Китайская кампания по распространению вредоносного ПО имитирует легальные приложения

Аналитики Palo Alto зафиксировали две волны активности в мае 2025 года. В ходе расследования было выявлено 91 доменное имя, все из которых размещены на одном IP-адресе - 95.173.197[.]195. Общие регистрационные данные доменов свидетельствуют о том, что они, скорее всего, создавались автоматизированным способом.

Первая волна атаки началась 15 мая 2025 года с регистрации 40 доменов, начинающихся с префикса "guwaanzh". При нажатии на кнопку загрузки на этих сайтах пользователи перенаправляются на подконтрольный злоумышленникам ресурс — hxxps[:]//djbzdhygj[.]com/, где и происходит скачивание вредоносного файла.

Вторая волна активности зафиксирована 26 и 28 мая 2025 года, когда были зарегистрированы еще 51 домен с префиксом "xiazaizhadia". В этом случае кнопка загрузки перенаправляет на другой подозрительный сайт - hxxps[:]//yqmqhjgn[.]com/, также используемый для распространения вредоносного ПО.

Эксперты рекомендуют пользователям проявлять бдительность при скачивании программного обеспечения и проверять подлинность сайтов перед загрузкой файлов. Особую осторожность следует соблюдать при посещении ресурсов с китайскими доменами и незнакомыми адресами.

IPv4

• 154.19.85.229
• 95.173.197.195

Domains

• guwaanzh1.cyou
• guwaanzh10.cyou
• guwaanzh11.cyou
• guwaanzh12.cyou
• guwaanzh13.cyou
• guwaanzh14.cyou
• guwaanzh15.cyou
• guwaanzh16.cyou
• guwaanzh17.cyou
• guwaanzh18.cyou
• guwaanzh19.cyou
• guwaanzh2.cyou
• guwaanzh20.cyou
• guwaanzh21.cyou
• guwaanzh22.cyou
• guwaanzh23.cyou
• guwaanzh24.cyou
• guwaanzh25.cyou
• guwaanzh26.cyou
• guwaanzh27.cyou
• guwaanzh28.cyou
• guwaanzh29.cyou
• guwaanzh3.cyou
• guwaanzh30.cyou
• guwaanzh31.cyou
• guwaanzh32.cyou
• guwaanzh33.cyou
• guwaanzh34.cyou
• guwaanzh35.cyou
• guwaanzh36.cyou
• guwaanzh37.cyou
• guwaanzh38.cyou
• guwaanzh39.cyou
• guwaanzh4.cyou
• guwaanzh40.cyou
• guwaanzh5.cyou
• guwaanzh6.cyou
• guwaanzh7.cyou
• guwaanzh8.cyou
• guwaanzh9.cyou
• www.hao123.com
• xiaofeige.icu
• xiazaizhadia1.cyou
• xiazaizhadia10.cyou
• xiazaizhadia11.cyou
• xiazaizhadia12.cyou
• xiazaizhadia13.cyou
• xiazaizhadia14.cyou
• xiazaizhadia15.cyou
• xiazaizhadia16.cyou
• xiazaizhadia17.cyou
• xiazaizhadia18.cyou
• xiazaizhadia19.cyou
• xiazaizhadia2.cyou
• xiazaizhadia20.cyou
• xiazaizhadia21.cyou
• xiazaizhadia22.cyou
• xiazaizhadia23.cyou
• xiazaizhadia24.cyou
• xiazaizhadia25.cyou
• xiazaizhadia26.cyou
• xiazaizhadia27.cyou
• xiazaizhadia28.cyou
• xiazaizhadia29.cyou
• xiazaizhadia3.cyou
• xiazaizhadia30.cyou
• xiazaizhadia31.cyou
• xiazaizhadia32.cyou
• xiazaizhadia33.cyou
• xiazaizhadia34.cyou
• xiazaizhadia35.cyou
• xiazaizhadia36.cyou
• xiazaizhadia37.cyou
• xiazaizhadia38.cyou
• xiazaizhadia39.cyou
• xiazaizhadia4.cyou
• xiazaizhadia40.cyou
• xiazaizhadia41.cyou
• xiazaizhadia42.cyou
• xiazaizhadia43.cyou
• xiazaizhadia44.cyou
• xiazaizhadia45.cyou
• xiazaizhadia46.cyou
• xiazaizhadia47.cyou
• xiazaizhadia48.cyou
• xiazaizhadia49.cyou
• xiazaizhadia5.cyou
• xiazaizhadia50.cyou
• xiazaizhadia51.cyou
• xiazaizhadia6.cyou
• xiazaizhadia7.cyou
• xiazaizhadia8.cyou
• xiazaizhadia9.cyou

URLs

• https://adf6bf286e3b4fc5.s3.ap-east-1.amazonaws.com/f3b3530fd6.zip?X-Amz-Security-Token=[длинная строка и другие переменные]
• https://c34b2bc447b548718390.s3.ap-northeast-2.amazonaws.com/f83acd4249e44e.zip?X-Amz-Security-Token=[длинная строка и другие переменные]
• http://1235saddfs.icu/kk1/95.173.197.195/code32
• https://a0e1370b276549.s3.ap-southeast-1.amazonaws.com/a08325fd688b43819d1fc.zip?X-Amz-Security-Token=[длинная строка и другие переменные]

SHA256

• 1481c92661c19f0bb8c32233ad85fef4a62c353404425179187f0ad88611752c
• 18a21dbc327484b8accbd4a6d7b18608390a69033647099f807fdbfdcfff7e6d
• 491872a50b8db56d6a5ef1ccabe8702fb7763da4fd3b474d20ae0c98969acfe5
• bc6fb2eab9ed8d9eb405f6186d08e85be8b1308d207970cc41cf90477aa79064
• dbe70991750c6dd665b281c27f7be40afea8b5718b097e43cd041d698706ade4
• e8c058acfa2518ddc7828304cf314b6dd49717e9a291ca32ba185c44937c422b