Новая кибершпионская группа LongNosedGoblin использует групповые политики для атак на госсектор в Азии

Первые признаки активности LongNosedGoblin были зафиксированы в феврале 2024 года в сети государственной организации в Юго-Восточной Азии. Исследователи обнаружили неизвестное вредоносное ПО, которое использовалось для развёртывания специализированной backdoor-программы, позже названной NosyDoor. Важно отметить, что заражение коснулось не одного компьютера, а нескольких в рамках одной организации, причём вредоносный код был распространён именно через групповые политики.

Дальнейший анализ выявил целый арсенал кастомных инструментов группы. Одним из ключевых является NosyHistorian, приложение на C#/.NET, предназначенное для сбора истории браузеров. Эта информация используется злоумышленниками для разведки внутри сети и выбора наиболее интересных целей для последующего внедрения более мощных средств, таких как NosyDoor. Помимо этого, в инструментарии группы присутствуют NosyStealer для кражи данных браузеров, NosyDownloader для загрузки и выполнения полезной нагрузки в памяти, NosyLogger (кейлоггер), а также реверс-прокси SOCKS5 и утилита для запуска сторонних приложений.

Особенностью группы является активное использование легитимных облачных сервисов, таких как Microsoft OneDrive и Google Drive, в качестве командных серверов (C&C). Например, backdoor NosyDoor использует OneDrive для получения команд и выгрузки похищенных данных. Для обеспечения скрытности и устойчивости некоторые инструменты группы применяют технику "обитания в среде" (living-off-the-land), в частности инъекцию через AppDomainManager, а также обходят систему сканирования антивирусного интерфейса (AMSI).

Исследователи ESET связывают деятельность LongNosedGoblin с Китаем на основе анализа инструментария и целей атак. При этом отмечается, что backdoor NosyDoor, вероятно, используется или даже распространяется среди нескольких групп, связанных с Китаем. В июне 2025 года российская компания Solar сообщила о группе Erudite Mogwai, использовавшей backdoor, очень похожий на NosyDoor. Однако полного совпадения между группами нет, так как в деятельности Erudite Mogwai не отмечено злоупотребление групповыми политиками, что является визитной карточкой LongNosedGoblin.

Активность группы продолжается. После периода затишья в конце 2024 года, в сентябре 2025 года исследователи вновь зафиксировали её атаки в Юго-Восточной Азии. Как и прежде, для доставки NosyHistorian использовались групповые политики. Кроме того, в ходе этой волны атак наблюдалось поведение, указывающее на использование фреймворка Cobalt Strike.

Открытие LongNosedGoblin подчёркивает растущую изощрённость кибершпионских кампаний. Использование легитимных механизмов администрирования, таких как групповые политики, значительно усложняет обнаружение угрозы стандартными средствами защиты. Организациям, особенно в государственном секторе, рекомендуется усилить мониторинг изменений в объектах групповых политик, а также обращать пристальное внимание на необычный сетевой трафик, направленный в сторону публичных облачных хранилищ.

IPv4

• 101.99.88.113
• 101.99.88.188
• 103.159.132.30
• 118.107.234.26
• 118.107.234.29
• 38.54.17.131

Domains

• www.blazenewso.com
• www.privacypolicy-my.com
• www.sslvpnserver.com
• www.threadstub.com

SHA1

• 0d91a0e52212ec44e32c47f7760af3b473b72798
• 154a35dd4117db760699c2092afb307e94008506
• 161a25cb0b8fa998bf1bdee31f06f24876453cdf
• 1959e2198d6f81b2604df7ac1f508aeb7a6fa07e
• 212126896d38c1ee57320fb6940fed7a6e30d9ea
• 2c1959dd85424cedc96b1bb86a95fca440cb9e36
• 43c8ae8561e7e3bf9cd748136c091099e5cbeeee
• 46107b1292b830d9bcebbda6eedb32fbc05707b4
• 48d715466857fb0c6cd0249de6d960fc199438e1
• 4c2fcce3bab4144d90c741a6d77adf209c786b54
• 4d61a9fbbcc4f7a37be21548b55bb5b9b837f83b
• 4e3f6e9d0f443f4c42974a0551eee957b498da3d
• 563677cfacd328ea2478836e58a8bd0df11206a3
• 581464978c29b2bc79c65766e62011c94d2cbeab
• 5ae440805719250aaefee9b39dacd23d2fb573cd
• 60158c509446893b3b57d40dc4b4b3795fcdf369
• 6ac22ce60b706e3b9a7927633116911e1087c0d4
• 70a615bc580522e1eee4b61394dc7a247fe47022
• 77d2a8cb316b7a470e76e163551a00bb16a696c5
• 85939c56bfcacd0993e6fb9f7cfd6137601fb7d4
• a0a80ac293645076ebae393ff0a6a4229e2ede1c
• ac2264c56121141daf751a3852cd34f3acb1d63c
• b1d4a283a9ccc9e34993dd2093a904afbd88b9b9
• c66f9fec0f8cbf577840944f61198a75b3e2a58c
• cd745bd2636f607cc4fb9389535bf3579321ca72
• cffe15aa4d0f9e6577ccb509ace9c588937943f2
• d11fc2d6159cb8ba392b145b3ee4adfa15db4c83
• ddbbae33e04a49d17dd24d85b637667b4407ae19
• e0b44715bc4c327c04e63f881ecc087b7acbd306
• e93d32c739825519a10a4c52c5f1ee33936e4fdb
• e9c5e4aa335dfbd25786234a58ce4c9c551d1a41
• ec9ceb599df3bdffad536900d0e6d48e2e5ff12b
• f5b7440ee25116a49ec5ee82507b353880217ac1
• f93e449c5520c4718e284375c54be33711505985