Китайские разработчики под прицелом: продвинутая SEO-атака распространяет троян Kong RAT через поддельные сайты

Кампания, активная с мая 2025 года, была построена на сети фишинговых доменов, имитирующих легальные китайские сайты для разработчиков. Злоумышленники регистрировали домены, похожие на адреса популярных SSH-клиентов (FinalShell, Xshell), VPN-сервисов (QuickQ, Clash) и прокси-инструментов, а затем манипулировали поисковой выдачей, чтобы их поддельные страницы занимали высокие позиции. Когда китайскоязычный пользователь искал, к примеру, установщик FinalShell, он мог попасть на сайт "finalshell-ssh[.]com", который визуально практически не отличался от настоящего. На странице были представлены кнопки для загрузки версий под Windows и macOS, однако в обоих случаях пользователю скачивался один и тот же вредоносный файл "Setup.exe" для Windows x64. Это классическая тактика социальной инженерии, эксплуатирующая доверие к знакомым интерфейсам и автозаполнению поисковой строки.

Первоначальная полезная нагрузка доставлялась через объектное хранилище Alibaba Cloud в Гонконге, и вся дальнейшая инфраструктура кампании также базировалась на этом сервисе. Технический анализ показал, что кампания представляет собой чётко выстроенную цепочку из шести этапов: отравление поисковой выдачи → загрузчик, скомпилированный в .NET NativeAOT → orchestrator-библиотека в памяти → подмена DLL через подписанный бинарный файл Microsoft → загрузчик shellcode → финальный троян Kong RAT. Каждый этап был спроектирован для максимального усложнения анализа и обхода систем защиты.

Особый интерес представляет первая стадия - загрузчик "Setup.exe". Он был скомпилирован с использованием .NET 10.0 NativeAOT - технологии, которая компилирует код C# напрямую в нативный машинный код, минуя промежуточный язык. Этот выбор не случаен: он делает стандартные инструменты обратной инженерии для .NET, такие как dnSpy или ILSpy, практически бесполезными, так как они не могут декомпилировать нативный код. В пути отладочной информации (PDB-пути) внутри бинарного файла исследователи обнаружили имя пользователя "52pojie". Это прямая отсылка к известному китайскоязычному форуму по кибербезопасности и взлому программного обеспечения 52破解, что, наряду с географией инфраструктуры и целевой аудиторией, указывает на вероятное китайскоязычное происхождение авторов угрозы.

Для получения административных привилегий злоумышленники применили комбинацию методов. Первоначальный загрузчик использовал стандартный запрос контроля учётных записей (UAC) через "ShellExecute("runas")". Однако на более поздней стадии, в библиотеке "rcdll.dll", применялась техника тихого обхода UAC. Она включала маскировку блока параметров среды процесса (PEB) под "explorer.exe", что заставляло средства безопасности видеть легитимный процесс проводника Windows, а затем использование уязвимости автоматического повышения привилегий в COM-объекте CMSTPLUA. В результате процесс получал повышенные права без показа какого-либо диалогового окна пользователю, что является признаком высокого профессионализма разработчиков вредоноса.

Ещё одной изощрённой техникой стало выполнение shellcode. Вместо стандартных вызовов "CreateThread" или "CreateRemoteThread", которые активно отслеживаются системами класса EDR (Endpoint Detection and Response, системы обнаружения и реагирования на конечных точках), злоумышленники использовали API-функцию "EnumWindows". Shellcode, содержащий финальный троян, передавался в качестве callback-функции для перечисления окон. Операционная система сама передавала управление на этот код, что является нестандартным и менее заметным способом запуска исполняемого кода в памяти.

Финальный payload, троян Kong RAT, обладает широким набором функций для удалённого управления. Он включает кейлоггер, который сохраняет нажатия клавиш в скрытую директорию "C:\ProgramData\Kong\Keylogger\". Присутствует и своеобразный "аварийный выключатель" для разработчика: если в переменных окружения установлено значение "KONG_SKIP_KEYLOGGER=1", кейлоггер отключается. Для сбора информации о жертве троян злоупотребляет легитимным CDN-сервисом китайского медиа-гиганта LeTV, отправляя запросы под видом медиаплеера и получая в ответ географическое описание и публичный IP-адрес жертвы. Это позволяет операторам в реальном времени определять местоположение заражённых систем, маскируя трафик под легальное стриминговое соединение.

Коммуникация с командным сервером осуществляется по собственному бинарному протоколу с сигнатурой "MPK1" и использованием сжатия LZ4. Инфраструктура управления построена модульно: оператор может отправлять на заражённую машину дополнительные DLL-библиотеки, которые динамически загружаются и выполняются. Эти модули могут, среди прочего, удалённо выполнять команды, загружать и запускать файлы, а также переподключать жертву к новому серверу управления. Для обеспечения постоянного присутствия в системе создаётся задание Планировщика задач Windows через прямой вызов RPC, что позволяет обойти стандартные интерфейсы COM и усложнить обнаружение.

