Кибергруппировка ShadowSilk: трансграничный альянс для хищения данных

Кампания демонстрирует сложную структуру: ShadowSilk состоит из двух подгрупп с операторами, говорящими на русском и китайском языках. Хотя точный характер их сотрудничества остаётся не до конца ясным, обнаруженные технические и инфраструктурные пересечения указывают на скоординированные действия. В ходе расследования, проведенного совместно со специалистами Group-IB и CERT-KG, был получен образ сервера злоумышленников, что позволило детально изучить их тактики, техники и процедуры (TTPs).

Основной целью группировки во всех наблюдаемых случаях было хищение конфиденциальных данных. Для этого использовался разнообразный инструментарий: публичные эксплойты, включая уязвимости CVE-2018-7600, CVE-2018-7602 и CVE-2024-27956, инструменты для тестирования на проникновение, такие как Cobalt Strike и Metasploit, а также веб-панели для управления зараженными устройствами, приобретенные на теневых форумах. Важной особенностью стало активное использование мессенджера Telegram в качестве канала командования и управления (C2). Созданные боты позволяли операторам удаленно выполнять команды, загружать вредоносные модули и экфильтрировать данные, маскируя трафик под легитимную активность.

Расследование выявило любопытные операционные детали. Русскоязычные операторы, судя по анализу сервера, использовали русскую раскладку клавиатуры, что иногда приводило к опечаткам при вводе команд на английском. Также наблюдалась активность по тестированию вредоносного ПО на их собственных машинах. Китайскоязычная составляющая была подтверждена благодаря обнаруженным скриншотам рабочих столов, на которых были видны китайские иероглифы, инструменты для сканирования уязвимостей на китайском языке и активность, связанная с целевыми веб-сайтами государственных структур.

После публикации первых данных о деятельности группировки в январе 2025 года, ShadowSilk отказалась от значительной части своей инфраструктуры. Однако уже в июне 2025 года Group-IB зафиксировала новую волну активности с использованием обновленных Telegram-ботов и слегка модифицированных инструментов. Это свидетельствует о высокой адаптивности и устойчивости угрозы.

Сценарий атак обычно включал в себя фишинговые письма, побуждающие жертв открыть защищенный паролем архив и запустить исполняемый файл. После получения первоначального доступа злоумышленники обеспечивали постоянство (persistence) через изменение реестра Windows, проводили внутреннюю разведку с помощью утилит вроде fscan, повышали привилегии и воровали учетные данные, используя как стандартные возможности фреймворков, так и кастомные инструменты. Финальной стадией было выполнение специализированного PowerShell-скрипта для поиска, архивации и отправки документов определённых форматов на контролируемые серверы.

Раскрытие деятельности ShadowSilk подчеркивает растущую сложность и профессионализацию киберугроз, нацеленных на государственный сектор. Использование легитимных сервисов, таких как Telegram, двуязычный состав и способность быстро восстанавливать инфраструктуру после раскрытия делают эту группировку значительной угрозой, требующей повышенного внимания со стороны служб безопасности по всему миру.

IPv4

• 141.98.82.198
• 168.100.8.21
• 179.60.150.151
• 193.124.203.226
• 5.188.86.233
• 64.7.198.46
• 64.7.198.66
• 65.38.120.38
• 65.38.121.107
• 72.4.43.100
• 72.5.43.100
• 81.19.136.241
• 85.209.128.171
• 88.214.26.37
• 91.212.89.197

Domains

• adm-govuz.com
• admin.inboxsession.info
• auth.allcloudindex.com
• document.hometowncity.cloud
• document.mailboxarea.cloud
• document.webmailsession.com
• emails-cloud.com
• ex.wincorpupdates.com
• inbox.docworldme.com
• mailboxdownload.com
• message.mailboxarea.cloud
• mosreg.docworldme.com
• openpdfllc.com
• pweobmxdlboi.com
• ss.qwadx.com
• sss.qwadx.com

URLs

• http://141.98.82.198:9942/
• http://193.124.203.226:9942/
• http://81.19.136.241:9942/
• http://88.214.26.37:9942/

SHA1

• 00bf14e8153778835f95b9255ae1658e37819f8d
• 0135f8420c61babee43625dbba2a23ef9a12477d
• 0279a25ee68fc23e91a353fbcd28f71c21e691fc
• 04f2504f7f00f65e001709650affb90a86404e74
• 11b0b620d0f0c4269a191d4ad9fd2042fb5e9d6c
• 16bd4dc2befb4f64aaecf74818a347cd1a02c30d
• 2cf77e48cf5699aac449c91552804e17edb04a71
• 46bcac8ced15bf5bc1f2d9e463508273da6fa8e8
• 471e1de3e1a7b0506f6492371a687cde4e278ed8
• 488066ea37be17a8103d414c2593c7abb108ae95
• 4d1426c0e04056396f8526a42afbb42f869db85b
• 4e98b193d5539bf1ded86a6ddea696288f0a1a3e
• 55d214fa9aa4d17cdd222f7deb4c5ec7e71ed4be
• 5731274d1e7f0131e055ec34530f05ee603ef03b
• 5e6254ebcf8ea518716c6090658b89960f425ab3
• 7006ff7361522f36a25fabd9b91cf755c42c8cd7
• 84fcc10fef6409c9f50d56bf4f17070b51149841
• 85bb5a95db5b088b3e2f2c9f308b91d21d81e04d
• 97bab01611d34ae97c368bd2c852f155b7286134
• 9f4826cff6196b4a84fd9243fd6e6879c220b274
• b8ddc728483f1fe251d6ab64b401f297d993be39
• bcb1fd11b6b2f5046d4e5e8f714a8968d8a5d91d
• c02dd4d05a75e038c633d7d62669f2e1484f4b76
• c805c64a9e22f7ae3dea79f9215c60cdf32d87b8
• ca12e8975097d1591cda08d095d4af09b05da83f
• d840b0b3039be6cce673e6e07da5bd5e76628434
• dcb2d87b51de33f6d5fe53f777ad678c0af88a68
• ded2a5d2a7ebf3af1dc392c1af1e4b31fdc7cabc
• f385da641f2e506766a42dde81bb0fab13f845ee
• fb3db25d5dfe21e3c457756b8bd865c560323527
• fbbf624503001a981095356d1bd26bbf206a0df2