Ink Dragon: китайская APT превращает жертв в узлы распределённой шпионской сети

Группировка расширила географию своих целей, включив в неё правительственные организации в Европе, сохраняя при этом активность в Юго-Восточной Азии и Южной Америке. Для начального доступа Ink Dragon продолжает использовать давно известные уязвимости, такие как десериализация ViewState в серверах IIS и SharePoint, связанная с предсказуемыми ключами machineKey. Более того, в июле 2025 года операторы были среди первых, кто начал массовое сканирование на наличие уязвимости ToolShell в SharePoint, что указывает на доступ к эксплойтам на ранней стадии.

После получения доступа атакующие развёртывают специализированный модуль для IIS, известный как ShadowPad IIS Listener. Этот модуль позволяет превратить скомпрометированный веб-сервер в активный узел управления и ретрансляции. Критически важно, что он незаметно перехватывает определённый HTTP-трафик, в то время как легитимные запросы продолжают обрабатываться обычным образом. Таким образом, сервер становится скрытым прокси, через который команды могут передаваться другим жертвам, образуя многослойную mesh-сеть.

Эта архитектура предоставляет операторам несколько стратегических преимуществ. Истинные командные серверы остаются скрытыми, так как трафик проходит через цепочку ничего не подозревающих организаций. Кроме того, подобный межорганизационный трафик часто выглядит легитимным, что затрудняет его выделение средствами сетевой защиты. Каждая новая жертва потенциально становится новым звеном в этой глобальной инфраструктуре, повышая её устойчивость и скрытность.

Внутри сети жертвы атакующие применяют отработанный набор инструментов и процедур для расширения контроля. Сбор учётных данных, в частности с помощью собственного инструмента LalsDumper для дампинга памяти LSASS, позволяет быстро повысить привилегии. Для скрытного выполнения полезной нагрузки используется нестандартный метод с загрузкой через отладчик Microsoft (cdb.exe). Кроме того, группировка активно применяет боковую загрузку, маскируя вредоносные библиотеки под легитимные компоненты, подписанные известными вендорами.

Для долгосрочного контроля и сбора данных Ink Dragon использует усовершенствованную версию бэкдора FinalDraft. Этот инструмент отличается высокой скрытностью, так как использует для командования облачный API Microsoft Graph, маскируя коммуникацию под легальный почтовый трафик. Новая версия обладает улучшенной пропускной способностью для эксфильтрации данных и включает функции для сбора истории RDP-сессий, что помогает операторам изучать инфраструктуру жертвы.

Эксперты также отмечают, что на некоторых тех же самых системах, скомпрометированных Ink Dragon, были обнаружены следы деятельности другой группировки, известной как RudePanda. Это указывает на возможное пересечение интересов или использование одинаковых уязвимостей разными угрозами, что усложняет картину расследования для защитников.

В заключение, операции Ink Dragon иллюстрируют современный тренд в цифровом шпионаже, когда граница между скомпрометированным хостом и инфраструктурой управления стирается. Каждая жертва систематически превращается в элемент распределённой сети, управляемой злоумышленником. Следовательно, защитникам необходимо рассматривать инциденты не только как локальные нарушения, но и как потенциальные звенья в глобальной цепи. Успешное противодействие требует выявления и нейтрализации всей ретрансляционной цепочки, а не только точечного удаления вредоносного ПО с одного сервера.

SHA256

• 188ab2d68f17ecf08a7a4cfc6457c79b0a5117b3277352a7371a525416129114
• 2b57deb1f6f7d5448464b88bd96b47c5e2bd6e1c64c1b9214b57c4d35a591279
• 2e84ea5cef8a9a8a60c7553b5878a349a037cffeab4c7f40da5d0873ede7ff72
• 36f00887f6c0af63ef3c70a60a540c64040b13a4209b975e96ce239e65548d4a
• 7efe5c1229178c1b48f6750c846575e7f48d17ea817997bd7acba0e5ecf1e577
• 809ddcbb64d6f2ccc4a8909068da60e6ea8b3ebd9c09dd826def0e188c7a2da2
• 866fde351251092fb5532e743459ba80968cd5516cce813c8755467f5e8a47a1
• a86e72ca58de6d215a59ae233963eaea27fe47ef0c9f43938e27339df4a86732
• b4a53f117722fb4af0a64d30ec8aa4c4c82f456e3d2a5c5111c63ce261f3b547
• c305b3b3f9426d024cdd262497a5d196264397bfed445705759d0a793a58fe6e
• d88115113e274071b03a3b4c1da99eaea7b8d94adf833dfd26943af0a6d78b4d
• e2f6e722c26e19b76396c2502cacf2aaceaaa1486865578c665ebf0065641ffa
• ecf0fbd72aac684b03930ad2ff9cdd386e9c13ddf449f27918f337dc8963590e
• f094ff83d4b7d06bc17b15db7d7dc0e622778b0eda71e8fc9fdf7db83c460426
• f438ca355e6888c4c9cd7287b22cfe5773992ef83f0b16e72fb9ae239d85586c
• f9dd0b57a5c133ca0c4cab3cca1ac8debdc4a798b452167a1e5af78653af00c1