Главная страница » Индикаторы компрометации
0
2 дня
Индикаторы компрометации

Кибершпионы Silent Lynx: одна группа угрожает дипломатии Центральной Азии

APT

Группа кибершпионажа Silent Lynx, впервые идентифицированная экспертами Seqrite Labs, продолжает активные операции против государственных структур Центральной Азии. Несмотря на множество альтернативных названий, которые давали этой группе различные исследователи - YoroTrooper, Sturgeon Phisher, Cavalry Werewolf, ShadowSilk - команда Seqrite сохраняет первоначальное наименование для сохранения последовательности в отслеживании деятельности хакеров.

Описание

Целенаправленные атаки через фишинг

Группа известна проведением целенаправленных фишинговых кампаний, в ходе которых злоумышленники выдают себя за государственных служащих. Используя как собственные разработки, так и готовые инструменты из открытых источников, Silent Lynx фокусируется на целевых атаках на аналитические центры, правительственные организации Центральной Азии, Российские государственные структуры и некоторые страны Юго-Восточной Азии.

В ходе последних исследований выявлены две основные кампании, демонстрирующие географические предпочтения группы. Первая кампания, отслеживаемая с начала июня по сентябрь 2025 года, была нацелена на китайские и центральноазиатские правительственные аналитические центры с использованием темы саммита в Астане. Вторая кампания, обнаруженная в период с середины сентября по октябрь, использовала поддельные электронные письма от государственных структур Кыргызстана для атак на различные российские организации.

Технический арсенал и тактики

Исследователи обнаружили, что группа использует разнообразные вредоносные инструменты, демонстрируя при этом недостаточное внимание к операционной безопасности. В арсенале Silent Lynx присутствуют различные импланты, включая Silent Loader, Laplas и SilentSweeper, которые реализуют функционал обратных оболочек на C++, PowerShell и .NET.

Особенностью последних кампаний стало использование злоумышленниками GitHub для хранения вредоносных нагрузок вместо их прямого внедрения в исполняемые файлы. Это изменение тактики, однако, не скрывает сходства с предыдущими операциями группы - сохранена obsession с кодированием Base64 и использованием обратных оболочек.

Инфраструктура и целевые секторы

Анализ инфраструктуры показал использование серверов в России и Нидерландах, причем некоторые IP-адреса связаны с ранее неатрибутированными кампаниями. Группа демонстрирует особый интерес к дипломатическим отношениям между Азербайджаном и Россией, а также к китайско-центральноазиатскому сотрудничеству.

Основными целевыми секторами стали правительственные аналитические центры и дипломатические структуры, горнодобывающая промышленность, транспорт и коммуникации. Географический фокус включает Таджикистан, Азербайджан, Россию, Китай и другие страны Центральной Азии.

Операционные промахи и атрибуция

Исследователи отмечают многочисленные операционные ошибки группы, которые позволили связать различные кампании между собой. В частности, анализ метаданных LNK-файлов выявил общие рабочие каталоги, а инфраструктурные артефакты позволили обнаружить дополнительные неатрибутированные кампании.

Атрибуция кампаний группе Silent Lynx основана на нескольких факторах: сходстве арсенала вредоносных инструментов, единых тактиках проведения атак и совпадении географических интересов. Группа продолжает демонстрировать интерес к событиям в Душанбе, включая встречи глав государств России и Азербайджана, а также инфраструктурные проекты вроде автомобильной трассы Китай-Таджикистан.

Прогнозы и рекомендации

Эксперты предупреждают, что группа остается активной и может продолжить атаки на мероприятия, связанные с дипломатическими встречами в регионе. В частности, существует вероятность targeting предстоящей встречи секретарей Индии и Центральной Азии в октябре, хотя на момент публикации исследования подобные кампании не обнаружены.

Для защиты от угроз подобного рода организациям рекомендуется усилить меры безопасности при работе с электронной почтой, особенно в части проверки архивных вложений и использования средств защиты от фишинговых атак. Также важно отслеживание сетевой активности, связанной с известными адресами командных серверов группы.

Группа Silent Lynx демонстрирует постоянство в выборе целей и методов атак, что делает ее серьезной угрозой для государственных и дипломатических организаций Центральной Азии. Несмотря на отдельные операционные ошибки, группа продолжает совершенствовать свои инструменты и тактики, требуя повышенного внимания со стороны специалистов по кибербезопасности.

