Китайская APT-группа Tropic Trooper использует троянизированный PDF-ридер и GitHub для шпионажа в Азии

Инцидент был обнаружен экспертами Zscaler 12 марта 2026 года. Аналитики нашли вредоносный ZIP-архив, содержащий документы военной и промышленной тематики на китайском языке. Среди них был файл, замаскированный под PDF-документ с анализом сотрудничества США, Великобритании и Австралии в области атомных подводных лодок. На самом деле этот исполняемый файл являлся модифицированной, троянизированной версией популярной бесплатной программы для чтения PDF SumatraPDF.

Механизм атаки представлял собой многостадийную цепочку. При запуске поддельного ридера происходило несколько событий одновременно. Во-первых, для отвлечения внимания жертвы с того же сервера злоумышленников загружался и открывался настоящий PDF-документ, соответствующий названию файла. Во-вторых, и это было ключевым действием, в память системы загружался и исполнялся вредоносный шелл-код - загрузчик, известный под именем TOSHIS. Именно этот компонент, по данным аналитиков, является одним из ключевых маркеров, связывающих кампанию с группой Tropic Trooper.

Загрузчик TOSHIS, в свою очередь, отвечал за доставку финальной полезной нагрузки - агента фреймворка AdaptixC2 Beacon. Это открытый инструмент для создания систем командования и управления (Command and Control, C2), который злоумышленники существенно доработали. Вместо использования классических серверов они интегрировали агента с платформой GitHub, превратив её в центр управления ботнетом. Агент конфигурировался для связи с конкретным репозиторием на GitHub, где через механизм Issues (задач) получал команды и загружал результаты их выполнения.

Использование публичных и легитимных сервисов, таких как GitHub, является распространённой тактикой уклонения от обнаружения. Подобная инфраструктура сложнее блокируется системами безопасности, так как трафик к крупным доверенным платформам редко вызывает подозрения. Аналитики Zscaler отметили, что злоумышленники уделяли особое внимание операционной безопасности: загруженные на GitHub данные, содержащие сеансовые ключи шифрования, удалялись в течение 10 секунд после отправки, что делало невозможным расшифровку перехваченного трафика для сторонних наблюдателей.

После получения первоначального доступа к системе группа Tropic Trooper проводила разведку с помощью стандартных системных команд, таких как "arp /a" или "net view". Если компьютер представлял интерес, атака переходила в следующую фазу: злоумышленники разворачивали на нём редактор кода Visual Studio Code (VS Code), чтобы воспользоваться его встроенной функцией "туннелей" (tunnels). Эта легитимная функция позволяет создавать безопасные подключения к удалённым машинам для разработки, однако в руках злоумышленников она превратилась в инструмент для постоянного скрытого доступа, обходящего корпоративные межсетевые экраны.

На промежуточном сервере, с которого велась атака, также были обнаружены другие образцы вредоносного программного обеспечения, исторически связанные с Tropic Trooper. Среди них - бэкдор EntryShell, использующий известный ключ шифрования, и вариант вредоносной нагрузки Cobalt Strike Beacon с цифровым водяным знаком "520". Cobalt Strike - это легитимный фреймворк для тестирования на проникновение, который активно используется и киберпреступниками. Совокупность этих инструментов, техник и процедур (TTPs) позволила исследователям с высокой уверенностью атрибутировать операцию.

Данная кампания демонстрирует эволюцию методов APT-групп, которые всё чаще комбинируют сложные техники внедрения с эксплуатацией доверенных облачных сервисов. Использование троянизированного легитимного ПО затрудняет обнаружение сигнатурами, а применение таких платформ, как GitHub или VS Code, маскирует вредоносный трафик под обычную активность пользователя или разработчика. Подобные атаки представляют серьёзную угрозу для организаций в сфере высоких технологий, обороны и государственного управления, поскольку нацелены на кражу интеллектуальной собственности и конфиденциальных данных. Успешное противодействие им требует не только классических средств защиты, но и глубокого поведенческого анализа, позволяющего выявлять аномалии в использовании как стандартного, так и облачного программного обеспечения.

IPv4

• 158.247.193.100

URLs

• https://47.76.236.58:4430/Divide/developement/GIZWQVCLF
• https://47.76.236.58:4430/Originate/contacts/CX4YJ5JI7RZ
• https://api.github.com/repos/cvaS23uchsahs/rss/issues
• https://stg.lsmartv.com:8443/Divide/developement/GIZWQVCLF
• https://stg.lsmartv.com:8443/Originate/contacts/CX4YJ5JI7RZ

MD5

• 2d7cc3646c287d6355def362916c6d26
• 3238d2f6b9ea9825eb61ae5e80e7365c
• 67fcf5c21474d314aa0b27b0ce8befb2
• 71fa755b6ba012e1713c9101c7329f8d
• 89daa54fada8798c5f4e21738c8ea0b4
• 9a69b717ec4e8a35ae595aa6762d3c27
• c620b4671a5715eec0e9f3b93e6532ba
• e2dc48ef24da000b8fc1354fa31ca9ae

SHA1

• 19e3c4df728e3e657cb9496cd4aaf69648470b63
• 2c65433696037f4ce0f8c9a1d78bdd6835c1b94d
• 343be0f2077901ea5b5b9fb97d97892ac1a907e6
• 401cc16d79d94c32da3f66df21d66ffd71603c14
• 6c68dc2e33780e07596c3c06aa819ea460b3d125
• adb47733c224fc8c0f7edc61becb578e560435ab
• bd618c9e1e10891fe666839650fa406833d70afd
• c2051635ccfdc0b48c260e7ceeee3f96bf026fea

SHA256

• 3936f522f187f8f67dda3dc88abfd170f6ba873af81fc31bbf1fdbcad1b2a7fb
• 3c29c72a59133dd9eb23953211129fd8275a11b91a3b8dddb3c6e502b6b63edb
• 47c7ce0e3816647b23bb180725c7233e505f61c35e7776d47fd448009e887857
• 6eaea92394e115cd6d5bab9ae1c6d088806229aae320e6c519c2d2210dbc94fe
• 7a95ce0b5f201d9880a6844a1db69aac7d1a0bf1c88f85989264caf6c82c6001
• a4f2131eb497afe5f78d8d6e534df2b8d75c5b9b565c3ec17a323afe5355da26
• aeec65bac035789073b567753284b64ce0b95bbae62cf79e1479714238af0eb7
• b92a3a1cf5786b6e08643483387b77640cd44f84df1169dd00efde7af46b5714