Новая киберразведывательная кампания угрожает правительствам 37 стран

Основными целями группы, чью активность исследователи назвали Shadow Campaigns («Теневые кампании»), являются министерства и ведомства. В частности, успешно скомпрометированы пять национальных правоохранительных органов и служб пограничного контроля, три министерства финансов, а также различные департаменты по всему миру, отвечающие за экономические, торговые, природно-ресурсные и дипломатические функции. Мотивация группы, судя по выбору жертв и времени атак, связана со сбором разведданных в интересах определённых экономических партнёрств.

Тактика, техники и инструменты

Начальным вектором атаки часто служит целенаправленный фишинг. Злоумышленники рассылают сотрудникам государственных учреждений письма, маскирующиеся под уведомления о реорганизации министерств. В письмах содержатся ссылки на вредоносные файлы, размещённые на файлообменных сервисах, таких как mega[.]nz. Загружаемый архив содержит исполняемый файл, который в метаданных имеет оригинальное имя DiaoYu.exe (от китайского «диаоюй» - рыбалка, в контексте кибербезопасности - фишинг).

Этот загрузчик, названный исследователями Diaoyu Loader, использует многоступенчатую проверку окружения для уклонения от автоматического анализа в песочницах (sandbox). Помимо требования к горизонтальному разрешению экрана, вредоносная программа проверяет наличие в директории запуска специфического файла-маркера (pic1.png). Затем она ищет в системе конкретные продукты безопасности, включая решения Kaspersky, Avira и Bitdefender, после чего загружает с GitHub файлы, содержащие конечный полезный груз (payload) - обычно бекдор Cobalt Strike.

Помимо фишинга, группа активно использует эксплуатацию уязвимостей для получения первоначального доступа. Хакеры не были замечены в использовании уязвимостей нулевого дня (zero-day), однако они активно тестируют и применяют эксплойты для уже известных уязвимостей (N-day). Среди них - уязвимости в SAP Solution Manager, Microsoft Exchange, Pivotal Spring, D-Link и в различных системах управления контентом и офисного ПО.

Арсенал и инфраструктура

Для управления скомпрометированными системами группа изначально активно использовала фреймворк Cobalt Strike, но постепенно перешла на Go-инструмент VShell. Также в арсенале отмечены Havoc, SparkRat и Sliver. Для поддержания доступа на веб-серверах хакеры развёртывают веб-оболочки (web shells), такие как Behinder, Neo-reGeorg и Godzilla. Для туннелирования трафика применяются инструменты вроде GOST, FRPS и IOX.

Особый интерес представляет обнаруженный в ходе расследования новый руткит для Linux под названием ShadowGuard. Это троян, использующий технологию Extended Berkeley Packet Filter (eBPF), что делает его крайне сложным для обнаружения. Он работает в пространстве ядра и может скрывать определённые процессы, файлы и директории, манипулируя системными вызовами.

Инфраструктура группы многоуровневая. Финальные командные серверы (C2) часто размещаются на легитимных хостинг-провайдерах в странах с сильным верховенством права, таких как США, Великобритания и Сингапур, что, вероятно, помогает маскировать активность. Для доступа к этим серверам используются промежуточные реле, а для анонимизации собственных подключений - резидентские прокси, сеть Tor и другие сервисы. Исследователи отмечают, что при ошибках в настройке туннелей группа иногда подключается к своей инфраструктуре напрямую с IP-адресов, принадлежащих интернет-провайдерам в своём регионе.

География и целеполагание

Активность группы носит глобальный характер, но анализ времени и целей атак позволяет предположить её конкретные интересы. В Северной и Южной Америке компрометации подверглись ведомства в Боливии, Бразилии, Мексике, Панаме и Венесуэле. Во многих случаях активность коррелировала с событиями вокруг торговых соглашений, дипломатических отношений или добычи редкоземельных металлов.

В Европе группа усилила фокус в 2025 году, проводя разведку и атакуя объекты в Германии, Чехии и на инфраструктуре Европейского союза. В Азии и Океании приоритетными целями стали страны региона Южно-Китайского моря и Сиамского залива, а также Япония, Южная Корея и Тайвань. В Африке интерес группы разделён между военными объектами (например, в Джибути, где размещены иностранные базы) и горнодобывающим сектором (Демократическая Республика Конго, Замбия).

Защита и рекомендации

Исследователи подчёркивают, что TGR-STA-1030 остаётся активной и серьёзной угрозой. Для защиты рекомендуется усилить мониторинг фишинговых атак, особенно с тематикой внутренних документов, своевременно обновлять программное обеспечение для закрытия известных уязвимостей и применять решения для обнаружения угроз, способные выявлять перечисленные инструменты и тактики.

IPv4

• 138.197.44.208
• 142.91.105.172
• 146.190.152.219
• 157.230.34.45
• 157.245.194.54
• 159.203.164.101
• 159.65.156.200
• 178.128.109.37
• 178.128.60.22
• 188.127.251.171
• 188.166.210.146
• 208.85.21.30

Domains

• abwxjp5.me
• brackusi0n.live
• dog3rj.tech
• emezonhe.me
• gouvn.me
• msonline.help
• pickupweb.me
• pr0fu5a.me
• q74vn.live
• servgate.me
• zamstats.me
• zrheblirsy.me

SHA256

• 182a427cc9ec22ed22438126a48f1a6cd84bf90fddb6517973bcb0bac58c4231
• 23ee251df3f9c46661b33061035e9f6291894ebe070497ff9365d6ef2966f7fe
• 293821e049387d48397454d39233a5a67d0ae06d59b7e5474e8ae557b0fc5b06
• 358ca77ccc4a979ed3337aad3a8ff7228da8246eebc69e64189f930b325daf6a
• 5175b1720fe3bc568f7857b72b960260ad3982f41366ce3372c04424396df6fe
• 5ddeff4028ec407ffdaa6c503dd4f82fa294799d284b986e1f4181f49d18c9f3
• 66ec547b97072828534d43022d766e06c17fc1cafe47fbd9d1ffc22e2d52a9c0
• 7808b1e01ea790548b472026ac783c73a033bb90bbe548bf3006abfbcb48c52d
• 9ed487498235f289a960a5cc794fa0ad0f9ef5c074860fea650e88c525da0ab4
• b2a6c8382ec37ef15637578c6695cb35138ceab42ce4629b025fa4f04015eaf2
• c876e6c074333d700adf6b4397d9303860de17b01baa27c0fa5135e2692d3d6f