Группа APT SideWinder, известная своей многолетней шпионской деятельностью в Южной Азии, развернула новую масштабную операцию под кодовым названием SouthNet. Согласно данным аналитиков Hunt.io, киберпреступники сосредоточили усилия на морском секторе, целенаправленно атакуя правительственные и военные организации Пакистана и Шри-Ланки.
Описание
Масштабы операции
В ходе операции было выявлено более 50 вредоносных доменов, размещенных на бесплатных хостинговых платформах Netlify, pages.dev, workers.dev и b4a.run. Злоумышленники создавали фишинговые порталы, имитирующие системы электронной почты Outlook и Zimbra, для кражи учетных данных. География атак охватила пять стран региона: Бангладеш, Непал, Мьянму, Пакистан и Шри-Ланку, причем на Пакистан пришлось 40% всех идентифицированных доменов.
С августа по сентябрь 2025 года исследователи зафиксировали не менее 12 документов с вредоносным кодом, тематически связанных с деятельностью министерских комитетов, двусторонними визитами и военными закупками. Особую озабоченность вызывает обнаружение открытых директорий с восемью образцами вредоносного программного обеспечения, нацеленного на морской сектор Пакистана.
Тактика и методы
Анализ инфраструктуры показал прямую связь текущей кампании с предыдущими операциями SideWinder через домены командных серверов govmm[.]org, govnp[.]org и andc[.]govaf[.]org. Это свидетельствует о повторном использовании инфраструктуры на протяжении нескольких лет.
Фальшивые порталы успешно перехватывали вводимые учетные данные через прямые POST-запросы без перенаправлений, а логи передавались на инфраструктуру technologysupport[.]help. Средняя частота появления новых фишинговых доменов составляла каждые 3-5 дней, что указывает на высокую оперативную готовность группы к быстрой смене тактики.
В Бангладеш злоумышленники использовали порталы "защищенных файлов" Управления генерального директора по оборонным закупкам, предлагая пользователям ввести учетные данные для доступа к документам по турецкому оборонному оборудованию. В Непале атаки были нацелены на Министерство финансов через поддельную страницу входа в веб-почту Outlook, где в качестве приманки использовался документ о визите премьер-министра в Китай.
Целевые организации
В Пакистане атакам подверглись Космическое и исследовательское управление верхних слоев атмосферы, Управление аэропортов и Совет по инвестициям. Злоумышленники применяли изощренную тактику с кодированием адресов электронной почты в Base64 и многоэтапными перенаправлениями для скрытия фишингового процесса.
В Мьянме была обнаружена фишинговая кампания против Центрального банка через поддельный вход в Zimbra Web Client. Анализ инфраструктуры выявил три IP-адреса, связанных с этой атакой, на которых размещались вредоносные исполняемые файлы и скрипты.
Исследователи также зафиксировали перекрестную активность в Сингапуре, где три фишинговых портала имитировали Министерство трудовых ресурсов, хотя прямая связь с SideWinder на данном этапе не подтверждена.
Морская направленность
Особое внимание привлекли открытые директории, содержащие исполняемые файлы, DLL и документы-приманки, явно нацеленные на морской сектор. Были идентифицированы шесть уникальных доменов и IP-адресов командных серверов, включая тематические названия, связанные с портами Коломбо и Гвадар.
Аналитики обнаружили такие файлы-приманки, как Training_Program_July_2024.pdf.url, Navy_Operational_Highlights_2025.zip и Incident_Report_Gwadar_Port_Complex.pdf.exe, что подтверждает целенаправленный характер кампании на морской сектор Пакистана и Шри-Ланки.
Рекомендации по защите
Эксперты рекомендуют организациям усилить мониторинг бесплатных хостинговых платформ на предмет появления фишинговых порталов с государственной тематикой. Ключевое значение имеет непрерывное внедрение индикаторов компрометации в системы SIEM и EDR, а также блокировка подозрительных перенаправлений и усиленная фильтрация попыток входа в поддельные системы Zimbra и Outlook.
Не менее важным представляется обучение государственных и оборонных сотрудников распознаванию фишинговых атак на основе документов с запросами на вход в системы. Для ограничения перемещения злоумышленников после компрометации рекомендуется внедрение многофакторной аутентификации и сегментация критически важных сетей.
Операция SouthNet демонстрирует, что APT SideWinder остается одной из наиболее устойчивых и адаптивных групп угроз в Южной Азии, сочетая в своей деятельности техническую изощренность и прагматичный подход к повторному использованию инфраструктуры. Региональное сотрудничество между национальными CERT и SOC приобретает особое значение в условиях трансграничного характера операций группировки.
