В 2022 году группа Red Raindrop из Центра анализа угроз компании Qi An Xin впервые раскрыла в отчете «Operation Typhoon» случаи атак группировки OceanLotus (APT32) на системы импортозамещения. Учитывая тогдашнюю низкую распространенность таких терминалов и тот факт, что на них часто хранится конфиденциальная государственная информация, аналитики ограничились предупреждением об этой тенденции. Однако в последующие годы мониторинг показал, что несколько хакерских групп, включая APT-Q-95, UTG-Q-008 и одну неизвестную группу, продолжили целенаправленные атаки на платформы импортозамещения и правительственные сети Китая. Их основная цель - кража государственных данных, сбор информации о национальной политике и стратегиях будущего развития.
Описание
В 2025 году, аналогично сценарию 2022 года, OceanLotus использовала вредоносное программное обеспечение (ВПО) из операции «Hurricane» для одновременных атак на платформы Windows и импортозамещения. Злоумышленники рассылали целевые фишинговые письма с вложениями в форматах LNK, Desktop, JAR и EPUB. Примечательно, что в ходе кампаний против Windows в октябре-ноябре 2025 года OceanLotus, по всей видимости, продемонстрировала своеобразную «травму», связанную с антивирусом Tianqing. Новый загрузчик (loader) специально проверял процессы жертвы на наличие связанных с Tianqing процессов и завершал работу, если они обнаруживались. Таким образом, атакующие неожиданно решили проблему, с которой сталкиваются пользователи: после того как движок Tianqing блокирует подозрительную активность и выдает предупреждение, пользователь часто разрешает выполнение.
Векторы атак и методы
Помимо цепочки поставок во внутренних сетях, текущие методы атак на платформы импортозамещения практически не отличаются от атак на настольные Linux-системы, демонстрируя значительную техническую общность. Ключевой вопрос заключается в том, как иностранные разведывательные службы в ходе текущей волны замены технологий точно определяют, какие организации уже перевели свою почтовую инфраструктуру на платформы импортозамещения. Согласно имеющейся информации, OceanLotus в настоящее время не способна на высокоточный фишинг. Ее стратегия в основном полагается на почтовые и документные зонды для исключения неподходящих целей, а итоговая эффективность достигается за счет массовой рассылки фишинговых писем.
Файлы Desktop в среде импортозамещения аналогичны файлам LNK в Windows и являются одним из самых распространенных форматов приманок для Linux-систем. Этот метод уже использовался иностранной группировкой APT36 в атаках на Индию. При двойном щелчке жертвы выполняется команда, указанная в поле «Exec». Как правило, функционал команды заключается в создании запланированной задачи для периодического обращения к командному серверу (C2) в ожидании получения второй стадии вредоносной нагрузки (payload). PDF-приманки обычно находятся в архивах, но также зафиксированы случаи прямого вызова WPS в системе импортозамещения для открытия удаленного документа.
Поскольку на большинстве государственных терминалов импортозамещения по умолчанию установлены среды выполнения Java и Python, они могут напрямую запускать JAR-файлы и Python-скрипты. В начале 2025 года OceanLotus рассылала вложения, такие как «亚太自贸区(FTAAP )路径之争及中国方案.jar» («Споры о пути создания Азиатско-Тихоокеанской зоны свободной торговли (FTAAP) и китайское решение.jar»). Вредоносный код проверял, является ли текущий терминал Linux-системой, и если да, то загружал файл «.report-scheduler-1.0-SNAPSHOT.jar» и создавал задачу планировщика, после чего открывал документ-приманку.
В середине 2025 года OceanLotus также использовала EPUB-файлы, содержащие уязвимость нулевого дня (0-day). Анализ показал, что это была уязвимость обхода пути (Path Traversal) в программе Atril EPUB, о которой стало известно в январе 2024 года. Эксплуатация уязвимости позволяла создавать файл «desktop-service-7803.desktop» в каталоге автозапуска для обеспечения устойчивости (persistence) и файл «.icWpnBHQc0Ka» в каталоге «.config». Затем расшифровывался файл «.icWpnBHQc0Ka», и в конечном итоге запускался загрузчик на Python.
