В мире кибершпионажа произошло заметное событие, демонстрирующее эволюцию тактик одной из известных угроз. Группа APT-Q-27, также известная как GoldenEyeDog и Dragon Breath, возродила многолетнюю вредоносную кампанию, использовав для распространения своего инструмента новый, легитимно выданный код-сайнинг сертификат расширенной проверки (Extended Validation, EV). Этот шаг значительно повышает скрытность атаки, позволяя вредоносному ПО обходить базовые защитные механизмы операционных систем, такие как SmartScreen в Windows. Инцидент в очередной раз подчёркивает, что злоумышленники активно атакуют цепочки поставок программного обеспечения и используют сложные методы для легитимации своих инструментов.
Описание
Новый образец вредоносного ПО, замаскированный под обновление для популярной игры The Sims 4, был обнаружен 7 апреля 2026 года на платформе MalwareBazaar. Файл "sims-4-updater-v1.4.7.exe" представляет собой 64-битный бэкдор, который, в отличие от своих более ранних, неподписанных версий, теперь снабжён цифровой подписью. Сертификат был выпущен удостоверяющим центром DigiCert для южнокорейской компании MobSoft Co., Ltd. всего за пять дней до появления троянца в открытом доступе - 2 апреля 2026 года. Использование такого свежего EV-сертификата является тревожным признаком оперативной работы злоумышленников по получению или компрометации легитимных инструментов для подписи кода. Исследователи сообщили, что процесс отзыва этого сертификата уже инициирован.
Анализ артефактов исполнения файла однозначно связывает его с деятельностью группы APT-Q-27. В частности, используются характерные для этой группы мьютекс ("Global\DHGGlobalMutex") и ветки реестра ("HKCU\offlinekey"), предназначенные для управления функциями кейлоггера и перехвата содержимого буфера обмена. Кроме того, путь к файлам отладки (PDB), оставшийся в коде ("C:\Users\Administrator\Desktop\photo\java2.0\x64\Release\java2.0.pdb"), совпадает с утечками, ранее наблюдавшимися в инструментарии GoldenEyeDog. Это позволяет с высокой долей уверенности атрибутировать кампанию данной продвинутой постоянной угрозе (Advanced Persistent Threat, APT).
Инфраструктура управления и контроля (Command and Control, C2) атаки также демонстрирует высокий уровень подготовки. Основной сервер "lightindividual.com" размещён на хостинге Webzilla в Далласе, США, который известен как "пуленепробиваемый" (bulletproof), то есть слабо реагирующий на жалобы о вредоносной активности. Для извлечения конфигурации бэкдор использует так называемые "мёртвые дропы" - публичные сервисы вроде "rentry.co" и "gist.githubusercontent.com", где в открытом виде размещаются зашифрованные или закодированные инструкции. Такой подход позволяет злоумышленникам гибко менять параметры атаки, не внося изменений в сам вредоносный файл, и усложняет блокировку на уровне сетевых фильтров.
Особую озабоченность вызывает канал распространения. Файл связан с доменом "anadius.su", который много лет является известным в сообществе поклонников The Sims ресурсом для распространения нелицензионного дополнительного контента (DLC). На данный момент неясно, была ли сама площадка "anadius.su" скомпрометирована, или злоумышленники создали её зеркало для распространения троянца. В любом случае, это указывает на целенаправленную эксплуатацию доверия внутри нишевых игровых сообществ. Группа APT-Q-27 исторически фокусировалась на атаках на игровой и гемблинговый сектор в Юго-Восточной Азии, и расширение на западную аудиторию через такую популярную франшизу, как The Sims, выглядит логичным шагом для кражи учётных данных и финансовой информации.
Этот инцидент имеет несколько важных практических следствий для специалистов по безопасности. Во-первых, он подтверждает, что наличие цифровой подписи, особенно EV-сертификата, больше не может считаться гарантией доверия. Защитные решения должны учитывать не только факт подписи, но и возраст сертификата, репутацию издателя и контекст запуска файла. Во-вторых, атаки через игровое ПО и модификации остаются слабо защищённым вектором, который часто упускается из виду корпоративными политиками безопасности, особенно в контексте личных устройств сотрудников, используемых для удалённой работы. В-третьих, использование публичных paste-сервисов и хостингов кода в качестве "мёртвых дропов" требует от защитников мониторинга нестандартных сетевых подключений к таким доменам с рабочих станций, не связанных с разработкой. Борьба с такими развитыми угрозами требует комплексного подхода, сочетающего технический контроль, анализ поведения и постоянное отслеживание тактик, техник и процедур (TTP) акторов.
Индикаторы компрометации
IPv4
- 74.117.183.164
- 74.117.183.165
- 91.149.227.100
Domains
- anadius.su
- gist.githubusercontent.com
- lightindividual.com
- rentry.co
- rentry.org
MD5
- 2a9cfae1039fcc214433222a5cc7d4c7
SHA1
- fab36ed43bc619c6e7afd03e7a51b2d956afb9e4
SHA256
- 85113d10061110c755626eec419703a57e82afebaf95064c83cf5d4c5c55193a
- d261d8e19a2165642060a815b8b482b1b56190109cae0c693ef5be82e4df733e