从涉诈域名来看，其主要是通过Cname的方式解析至site01.g*.r*，解析的18个中国某地区服务器，最早解析时间为2021年12月，最近解析时间为2022年5月，说明该黑产团伙从2021年12月已开始实施攻击行为。根据域名的上线时间，我们发现诈骗团伙十分谨慎，域名在传播前才上线，从而降低域名过早外露导致被拦截。

Cname至site01.g*.r*的域名达500+，其中xyz、uho的域名使用的最多达400+，并生成不同的钓鱼子域名，内容是冒充ETC、冒充国家医疗保障局。

通过g*.r*域名解析记录来看，其2022年使用的子域名过百个，使用的服务器IP超过10个，域名服务器分布在阿根廷、美国等地。其中可能用于做域名解析跳转的子域名共9个，其特点是子域名为site*，IP均指向中国某地区。

从攻防手段来看，“缅北魔方”组织，使用了多级域名轮换进行域名防护和隐藏自身，但相较于缅北其他的诈骗组织使用的攻防手段，缺少了使用CDN对服务器IP的保护。