Китайские хакерские группы переходят к новым моделям сотрудничества в кибершпионаже

Аналитики Trend Research выявили новую модель взаимодействия между китайскими группами APT, которую они назвали "Premier Pass-as-a-Service". Эта модель демонстрирует растущую сложность современных кампаний кибершпионажа, где различные хакерские коллективы координируют свои действия для повышения эффективности атак.

Описание

Согласно исследованию, группы Earth Estries и Earth Naga продемонстрировали беспрецедентный уровень сотрудничества, при котором одна группа предоставляет другой доступ к уже скомпрометированным системам. В частности, Earth Estries действовала как брокер доступа для Earth Naga, передавая контроль над взломанными активами. Такой подход значительно усложняет обнаружение атак и их атрибуцию конкретным угрозам.

Обе группы активно нацелены на критически важные секторы, включая государственные учреждения и телекоммуникационные компании в различных регионах мира. Недавние скоординированные кампании были сосредоточены на организациях розничной торговли и государственного сектора в Азиатско-Тихоокеанском регионе.

Исследователи представили четырехуровневую систему классификации совместных атак, которая помогает специалистам по безопасности лучше понимать природу подобного сотрудничества. Категории варьируются от случайного использования общих векторов атаки до высокоорганизованного взаимодействия, когда одна группа развертывает вредоносное ПО другой группы в целевой сети.

Особого внимания заслуживает выявленный случай совместной операции против правительственного агентства в Юго-Восточной Азии. Атака началась в январе 2025 года с компрометации уязвимого внутреннего веб-сервера, где был установлен бэкдор CrowDoor. В марте злоумышленники расширили свое присутствие в сети, развернув дополнительные инструменты, включая ShadowPad - вредоносную программу, обычно ассоциирующуюся с Earth Naga.

Использование нескольких векторов развертывания вредоносного ПО, включая Cobalt Strike SMB beacon и компрометированные учетные данные, свидетельствует о стремлении злоумышленников усложнить обнаружение их деятельности. Анализ сетевой инфраструктуры подтвердил связь между инструментами Earth Estries и Earth Naga, что указывает на оперативное взаимодействие между группами.

Модель "Premier Pass-as-a-Service" представляет собой эволюцию традиционных услуг брокеров начального доступа. В отличие от последних, которые обычно продают первоначальный доступ к сетям, новая модель предусматривает предоставление доступа к конкретным критически важным активам внутри уже скомпрометированных сетей. Это напоминает "быстрый пропуск" в тематическом парке, где "аттракционом" становится любой целевой актив.

Эксперты отмечают, что ограниченное количество наблюдаемых инцидентов и высокий риск раскрытия подобной деятельности свидетельствуют о том, что доступ к услугам "Premier Pass" likely ограничен узким кругом угрозовых акторов. Это объясняет, почему некоторые APT-группы, казалось бы, прекратили активную деятельность - возможно, они теперь работают скрытно через общую инфраструктуру доступа.

Для противодействия растущей сложности атрибуции атак исследователи предлагают новый аналитический подход, который фокусируется на идентификации ролей каждого угрозового актора в рамках конкретных операционных услуг. Этот метод предоставляет более детальное представление о поведении акторов и их взаимоотношениях, что особенно важно в условиях растущего перекрытия тактик, техник и процедур между различными группами.

Специалисты по кибербезопасности рекомендуют организациям усиливать мониторинг подозрительной активности развертывания файлов, тщательно контролировать использование инструментов удаленного администрирования и уделять повышенное внимание защите периферийных устройств. Совместные консультации по этим вопросам были опубликованы несколькими государственными агентствами в августе 2025 года.

Развитие скоординированных операций между APT-группами представляет серьезный вызов для точной атрибуции и эффективной киберзащиты. Защитникам необходимо учитывать не только деятельность отдельных угрозовых групп, но и более широкую, развивающуюся экосистему взаимосвязанных угрозовых альянсов. Современный ландшафт киберугроз требует комплексного подхода к безопасности, учитывающего возможность тесного сотрудничества между различными хакерскими коллективами.