В первой половине 2025 года глобальные финансовые рынки столкнулись с беспрецедентными изменениями, вызванными историческим ростом цен на золото. Резкое увеличение стоимости драгоценного металла было спровоцировано сочетанием факторов: расхождением в денежно-кредитной политике ведущих экономик, обострением геополитической напряженности и снижением прогнозов по global economic growth. Это привело к наплыву инвестиций в золото как защитный актив, значительно увеличив объемы средств в финансовых институтах, связанных с золототорговлей. Такой экономический контекст создал исключительно привлекательные условия для киберпреступников, рассчитывающих на высокую отдачу от своих операций.
Описание
В мае 2024 года центр киберразведки компании QiAnXin раскрыл деятельность advanced persistent threat (APT) группы UTG-Q-010, нацеленной на игровую и искусственного интеллекта отрасли. После публикации отчета злоумышленники предприняли низкокачественные spear-phishing атаки на корпоративные почтовые ящики, связанные с локализованными технологическими решениями. Спустя год, в июле 2025, с помощью движка Tianqing "Liuhe" для обнаружения сложных угроз и аналитических процессов команды HongYudi, была выявлена новая кампания UTG-Q-010.
Атака была нацелена на клиентов, устанавливавших финансовое программное обеспечение с официальных сайтов гонконгских компаний "Jinrong China" (jrjr.hk) и "Wanzhou Gold Industry" (wzg.com). Оба являются лицензированными золототорговцами категории AA и популярны среди состоятельных инвесторов. При установке пакетов upway_desktop.exe и wzgoldgroup5setup.exe сработали правила безопасности, а последующий анализ подтвердил наличие вредоносного кода. На текущий момент файлы на сайтах заменены на чистые версии.
Вредоносные установщики, помимо стандартной процедуры инсталляции, размещали в каталоге C:\Windows\Tasks компоненты типа "белое-черное" (white-black). Библиотека msdtctm.dll с экспортируемой функцией DtcMainExt выполняла логику загрузчика, согласующуюся с активностью 2024 года. Она осуществляла запрос к https://cloudcenter.top/sys/systemupdate для получения loader и shellcode в память.
Ключевым отличием новой кампании стала замена полезной нагрузки: вместо PupyRAT злоумышленники использовали новый фреймворк AdaptixC2, впервые обнаруженный в 2025 году. Командование и управление осуществлялись через cloudcenter.top/api/update. Функциональность AdaptixC2 сопоставима с традиционными penetration testing инструментами, такими как Cobalt Strike, Sliver, Havoc и Mythic. Анализ показал полное соответствие исходному коду, размещенному на GitHub. Движок Tianqing "Liuhe" уже реализует детектирование и обезвреживание AdaptixC2 в памяти.
Данные пассивной DNS системы QiAnXin демонстрируют значительное расширение зоны воздействия по сравнению с прошлогодними атаками. Если ранее под удар попадали mainly игровая индустрия, искусственный интеллект и здравоохранение, то теперь жертвами стали организации финансового, производственного и культурного секторов.
Все продукты QiAnXin, включая платформу обработки threat intelligence (TIP), Tianqing, систему обнаружения угроз Tianyan, NGSOC и решение для мониторинга кибербезопасности, получили обновления для точного выявления подобных атак. Эксперты reiterate важность проверки источников программного обеспечения, использования современных средств защиты и оперативного применения исправлений.
Индикаторы компрометации
Domains
- cloudcenter.top
MD5
- 3d60c16bbe50c562429a50b21dd6fcc0
- af99f2aa90026f0690d44d9747cd7a78
