Аналитики в области кибербезопасности обнаружили новую волну активности, связанную с продвинутыми постоянными угрозами (APT), предположительно имеющими китайское происхождение. Речь идёт о группировках Mustang Panda, UNC6384 и RedDelta, которые продолжают целенаправленные шпионские кампании против правительственных и дипломатических организаций по всему миру. Ключевым инструментом остаётся модульный троян удалённого доступа (RAT) PlugX, чья история насчитывает более десяти лет. Однако в фокусе нового исследования - не сам вредоносный код, а усовершенствованные методы сокрытия инфраструктуры командования и управления (C2), которые позволяют злоумышленникам долгое время оставаться незамеченными.
Описание
Недавний анализ образцов PlugX выявил 14 доменов, которые, вероятно, являются частью текущей шпионской деятельности. Большинство из них ранее не были описаны в открытых источниках. Операторы C2 демонстрируют чёткую тактику: они предпочитают регистрировать ранее истёкшие домены, первоначально размещая их на виртуальных частных серверах (VPS) у провайдера Evoxt Enterprise (ASN 149440), а затем быстро переводят трафик через сеть Cloudflare. Это позволяет маскировать реальные IP-адреса, контролируемые злоумышленниками. Регистрация доменов осуществляется через популярные сервисы NameCheap и NameSilo с активированной защитой приватности, что полностью соответствует поведенческим паттернам, ранее задокументированным аналитиками компании Recorded Future.
Подобная активность не является абсолютно новой. Ещё в январе 2025 года эксперты отмечали, что группировка RedDelta использует схожий метод: перерегистрацию старых доменов через NameCheap с последующим применением сертификатов Cloudflare Origin. Однако текущая кампания демонстрирует отлаженный, почти конвейерный подход к подготовке инфраструктуры. Промежуток между регистрацией домена, получением TLS-сертификата и переходом на проксирование через Cloudflare часто составляет всего один-три дня. Это указывает на преднамеренную, заранее спланированную модель развёртывания, цель которой - максимально затруднить обнаружение и атрибуцию.
Стартовой точкой для данного расследования стал [образец], опубликованный 6 февраля 2026 года исследователем под ником @smica83 в социальной сети X. Файл Avk.dll, являющийся конфигурацией PlugX, содержал зашифрованный с помощью RC4 адрес командного сервера: 108.165.255[.]97:443. Детальный анализ этого хоста выявил характерные черты, которые впоследствии стали основой для поиска аналогичной инфраструктуры. На порту 443 работал веб-сервер nginx версий 1.26.3 или 1.28.0, использовался сертификат Cloudflare Origin CA, а доменные имена обслуживались DNS-серверами Cloudflare. Комбинация этих параметров - хостинг на ASN 149440, конкретные версии nginx, порт 443 и особенности сертификата - сформировала надёжный цифровой отпечаток для поиска.
Используя этот отпечаток, исследователям удалось выявить целый кластер подозрительных доменов. Некоторые из них, например fruitbrat[.]com и decoraat[.]net, позже были независимо упомянуты в отчётах компаний Internet Initiative Japan (IIJ) и Lab52 в контексте анализа новых цепочек заражения с использованием утилиты MSBuild и побочной загрузки DLL. Что примечательно, многие из этих доменов представляют собой сайты-заглушки с шаблонным контентом на тему технологий или продуктивности, например, имитирующие сервисы для управления проектами. Вероятно, эти шаблоны были созданы предыдущими владельцами доменов и забыты, что делает перерегистрированные ресурсы менее подозрительными для систем репутационного анализа.
Степень совпадения тактик, техник и процедур (TTP) между группировками Mustang Panda, UNC6384 и RedDelta заставляет экспертов задуматься о возможном уровне координации или использовании общих шаблонов инфраструктуры. Их последовательный и методичный подход к созданию C2 специально рассчитан на то, чтобы опережать возможности защитных систем по обнаружению. Умышленное использование известных и заслуживающих доверия регистраторов, доменов с чистой историей и мгновенное применение прокси-сервисов серьёзно осложняет работу специалистов по реагированию на инциденты.
Для специалистов по безопасности данный случай служит напоминанием о важности мониторинга не только вредоносных полезных нагрузок, но и косвенных признаков компрометации. Поведенческие аномалии в сетевом трафике, нехарактерные комбинации технических параметров серверов и анализ жизненного цикла доменов становятся критически важными. Хотя в данной кампании активно используется хостинг Evoxt Enterprise, в будущем злоумышленники могут сменить провайдера. Однако, как показывает практика, угрозовые акторы - существа привычки, и их операционные шаблоны, как правило, повторяются, что даёт защитникам шанс на упреждающее обнаружение. Постоянный мониторинг подобных цифровых отпечатков и обмен индикаторами компрометации остаются ключевыми элементами противодействия сложным целевым атакам.
Индикаторы компрометации
IPv4
- 103.27.109.117
- 108.165.100.183
- 108.165.100.85
- 108.165.147.57
- 108.165.155.157
- 108.165.177.122
- 108.165.255.97
- 166.88.100.64
- 182.255.45.45
- 198.20.153.140
- 23.27.0.125
- 23.27.0.237
- 23.27.0.80
- 23.27.199.143
Domains
- adimagemarketing.com
- anbusivam.com
- basecampbox.com
- buywownow.com
- creatday.com
- doorforum.com
- ecoafrique.net
- famisu.com
- fruitbrat.com
- gestationsdiabetes.com
- hopelitellc.com
- ombut.com
- phbusiness.net
- turileco.net