Атаки на цепочку поставок во внутренней сети
Подобно атакам на платформы Windows в 2024 году, связанным с терминалами управления паролями, новые инциденты затрагивают несколько отечественных программных продуктов с функциями управления терминалами. OceanLotus проникала во внутреннюю сеть через целевые фишинговые письма, после чего безуспешно пыталась подобрать пароли к серверам управления паролями на платформах импортозамещения. Спустя почти месяц злоумышленникам, предположительно, с помощью уязвимости нулевого дня удалось скомпрометировать сервер. После этого на терминалы импортозамещения и Windows во внутренней сети распространялся вредоносный скрипт обновления. На терминалах импортозамещения скрипт использовал OpenSSL для создания обратной оболочки (reverse shell) с последующей доставкой вредоносной нагрузки второй стадии. Это первый известный случай атаки на цепочку поставок на платформе импортозамещения в стране.
Арсенал вредоносного программного обеспечения
Вредоносная программа (троян) в формате ELF, которую OceanLotus распространяет на платформах импортозамещения, имеет незначительные отличия от традиционных ELF-троянов для Linux. Данный троян осуществляет целенаправленную атаку на совместимость, обнуляя три байта, следующие за «Magic Number» файла ELF (которые идентифицируют разрядность, порядок байтов и версию). Это приводит к тому, что традиционные Linux-системы отказываются выполнять файл из-за ошибки формата, в то время как платформы импортозамещения успешно его обрабатывают. Эта тщательно продуманная деталь ясно свидетельствует о глубоком понимании OceanLotus базовых механизмов работы отечественных систем импортозамещения. Основная логика ELF-трояна совпадает с логикой вредоносной программы на Rust из операции «Hurricane».
Кроме того, OceanLotus продолжает тенденцию преобразования PE-файлов в шелл-код, и платформы импортозамещения не стали исключением. В последних атаках троянцы уже используют многоуровневое вложенное шифрование, в конечном итоге выполняя вредоносную программу на Rust, преобразованную в шелл-код.
Для адаптации к атакам на цепочку поставок во внутренних сетях OceanLotus также разработала несколько облегченных вредоносных программ, часто использующих пользовательские протоколы с простыми инструкциями. Предположительно, это могут быть одноразовые трояны. Один из типов подключается к внутреннему IP-адресу сервера управления паролями на порт 15001, поддерживая две команды: ping и init. Другой тип представляет собой ELF-файл, упакованный с помощью PyInstaller, который считывает конфигурационный файл в том же каталоге, расшифровывает данные и подключается к удаленному C2 по SSL-протоколу для выполнения команд.
При вторжении на пограничные маршрутизаторы в стране OceanLotus также внедряла скрытую бэкдор-программу с открытым исходным кодом, настраивая переадресацию портов (portmap) на зарубежные C2-серверы. Эта методика схожа с ранее раскрытой операцией «OceanStorm». Анализ показал, что используется бэкдор «apache2_BackdoorMod», который создает ответвление (fork) основного процесса Apache2 после загрузки конфигурации, позволяя выполнять команды от имени суперпользователя (root), и прослушивает локальный порт 32227.
Индикаторы компрометации
MD5
- 31d2192170e92579779b30aea102c121
- 9c70b4d193aaf41241d86fb45920564c
- bc99b603530609d7b6f40c7f912fbe2e
- 7b9f197532d342af5244ef1d3f2e9f4d
- a898d4d6e24a4612effa2b13d885fe99
- 5cfb68302f0736754906442185b2c0d5
- 3ae561425ac07975fdf4cd1d9c893534
- e1e3da8296ea93b3b4f49c959c6f6815
- 467f39b8c0efad1202fcd111005a6f03