Индикаторы компрометации

IPv4

  • 37.18.27.27
  • 62.113.66.137
  • 62.113.66.7

Domains

  • catalog-update-update-microsoft.serveftp.com
  • updates-check-microsoft.ddns.net

URLs

  • http://206.189.11.142/

SHA256

  • 036a60aa2c62c8a9be89a2060e4300476aef1af2fd4d3dd8cac1bb286c520959
  • 0bce0e213690120afc94b53390d93a8874562de5ddcc5511c7b9b9d95cf8a15d
  • 123901fa1f91f68dacd9ec972e2137be7e1586f69e419fc12d82ab362ace0ba9
  • 1531f13142fc0ebfb7b406d99a02ec6441fc9e40725fe2d2ac11119780995cd3
  • 262f9c63c46a0c20d1feecbd0cad75dcb8f731aa5982fef47d2a87217ecda45b
  • 26aca51d555a0ea6d80715d8c6a9f49fea158dee11631735e16ea75c443a5802
  • 2c8efe6eb9f02bf003d489e846111ef3c6cab32168e6f02af7396e93938118dd
  • 303f03ae338fddfe77c6afab496ea5c3593d7831571ce697e2253d4b6ca8a69a
  • 32035c9d3b81ad72913f8db42038fcf6d95b51d4d84208067fe22cf6323f133c
  • 40d4d7b0bc47b1d30167dd7fc9bd6bd34d99b8e0ae2c4537f94716e58e7a5aeb
  • 5b58133de33e818e082a5661d151326bce5eeddea0ef4d860024c1dbb9f94639
  • 5bae9c364ee4f89af83e1c7d3d6ee93e7f2ea7bd72f9da47d78a88ab5cfbd5d4
  • 5e3533df6aa40e86063dd0c9d1cd235f4523d8a67d864aa958403d7b3273eaaf
  • 67cf0e32ad30a594442be87a99882fa4ac86494994eee23bdd21337adb804d3f
  • 6cb54ec004ff8b311e73ef8a8f69b8dd043b7b84c5499f4c6d79d462cea941d8
  • 72a36e1da800b5acec485ba8fa603cd2713de4ecc78498fcb5d306fc3e448c7b
  • 821f1ee371482bfa9b5ff1aff33705ed16e0147a9375d7a9969974c43b9e16e8
  • 97969978799100c7be211b9bf8a152bbd826ba6cb55377284537b381a4814216
  • 9de8bbc961ff450332f40935b739d6d546f4b2abf45aec713e86b37b0799526d
  • a639a9043334dcd95e7cd239f8816851517ebb3850c6066a4f64ac39281242a3
  • a83a8eb3b522c4517b8512f7f4e9335485fd5684b8653cde7f3b9b65c432fa81
  • ae51aef21ea4b422ef0c7eb025356e45d1ce405d66afbb3f6479d10d0600bcfd
  • b0ac155b99bc5cf17ecfd8d3c26037456bc59643344a3a30a92e2c71c4c6ce8d
  • b58f672e7fe22b3a41b507211480c660003823f814d58c04334ca9b7cdd01f92
  • b5a4f459bdff7947f27474840062cfce14ee2b1a0ef84da100679bc4aa2fcf77
  • b87712a6eea5310319043414eabe69462e12738d4f460e66a59c3acb5f30e32e
  • ef627bad812c25a665e886044217371f9e817770b892f65cff5877b02458374e
  • ffda4f894ca784ce34386c52b18d61c399eb2fc8c9af721933a5de1a8fff9e1b
Комментарии: 0
Похожие записи
0
15.10.2025
Индикаторы компрометации

Злоумышленники используют SVG-файлы для скрытой доставки вредоносного ПО в Колумбии

remote access Trojan
В последние месяцы эксперты по кибербезопасности зафиксировали значительный рост использования файлов формата SVG (Scalable Vector Graphics) в кампаниях по распространению вредоносного программного обеспечения.
0
20.10.2025
Индикаторы компрометации

Кампания Operation Silk Lure: злоумышленники используют задания планировщика для скрытой доставки ValleyRAT

information security
Лаборатория Seqrite обнаружила целенаправленную кампанию под кодовым названием Operation Silk Lure, в рамках которой киберпреступники атакуют китайских специалистов через фишинговые письма с поддельными резюме.
0
23.07.2025
Индикаторы компрометации

Кибератака на российский авиапром: хакеры используют имплант EAGLET для кражи данных

APT
Специалисты SEQRITE Labs обнаружили новую кибератаку, нацеленную на российскую аэрокосмическую промышленность. Операция, получившая название CargoTalon, использует вредоносный имплант EAGLET, распространяемый