Китайские хакеры провели масштабную кибератаку на телекоммуникационную инфраструктуру, нацеленную на компанию China Mobile Tietong Co., Ltd. - дочернее предприятие China Mobile, одного из крупнейших операторов связи в Китае. Как сообщает Seqrite Labs APT-Team, операция получила кодовое название «DragonClone» и демонстрирует новый уровень сложности государственных киберкампаний, где основной целью выступает не финансовый ущерб, а сбор разведывательных данных и контроль над критически важной инфраструктурой.
Описание
Атака началась с целевой фишинг-кампании, в ходе которой сотрудникам компании рассылались вредоносные ZIP-архивы, замаскированные под документ с внутренним учебным курсом. Файл содержал исполняемый модуль с названием «2025年中国移动有限公司内部培训计划即将启动,请尽快报名.exe» («Внутренняя учебная программа China Mobile Limited на 2025 год скоро стартует, пожалуйста, зарегистрируйтесь как можно скорее»). После запуска программа использовала технику DLL side-loading, подменяя легитимную библиотеку drstat.dll от программы Wondershare Recoverit на вредоносную версию, содержащую загрузчик VELETRIX.
VELETRIX применяет несколько методов противодействия анализу: проверяет наличие песочниц, используя API Beep для обнаружения виртуальных сред, и динамически загружает системные функции для скрытия своей активности. Особенностью загрузчика является нестандартный способ обфускации: зашифрованный шелл-код преобразуется в последовательность IPv4-адресов, которые затем декодируются с помощью XOR с ключом 0x6f. Инъекция кода происходит через малоиспользуемый API EnumCalendarInfoA, что позволяет избежать детектирования классическими системами мониторинга.
После успешного внедрения вредоносный код устанавливает соединение с сервером управления (C&C) по адресу 62.234.24.38, размещенному на инфраструктуре Tencent Cloud в Пекине. Передаваемые данные шифруются с помощью XOR с ключом 0x99, а анализ сетевого трафика показал передачу почти 5 МБ зашифрованной информации. Дальнейшее исследование выявило наличие второй стадии атаки - DLL на языке Golang, предположительно, обратной оболочки для систем на базе AMD64.
Дополнительные образцы вредоносного ПО, обнаруженные исследователями, указывают на использование схожих техник в других кампаниях. Например, серверы с IP-адресами 121.37.80.227 и 156.238.236.130 также связаны с китайскими хостинг-провайдерами и, возможно, обслуживают аналогичные операции. Эксперты предполагают, что злоумышленники применяют инструмент VShell, который ранее уже фигурировал в атаках, приписываемых китайским APT-группам.
Выбор телекоммуникационного сектора в качестве цели отражает стратегический интерес китайских государственных структур к контролю над каналами связи. Получив доступ к такой инфраструктуре, злоумышленники могут перехватывать трафик, вести мониторинг пользователей и даже блокировать передачу данных в случае необходимости. Подобные атаки свидетельствуют о долгосрочных киберразведывательных программах, которые Китай развивает через структуры Народно-освободительной армии (PLA) и Министерства государственной безопасности (MSS).
На данный момент нет подтвержденных данных о масштабах ущерба, нанесенного атакой, однако сам факт использования таких продвинутых инструментов, как VELETRIX и VShell, демонстрирует, что кибервойна между государствами выходит на новый уровень. Учитывая, что китайские хакеры продолжают совершенствовать свои методы, международное сообщество должно укреплять сотрудничество в сфере кибербезопасности для противодействия подобным угрозам.
Индикаторы компрометации
IPv4
- 121.37.80.227
- 156.238.236.130
IPv4 Port Combinations
- 62.234.24.38:9999
SHA256
- fef69f8747c368979a9e4c62f4648ea233314b5f41981d9c01c1cdd96fb07365
- c9dc947b793d13c3b66c34de9e3a791d96e34639c5de1e968fb95ea46bd52c23
- a15f30f20e3df05032445697c906c3a2accf576ecef5da7fad3730ca5f9c141c
