Раскрыт новый инструмент хакерской группы "Manlinghua": обнаружен ранее неизвестный RAT-троянец

Группа APT-C-08, которая, как считается, имеет связи с правительственными структурами Южной Азии, на протяжении нескольких лет активно атакует правительственные учреждения, дипломатические миссии, университеты и оборонный сектор. Ранее в её арсенале уже отмечались такие инструменты, как wmRAT, .NET-троянцы, ORPCBackdoor и MiyaRat. Однако недавно обнаруженный нагрузочный модуль, получивший название gmRAT, демонстрирует дальнейшую эволюцию тактик группировки.

Анализ показал, что новый троянец, маскирующийся под файл с именем gsxviewm.exe, использует для связи с командным сервером домен pololiberty.com и порт 56218. После установки соединения вредоносная программа собирает базовую информацию о системе: имя пользователя, hostname, данные об операционной системе, правах доступа и другие идентификаторы.

gmRAT поддерживает широкий спектр команд, позволяющих злоумышленникам полностью контролировать заражённую систему. Среди них - управление файлами (копирование, удаление, перемещение), загрузка и выгрузка данных, выполнение произвольных команд через cmd и PowerShell, создание скриншотов, перечисление дисков и манипуляции с процессами. Некоторые функции, такие как работа с реестром, помечены как ещё не реализованные, что подтверждает предположение о продолжающейся разработке.

Особый интерес представляет механизм передачи данных: троянец способен рекурсивно обходить каталоги, вычислять их размер и докачивать файлы при обрыве соединения. