Новая угроза облачным средам: APT41 развернула необнаруживаемый бэкдор для Linux с хитроумным управлением через SMTP

Зловредная программа представляет собой скомпилированный исполняемый файл формата ELF для архитектуры x86-64. На момент глубокого технического анализа файл не детектировался ни одним из антивирусных движков на платформе VirusTotal, что подчеркивает его целевую и скрытную природу. Основная цель импланта - сбор учетных данных и метаданных из облачных сред. Программа последовательно проверяет инстансы на предмет их принадлежности к одному из четырех крупнейших провайдеров: AWS, Google Cloud Platform (GCP), Microsoft Azure и Alibaba Cloud. Для этого она обращается к внутренним сервисам метаданных, которые существуют в виртуальных машинах каждого облака, а также ищет конфигурационные файлы и кэшированные ключи доступа в домашних каталогах пользователей. Собранные данные шифруются с использованием алгоритма AES-256 с жестко заданным ключом и подготавливаются к отправке.

Главная техническая особенность, выделяющая эту угрозу, - это нетривиальный канал управления командным центром. Вместо стандартных HTTP или HTTPS-запросов бэкдор использует протокол SMTP на 25-м порту. Этот выбор не случаен. Во-первых, трафик на порт 25, предназначенный для электронной почты, часто считается легитимным в облачных средах, где могут работать почтовые сервисы. Во-вторых, многие системы мониторинга сетевой безопасности не проводят глубокий анализ содержимого SMTP-сессий в поисках признаков командного управления. В-третьих, правила фильтрации исходящего трафика для этого порта могут быть менее строгими. Имплант формирует корректные с точки зрения протокола SMTP сообщения, в тело которых помещает закодированные данные. Команды от операторов возвращаются в виде кодов ответа SMTP и расширенных статусных сообщений, что делает коммуникацию малозаметной.

Еще более изощренным элементом является механизм избирательного подтверждения соединения, реализованный на стороне сервера управления. Сервер, расположенный по IP-адресу 43[.]99[.]48[.]196, настроен так, чтобы быть невидимым для автоматических сканеров интернета, таких как Shodan или Censys. При подключении он ожидает от клиента специальный токен, передаваемый в команде "EHLO". Если токен отсутствует или неверен, что характерно для сканирующих роботов, сервер отвечает стандартным приветственным баннером и закрывает соединение. В результате инфраструктура злоумышленников не попадает в публичные базы данных подозрительных или скомпрометированных серверов. Как отмечают исследователи, такое поведение знаменует собой значительную эволюцию в вопросах операционной безопасности группы Winnti для их инструментов под Linux.

Инфраструктура атаки также тщательно продумана. Сервер управления размещен в Alibaba Cloud в регионе Сингапур. Для его маскировки злоумышленники зарегистрировали три домена, использующих техники тайпсквоттинга - имитации легитимных названий с помощью опечаток или замены символов. Эти домены, зарегистрированные через NameSilo в течение одних суток 20-21 января 2026 года, мимикрируют под сервисы Alibaba Cloud и китайскую компанию по кибербезопасности Qianxin. Например, домен "ns1[.]a1iyun[.]top" имитирует "aliyun.com", заменяя букву "l" на цифру "1". Подобный шаблон массовой регистрации доменов с включенной приватностью WHOIS характерен для операционной деятельности APT41.

Важно понимать, что данный инцидент не является изолированным. Обнаруженный образец представляет собой закономерный этап в шестилетней эволюции инструментария Winnti для Linux. Его родословную можно проследить от раннего импланта PWNLNX, обнаруженного в 2020 году, через более совершенные модульные версии и вариант KEYPLUG, документированный компанией Mandiant в 2023 году. Этот путь показывает последовательные инвестиции группы в разработку облачно-ориентированных инструментов, которые эволюционировали от простых обратных оболочек до сложных сборщиков учетных данных с устойчивыми к обнаружению каналами управления.

Последствия успешного внедрения такого импланта в облачную инфраструктуру компании могут быть катастрофическими. Похищенные учетные данные IAM-ролей, сервисных аккаунтов и токенов управляемых идентичностей предоставляют злоумышленникам тот же уровень доступа, что и легитимным системам. Это открывает путь к тотальному нарушению конфиденциальности данных, краже интеллектуальной собственности, криптоджекингу за счет ресурсов жертвы или использованию инфраструктуры для последующих атак. Дополнительная функция, заставляющая имплант рассылать UDP-широковещательные пакеты в локальном сетевом сегменте, указывает на возможность горизонтального перемещения и создания ботнета внутри облачной сети жертвы.

Данный случай наглядно иллюстрирует, как продвинутые группы угроз адаптируют свои тактики под особенности современных облачных платформ. Защита от подобных атак требует комплексного подхода, выходящего за рамки традиционного антивирусного сканирования. Ключевыми становятся мониторинг аномальной сетевой активности, особенно нестандартного использования протоколов, строгий контроль за правами доступа облачных сервисных аккаунтов по принципу минимальных привилегий, а также регулярный аудит конфигураций и анализ поведения рабочих нагрузок. Облачные среды, при всей своей гибкости и мощи, становятся новой ареной для высококвалифицированных противников, и уровень защиты должен соответствовать этой реальности.

IPv4

• 43.99.48.196

Domains

• ai.aliyuncs.help
• ai.qianxing.co
• ns1.a1iyun.top

MD5

• f1403192ad7a762c235d670e13b703c3