Китайскоязычные пользователи столкнулись с масштабными фишинговыми кампаниями Gh0st RAT через поддельные сайты популярного ПО

Первая волна атак, получившая название Campaign Trio, была активна в феврале-марте 2025 года. Злоумышленники зарегистрировали более 2000 доменов, имитирующих официальные страницы загрузки трех популярных приложений: инструмента для управления файлами i4tools, словаря Youdao и платформы искусственного интеллекта DeepSeek. Инфраструктура кампании отличалась централизацией - все домены управлялись всего с трех IP-адресов, что указывало на тактику «одноразовой» инфраструктуры.

Вредоносная нагрузка доставлялась через архивы ZIP, содержащие поддельные установщики MSI. Ключевым элементом стало использование кастомных действий в MSI-файлах для запуска второстепенного исполняемого файла, что позволяло обходить статический анализ. Финальным полезным грузом выступал Gh0st RAT, предоставляющий злоумышленникам полный контроль над системой: перехват нажатий клавиш, удаленный доступ к командной строке и возможность загрузки дополнительного вредоносного ПО.

Вторая кампания, Campaign Chorus, стартовала в мае 2025 года и показала значительное усложнение тактик. Количество имитируемых брендов превысило 40, включая корпоративные мессенджеры, игровые платформы и инструменты для обхода интернет-ограничений. Особенностью стало использование волновых атак с разными доменными префиксами и серверами перенаправления.

Главным нововведением стала многоступенчатая цепочка заражения, ориентированная на обход систем EDR (Endpoint Detection and Response - обнаружение и реагирование на конечных точках). Злоумышленники начали размещать вредоносные ZIP-архивы в публичных облачных хранилищах, используя их репутацию для обхода сетевых фильтров. Внедренный в MSI-файлы VBScript выступал в роли сборщика и дешифратора следующей стадии вредоносного кода.

Финальная стадия заражения использовала технику DLL side-loading (подмена библиотек). Легитимный подписанный файл wsc_proxy.exe загружал malicious DLL (вредоносную динамическую библиотеку) wsc.dll, что позволяло запускать вредоносный код под видом доверенного процесса. Этот метод эффективно обходит системы контроля приложений и мониторинга процессов.

Анализ инфраструктуры выявил единый операционный план обеих кампаний. Во-первых, сохранялась фокусировка на китайскоязычной аудитории через подделку релевантного ПО. Во-вторых, наблюдалась стратегия «массового развертывания» с програмной генерацией тысяч доменов. В-третьих, демонстрировалась тактика «жги и меняй» с быстрым развертыванием новой инфраструктуры.

Исследование пассивных DNS-данных показало постоянную активность кампаний с февраля по октябрь 2025 года. Пики регистрации доменов происходили еженедельно, что указывает на автоматизированный процесс восполнения инфраструктуры. При этом старые домены продолжали разрешаться на исходные IP-адреса, демонстрируя параллельную эксплуатацию различных инструментов.

Эксперты отмечают, что эволюция от простых дропперов до сложных цепочек с DLL side-loading представляет серьезный вызов для защитных систем. Рекомендуется усилить мониторинг кастомных действий в MSI-файлах и обращать особое внимание на загрузку DLL из непроверенных источников, даже если родительский процесс имеет цифровую подпись.

IPv4

• 103.181.134.138
• 154.82.84.227
• 156.251.25.112
• 156.251.25.43
• 95.173.197.195

Domains

• 1235saddfs.icu
• anydesk-www.cyou
• deep-seek.rest
• djbzdhygj.com
• fs-im-kefu.7moor-fs1.com
• guwaanzh1.cyou
• guwaanzh2.cyou
• guwaanzh20.cyou
• guwaanzh21.cyou
• guwaanzh24.cyou
• guwaanzh25.cyou
• guwaanzh34.cyou
• guwaanzh35.cyou
• guwaanzh8.cyou
• i4.llllxiazai-web.vip
• i4toolscacsm.top
• i4toolscacvi.top
• i4toolscaczu.top
• i4toolsearch.vip
• i4toolsllsk.top
• i4toolsuuoxk.top
• i4toolsuuozp.top
• qishuiyinyque-vip.top
• xiaobaituziha.com
• xiaofeige.icu
• xiazailianjieoss.com
• xiazaizhadia1.cyou
• xiazaizhadia10.cyou
• xiazaizhadia11.cyou
• xiazaizhadia12.cyou
• xiazaizhadia16.cyou
• xiazaizhadia18.cyou
• xiazaizhadia19.cyou
• xiazaizhadia2.cyou
• xiazaizhadia20.cyou
• xiazaizhadia21.cyou
• xiazaizhadia22.cyou
• xiazaizhadia24.cyou
• xiazaizhadia27.cyou
• xiazaizhadia29.cyou
• xiazaizhadia30.cyou
• xiazaizhadia31.cyou
• xiazaizhadia33.cyou
• xiazaizhadia34.cyou
• xiazaizhadia35.cyou
• xiazaizhadia36.cyou
• xiazaizhadia37.cyou
• xiazaizhadia39.cyou
• xiazaizhadia40.cyou
• xiazaizhadia41.cyou
• xiazaizhadia42.cyou
• xiazaizhadia44.cyou
• xiazaizhadia46.cyou
• xiazaizhadia50.cyou
• xiazaizhadia51.cyou
• xiazaizhadia8.cyou
• xiazaizhadia9.cyou
• ydbao11.cyou
• ydbaoo52.cyou
• youdaohhzi.top
• youdaooosssj.top
• youdaovavxk.top
• youdaovavxl.top
• youdaqqaavw.top
• youdaxxddxk.top
• youdaxxyzr.top
• youdaxxyzy.top
• yqmqhjgn.com

SHA256

• 1395627eca4ca8229c3e7da0a48a36d130ce6b016bb6da750b3d992888b20ab8
• 18a21dbc327484b8accbd4a6d7b18608390a69033647099f807fdbfdcfff7e6d
• 1c3f2530b2764754045039066d2c277dff4efabd4f15f2944e30b10e82f443c0
• 2232612b09b636698afcdb995b822adf21c34fb8979dd63f8d01f0d038acb454
• 299e6791e4eb85617c4fab7f27ac53fb70cd038671f011007831b558c318b369
• 491872a50b8db56d6a5ef1ccabe8702fb7763da4fd3b474d20ae0c98969acfe5
• 495ea08268fd9cf52643a986b7b035415660eb411d8484e2c3b54e2c4e466a58
• 7267a303abb5fcae2e6f5c3ecf3b50d204f760dabdfc5600bd248fcfad3fc133
• bc6fb2eab9ed8d9eb405f6186d08e85be8b1308d207970cc41cf90477aa79064
• bd4635d582413f84ac83adbb4b449b18bac4fc87ca000d0c7be84ad0f9caf68e
• c37d0c9c9da830e6173b71a3bcc5203fbb66241ccd7d704b3a1d809cadd551b2
• dbe70991750c6dd665b281c27f7be40afea8b5718b097e43cd041d698706ade4
• e8c058acfa2518ddc7828304cf314b6dd49717e9a291ca32ba185c44937c422b