Обнаружение подобной кампании имеет важное значение для всего профессионального IT-сообщества, особенно в регионах с высокой концентрацией разработчиков. Она служит напоминанием, что даже технически подкованные пользователи уязвимы перед целевыми атаками, использующими тонкие методы социальной инженерии в сочетании с продвинутым техническим исполнением. Специалистам по безопасности в компаниях, где работают китайскоязычные разработчики, стоит усилить мониторинг загрузок специализированного ПО из непроверенных источников и обратить внимание на сетевые соединения с облачными хранилищами в Гонконге и нестандартные вызовы API, связанные с перечислением окон или манипуляциями с PEB.

IPv4

• 103.45.64.31
• 45.192.169.97
• 45.192.208.126

Domains

• clash-cn.com
• finalshell-ssh.com
• g3.letv.com
• letsv-vpn.com
• quickq-cn.com
• qyyop456.oss-cn-hongkong.aliyuncs.com
• rui.x-x.icu
• ssowindows.oss-cn-hongkong.aliyuncs.com
• tyyopp123.oss-cn-hongkong.aliyuncs.com
• x.x-x.icu
• xshell-38m.pages.dev
• xshell-cn.com
• zh.x-x.icu

URLs

• http://103.45.64.31:8080
• http://45.192.169.97:8080
• http://ssowindows.oss-cn-hongkong.aliyuncs.com
• https://g3.letv.com/r?format=1
• https://kk9win.oss-cn-hongkong.aliyuncs.com/finalshell-SetupX64.zip
• https://kkwinapp.oss-cn-hongkong.aliyuncs.com/dow/1.1x1
• https://kkwinapp.oss-cn-hongkong.aliyuncs.com/dow/1.d11
• https://kkwinapp.oss-cn-hongkong.aliyuncs.com/dow/msvcr100.dll
• https://kkwinapp.oss-cn-hongkong.aliyuncs.com/dow/upload?log=*
• https://kkwinapp.oss-cn-hongkong.aliyuncs.com/dow/zj.bin
• https://kkwinapp.oss-cn-hongkong.aliyuncs.com/dow/zj.mp4
• https://qyyop456.oss-cn-hongkong.aliyuncs.com
• https://ssowindows.oss-cn-hongkong.aliyuncs.com
• https://tyyopp123.oss-cn-hongkong.aliyuncs.com

SHA256

• 0cac13a91f14f49ca0c27b1d7a00f4a382616a8b91f32b05692369528adc98cb
• 125d9c883c91fa7a36bd3eb0418194da51be64c28a4e52a3d62df13e6586c5ad
• 17e800d967183db3d87b9baac4007a67dd17395efc94c05be92fe7a74423ad53
• 2441d2d4b5abfbfc3b67f6e18b32be1bed0a5dd1652bf2da77778ab34a6e04df
• 278ecba3c6c3491a41eed6b9d40e8e3f7ca811e7ee8373b79e1a684a61f3b00f
• 2b7d31a83ff817be7bdd6e9cf92dea438ca97dc93ea84cbf048f8656f7dd57dd
• 3a1dd72dd2dec21d18b8fcd72d221f069fed2d35c2bf4cdf042c9ae722d6c820
• 645a07f654058138002827dc9e6838967ea787e231efafcb138948b2dd04c1f2
• 67a53570e6a84a90a174c4ee250e11fb64f13bafbf3c226830e442c158de7d21
• 6a4dffe30591dce424cd90bb369d9dd6463d204c0cea4d16589c5116a442d5ac
• 736b2c5782fca75a85379181bcf1d3a719a14cacd938d053c03b16041059dd8f
• 761be18bb691e72ffb911ffb61dae3add8b8f289b94c21bcd7f4859d29bd8f20
• 9018777f1f49d1ff45fd105d9299fafc695d639efb42815dd96f8a0cc296efa1
• 97e6c4639b8e9049987adb7825a65dded251bfc0db98b1ce823d146445b199f6
• ae160034478a340421e20dc7c8fdee626cc3b8035d278f0a94afaf31766eea48
• bd9d57bb3d13063936d901db853e79a70496b7176c8478818d7165d2179d5e06
• d6620d753e746e63b59e1e47943be5093f24fd3f82e994115cadeea3720f1aea
• e16a79acf34a09d891e2d87bd8d1026b3f1310833cdcc6994557e8c277b678e2
• e718c89ce05a1e1b611f98d97cf8fed9b375741a0f7ad18bab39c62c721ab69a
• ec1dc8b0f6b6921a9d93769aeacb193ea513d390ae25eedad383fde2e3be661a
• ed68397183e72e7113c8ac4aceddf2051abf55d7c62b6fa69f62cbda11324ab8
• f7bbf4cf0d9ceeec84dcaae03f827d614310d80d7778e8e01864ab901c5a94c5