Китайская хакерская группа UNC5174 расширила арсенал: обнаружена Windows-версия вредоносного ПО SNOWLIGHT

Критически важно, что анализируемые файлы были загружены в VirusTotal из Японии 30 октября 2025 года. Следовательно, существует высокая вероятность, что данная вредоносная программа использовалась в атаках UNC5174 против японских организаций. Это подтверждает растущую географическую экспансию группы и её интерес к японскому целевому пространству.

Windows-версия SNOWLIGHT функционально очень близка к своему Linux-аналогу и действует как загрузчик (downloader). Её исполнение начинается с запуска оболочки-кода (shellcode loader) msedgeupdate.dll. Этот модуль сначала создает мьютекс Global\MicrosoftEdgeUpdate для предотвращения множественного запуска. Затем он читает файл desktop.ini из той же папки и декодирует его содержимое с помощью XOR-операции с ключом 0x66825777, чтобы извлечь основной shellcode - саму программу SNOWLIGHT.

После извлечения shellcode размещается в исполняемой области памяти и запускается как оконная процедура для вновь созданного окна с именем MainWindow. Этот метод позволяет скрыть выполнение вредоносного кода под видом легитимного GUI-процесса. При запуске SNOWLIGHT использует технику API Hashing для динамического разрешения адресов Windows API функций. Имена модулей и API хэшируются с помощью алгоритма на основе ROR13, что затрудняет статический анализ.

Затем малвар проверяет наличие файла log_de.log в системной временной папке, получаемой через вызов GetTempPathA. Если файл существует, выполнение прекращается. Интересно, что аналогичная проверка на существование /tmp/log_de.log присутствует и в Linux-версии. Это может быть механизмом избегания повторного заражения или анализа.

Если файл log_de.log отсутствует, SNOWLIGHT отправляет HTTP GET-запрос на сервер управления. Запрос имеет специфический формат, включая параметры, указывающие на архитектуру (w32), хост C2 и порт. User-Agent в запросе содержит аномальные пробелы, что, как выяснилось позже, вероятно, является ошибкой разработчика. В ответ сервер присылает полезную нагрузку (payload), которая XOR-декодируется с ключом 0x99 и затем исполняется.

В данном случае загружаемой полезной нагрузкой оказался VShell - троянец удаленного доступа (RAT), написанный на Go. VShell использует WebSocket для связи с C2-сервером и предоставляет злоумышленнику возможности удаленной командной оболочки, управления файлами и другие функции. Ранее UNC5174 уже использовала связку SNOWLIGHT и VShell для Linux-систем. Появление Windows-версии демонстрирует адаптацию тактик группы под разные операционные среды.

Расследование выявило сеть связанных доменов и образцов. C2-хост w1.topayapp[.]org, указанный в образце, резолвится на IP-адрес 84.32.34[.]42. С этим же IP связаны другие подозрительные файлы в VirusTotal. Среди них - загрузчик shellcode, написанный на Go, который исполняет 64-битную Windows-версию другой вредоносной программы, известной как SNOWSHELL. Этот загрузчик использует AES-GCM для шифрования shellcode и злоупотребляет API-функцией EnumWindows для его выполнения. SNOWSHELL, в свою очередь, также загружает и запускает VShell.

C2-коммуникация Go-загрузчика схожа с SNOWLIGHT, но использует другой домен - w1.submit-data[.]com, который также указывает на 84.32.34[.]42. Кроме того, был обнаружен Linux x64-версия SNOWSHELL в формате исполняемого файла ELF. Ключевое отличие заключается в User-Agent: в Linux-версии он корректен, без лишних пробелов. Это подтверждает, что аномальный User-Agent в Windows-версиях был ошибкой разработки, а не преднамеренной тактикой. Домен для этой версии, l1.submit-data[.]com, также связан с тем же IP-адресом.

Обнаружение Windows-версии SNOWLIGHT подчеркивает эволюцию и адаптационные способности группы UNC5174. Расширение арсенала на платформу Microsoft Windows значительно увеличивает её потенциальный охват. Использование сложных техник, таких как API Hashing, запуск кода через оконные процедуры и многоэтапная загрузка, демонстрирует высокий уровень профессионализма. Связь всех компонентов с одним IP-адресом указывает на скоординированную инфраструктуру.

Для специалистов по безопасности крайне важно учитывать, что группа активно таргетирует японские организации. Рекомендуется тщательно мониторить сетевую активность, связанную с указанными доменами и IP-адресами, а также искать артефакты в файловых системах, такие как msedgeupdate.dll, desktop.ini с зашифрованным содержимым и файл log_de.log во временных директориях. Понимание полной цепочки атаки - от первоначального загрузчика до конечного RAT - является ключевым для эффективного обнаружения и реагирования на угрозы подобного класса.

IPv4

• 84.32.34.42

Domains

• l1.submit-data.com
• w1.submit-data.com
• w1.topayapp.org

SHA256

• 568768272e47a22ea0be3ec8be7665919b00b6a5f7269ef005f1148a3fa1376e
• 716805aa25d2920f82d1411898df27446ddf8f85ebc0625b621215f6bf909a73
• 72a2dc537f3414eba4b370d13ec0a32457078437541e93c238931bc756cc3f15
• 946f3935a4f69824e16bf815c3385cf6c1af4a5dd8df673861c286b8b65d7771
• c6c7865e0407f1925b098d72453ab1c31bae09fa1893d0e01bc0bebe65e64d25
• d4ce9744ab67f5c2298313a997b97e421de31f464e990d02dd4e55bf1fc5043d
• e22642373df0f75da74171aa72ea6244f79f5b2799264deb878e0b9c11d09f0a
• e9cdc34ea8354ce940d3ec9874a38f2e9b1ad3ca36ce6b09eb84825067aa9a1f