Иранская группа APT34 атаковала энергетику Таиланда через скомпрометированный сертификат IT-поставщика

Группа OilRig, деятельность которой с высокой долей уверенности связывают с иранским Министерством разведки и безопасности (MOIS), известна целенаправленными атаками на государственные структуры и объекты критической инфраструктуры, в первую очередь в энергетическом секторе. Её появление в Юго-Восточной Азии закономерно расширяет географию операций коллектива, ранее фокусировавшегося на Ближнем Востоке. Новое расследование выявило, как группировка адаптирует свои проверенные методы подписи вредоносов легитимными сертификатами для атаки на нового регионального игрока.

Расследование началось в ходе рутинной охоты за угрозами в платформе PolySwarm, когда аналитики обратили внимание на кластер образцов бэкдора Karkoff - инструмента, эксклюзивно ассоциируемого с OilRig. Среди них выделился файл, цифровая подпись которого была выдана на имя MOSCII CORPORATION CO., LTD. - реальной тайской компании, основанной в 2002 году и специализирующейся на корпоративном IT. Внутреннее имя файла, egatdools.exe, отсылало к Управлению по производству электроэнергии Таиланда (EGAT), ключевому государственному энергетическому предприятию, которое, вероятно, входит в клиентскую базу MOSCII. Этот паттерн - компрометация доверенного IT-поставщика для последующего доступа к его клиентам из числа критической инфраструктуры - является визитной карточкой OilRig, ранее наблюдавшейся в операциях на Ближнем Востоке.

Последующий поиск по всему массиву данных PolySwarm с использованием скомпрометированного сертификата в качестве ключевого индикатора компрометации (IOC) выявил два дополнительных вредоносных образца, подписанных тем же ключом. Важно отметить, что эти образцы, отправленные в систему 12 марта 2026 года, практически не детектировались антивирусными движками на момент анализа, что указывает на активные и скрытные операции. Эксперты PolySwarm сообщили, что данная инфраструктура и факта злоупотребления сертификатами ранее не описывались в открытых источниках разведданных об угрозах, что делает находку уникальной.

С технической точки зрения, обнаруженный подписанный образец Karkoff демонстрирует высокий уровень операционной безопасности. Бэкдор, написанный на .NET, предоставляет злоумышленникам удалённый доступ, выполнение команд и сбор данных, маскируясь под легитимную утилиту для управления устройствами (TOOLS.Net4). Параллельно был обнаружен второй вариант Karkoff размером 10 МБ с поддельной датой компиляции 2014 года. Такой нестандартно большой размер, вероятно, является техникой уклонения от автоматического анализа в песочницах, которые часто имеют лимит на размер загружаемых файлов. Всё это говорит о целенаправленной работе злоумышленников над снижением заметности своих инструментов.

Последствия подобной активности могут быть серьёзными для Таиланда и региона в целом. Успешное внедрение в сети энергетической компании через обновления или служебное ПО доверенного поставщика открывает путь для длительного шпионажа, сбора конфиденциальной операционной информации и, в потенциальном сценарии эскалации, для деструктивных действий. Факт использования именно EV-сертификата, для получения которого требуется строгая проверка юридического лица удостоверяющим центром, указывает либо на прямое проникновение в инфраструктуру MOSCII с кражей закрытого ключа, либо на изощрённую социальную инженерию.

Для организаций, особенно в энергетическом секторе Таиланда и других стран Юго-Восточной Азии, данный инцидент служит тревожным сигналом. Он подчёркивает необходимость тщательного мониторинга цепочки поставок программного обеспечения и управления цифровыми сертификатами. Специалистам по безопасности рекомендуется провести аудит на предмет наличия файлов с указанным именем или, что более важно, любых исполняемых файлов, подписанных сертификатом MOSCII Corporation, выпущенным Entrust в период с сентября 2022 по сентябрь 2025 года. Также критически важно наладить диалог с поставщиками IT-услуг о процедурах защиты их разработки и инфраструктуры.

Обнаружение этой кампании стало возможным благодаря корреляционному анализу в рамках платформы PolySwarm, что демонстрирует ценность подобных систем для проактивного поиска угроз, особенно когда речь идёт о целевых атаках с низкой обнаруживаемостью. Активность OilRig с использованием сертификата MOSCII - это не изолированный инцидент, а часть долгосрочной стратегии государственно-спонсируемой группы, которая продолжает совершенствовать свои методы, стремясь оставаться в тени, пока ведёт разведывательную деятельность против стратегических целей.

SHA256

• 014aa93767f2a9e007c45b04c1665fa466b6bd78a94f0456b87158546352c079
• 076ba910589bba4e03eb7cd2b769f5a8d4232f75e7b620be0e3cc03d08f6ddea
• 216f6c98a716b8f5bc0cda61ff0947252bf05d27bb16067d54d8706a45b453ac
• 27a74df534eb05042603676b1237da6abfd8505597be1858c5a161e8af4a313b
• 40d32e87ea0ed02b060abde7be2c3de34dd369bb2da41b717cd804c92b48b34a
• 497d7e83b9a021f44699f5844018189421c0d429830995497a6e8352419a2330
• 6d40a9aea28570d2835c46ae78dc27d0986aabfce8277d8af178337831be137c
• 95fd3f06689e7e279daf8c5ca636970a3c94d8cc04cc3a6bcfe58fe58f903dfc
• a37b33fe504370a41b7d2eefd33fbd97c5be5e9c2f94ea4a4d943cdffe177d61
• A8f39a7d116a57136f148ca5b0b64c1621d12e971d1484566b7ac3d0608dede9
• ab2294175edbfa71cb275dac49deac2ffaf1dce4d0bab3c7d95ccb4bef684128
• ce446f6da9a6a62ca0832a135c44cf13c7fe02ffd8efd8f123dbc0b06f03a38a