Специалисты по информационной безопасности обнаружили необычную трансформацию инфраструктуры, ранее связанной с действиями группы Silver Fox. Узловой сервер, который прежде использовался в качестве командного центра (C2) для управления вредоносным ПО ValleyRAT, теперь функционирует как коммерческий прокси-узел, предназначенный для обхода государственных интернет-фильтров. Этот переход вскрывает целый пласт информации о разработчике инструментария и допущенных им ошибках оперативной безопасности.
Описание
Речь идет об IP-адресе 101.33.117[.]200, размещенном в Гонконге на мощностях Tencent Cloud. Ранее на портах 6666 и 8888 этого сервера фиксировалась активность командного центра группы Silver Fox, известной атаками на государственные учреждения, образовательные и производственные предприятия Китая и Тайваня. Однако при повторном сканировании узла выяснилось, что эти порты перестали отвечать. Их место заняли девять других, высоких портов (от 32080 до 43080), на которых специалисты [обнаружили] работу совершенно иного сервиса.
Анализ показал, что вместо ValleyRAT на сервере теперь работает собранная на заказ надстройка над платформой Xray-core, названная ZSpeeding. Она представляет собой многофункциональный прокси-стек, использующий протоколы VLESS, REALITY, SOCKS4A и gRPC. Ключевая особенность технологии REALITY заключается в возможности подменять сертификаты (SNI spoofing) для имитации легитимного трафика. В данном случае ZSpeeding маскирует свои соединения под трафик корпоративного мессенджера DingTalk и контент-доставляющей сети (CDN) Alibaba (*.dingtalk.com и *.tbcdn.cn). Для наблюдателя внутри Китая такой трафик выглядит совершенно безобидно и не подлежит блокировке, так как этими сервисами пользуется огромное количество предприятий и граждан.
Техническая экспертиза позволила восстановить полную цепочку атрибуции разработчика. На порту 40804 был найден критический провал в безопасности - открытый и неаутентифицированный эндпоинт /debug/pprof/. Это стандартный механизм профилирования Go-приложений, который в production-сборке оставлять нельзя. Он раскрыл разработчику все внутренности: список модулей, конфигурационные пути и работающие горутины. Среди зависимостей бинарного файла нашелся приватный модуль rawtext, написанный пользователем под ником fanyiguang. Самоподписанный сертификат на том же порту содержал в поле организатора значение agile-proxy, а в поле местоположения - Xiamen (Китай). Дальнейший анализ публичного репозитория agile-proxy на GitHub подтвердил личность: за проектом стоит разработчик под именем pengjunwen (彭俊文) из города Сямэнь, провинция Фуцзянь, с привязанной учетной записью QQ, идентифицирующей его в Китае.
Существует три возможных сценария трансформации сервера. Первый: один и тот же оператор, который управлял ботнетом, просто перепрофилировал сервер, монетизируя простаивающие мощности между кампаниями. Второй: Tencent Cloud вернул IP-адрес в пул, и его случайно приобрел другой арендатор. Третий: один физический сервер используется для двух разных целей разными операторами. Однако анализ времени безотказной работы, полученный из того же утекшего эндпоинта pprof, показал 49 дней непрерывной работы ZSpeeding. Это совпало по срокам с исчезновением портов C2, что делает сценарий полного перехода инфраструктуры к одному владельцу наиболее вероятным.
Важно отметить, что прямых доказательств связи личности pengjunwen с группой Silver Fox не найдено. Инструментарий для обхода блокировок - это отдельный мир, не пересекающийся с драйверами и методами закрепления, которые использует Silver Fox для атак на Windows-системы. Тем не менее, сам по себе инцидент является яркой демонстрацией двух грубых ошибок операционной безопасности. Во-первых, оставленный открытым эндпоинт /debug/pprof/ позволил вскрыть всю архитектуру программы без единой строчки реверс-инжиниринга. Во-вторых, самоподписанный сертификат с названием проекта и городом стал четким якорем для идентификации разработчика. Эти ошибки превратили анонимный коммерческий инструмент для обхода блокировок в задокументированный артефакт расследования. Специалистам по безопасности рекомендуется блокировать трафик на IP 101.33.117[.]200 и обращать внимание на появление в сети новых самоподписанных сертификатов с меткой agile-proxy или L=Xiamen.
Индикаторы компрометации
IPv4
- 101.33.117.200
IPv4 Port Combinations
- 101.33.117.200:32080
- 101.33.117.200:40003
- 101.33.117.200:40018
- 101.33.117.200:40338
- 101.33.117.200:40801
- 101.33.117.200:40803
- 101.33.117.200:40804
- 101.33.117.200:40820
- 101.33.117.200:43080
- 101.33.117.200:6666
- 101.33.117.200:8888