Индикаторы компрометации
IPv4
- 159.100.6.5
- 18.160.41.38
- 193.57.138.22
- 31.14.142.50
- 46.183.184.245
- 47.236.177.123
- 5.255.113.9
- 89.46.65.19
- 98.84.224.111
Domains
- andc.govaf.org
- b4a.run
- blue-term-c168.gov-pkgov.workers.dev
- colombo-port.ddns.net
- drive-nepal-gov.com
- govmm.org
- gwadarport.ddns.net
- mail-776f305796709f2d567e6868feaba274-gov-pk-investment.pages.dev
- mailcbmgovmm.pages.dev
- mall-ministryoffinance-np.netlify.app
- myanmar-org-mail.com
- Navy_Operational_Highlights_2025.zip
- secure-ntc.net
- technologysupport.help
- themegaprovider.ddns.net
Domain Port Combinations
- gwadarport.ddns.net:9090
URLs
- http://blue-term-c168.gov-pkgov.workers.dev/
- http://maif-piac-aero.gov-pkgov.workers.dev/
- http://mail.pof-gov-pk.workers.dev/
- http://mail-mod-gov-pk.pakistan-gov-pk.workers.dev/
- http://mail-modp.gov-pkgov.workers.dev/
- http://mail-ntc-net-pk.gov-pkgov.workers.dev/
- http://pythonscanner.gov-pkgov.workers.dev/
- http://webmail.cybar-net-pk.workers.dev/
- http://worker-dark-paper-2231.gov-pkgov.workers.dev/
- http://workermdxxx.naychilin-pk.workers.dev/
- http://worker-patient-wave-96d1.pakistan-gov-pk.workers.dev/
- http://www-nepalgovernment-genz-agendapdf.netlify.app/
- https://autodiscover-paa-gov-pk-auth-logon-aspx.pages.dev
- https://dgdp-product-details-2025-turkey.netlify.app/
- https://doc-ye9wbezc.b4a.run/
- https://drive-dgdp-gov-bd-confidential-files.netlify.app/
- https://drive-dgdp-gov-bd-files.netlify.app/
- https://drive-nepal-gov-np-files.netlify.app/
- https://gooogle.files-cyber-net-pk.workers.dev/
- https://helpful-national-poilcy-nepla-gov-np.netlify.app/
- https://mail-aviation-gov-pk-pdf.pages.dev/
- https://mail-depo-gov-pk.govtpak.workers.dev/
- https://maill-govtnepal-gov-np.netlify.app/
- https://maill-nepalgv-gov-np.netlify.app/
- https://mail-minfinance-gov-np.netlify.app/
- https://mail-mod-gov-np-download-pdf.netlify.app/
- https://mail-modp-gov-pk.pak-gov-pk.workers.dev/
- https://mail-moha-gov-np-download.netlify.app/
- https://mail-paa-gov-pk.pages.dev/error
- https://mail-suparco-gov-pk-owa-auth-logon-aspx.pages.dev
- https://mall-ministryoffinance-np.netlify.app/
- https://na-gov-pk-meeting-pac.pages.dev/
- https://ntc-06gd0upz.b4a.run/login
- https://owa-suparco-gov-pk-logon-aspx.pages.dev
- https://owa-suparco-gov-pk-owa-autho.pages.dev
- https://posta-nhq43i6x.b4a.run/login
- https://secure-ntc.net/Advisory/NTC/2025/05/hit.gov.pk/
- https://uploads.ptcl-gov-pk.workers.dev/
- https://verify.mod-defence-lk.workers.dev/
- https://viewpdfonline-1wgtaeus.b4a.run/
- https://webmail-hubpower-com-error.pages.dev/login
- https://webservermail-g2689far.b4a.run/login
- https://www-foreignaffairs-nepal-com.netlify.app/
MD5
- 00603c207062e8f8576225067a7c5269
- 00c1ecc716c9206964b50529661fee7c
- 04acac204ff3fbd18115982478adb7e5
- 13e321fed4903d136f19ad54b885650b
- 487da072770a77a568cb43b7a5f9cdcd
- 5b4eebe67765339f2a4ef7f0cc1d4f44
- 799b9aa10e223b13577f9685c7808280
- 7a6723cea87ba7c098f022ad92abf865
- 80b8048876db5af4578a6ad9690e2bfa
- b6fb42a8ff8ea93addf1c3a99abfe10a
- bc5543b39d89cda6832706948945f567
- c1a5863ad6f31ecc1a9079927c69cbf2
- e57860d18607667ca76a5046b97976c3
- f3081479986fee38211b28247b185d65
