重要です
多くの攻撃者は、使い捨てのメールアドレスを作成するか、あるいは窃取したメールアドレスを利用します。どちらも容易に作成や取得が可能です。しかし、攻撃者によっては、ドメインを新規登録する度に別の情報を用意するのが面倒になり、メールアドレスを使い回すようになることがあります。
トレンドマイクロは、WINNTIに利用される、2014年から2015年の間に登録されたドメインを入念に解析し、1つの傾向が明らかになりました。これら複数のドメインは、WINNTI集団が特定のマルウェアを拡散するために用いる C&Cサーバに利用されていました。そして、それらの C&Cサーバのドメイン登録に利用された１つの登録情報を特定することにより、WINNTI と関連すると見られる「Hack520」というハンドルネームを利用する個人の詳細が明らかになりました。

サイバー犯罪者集団「WINNTI」に関与するメンバーを特定か | トレンドマイクロ セキュリティブログ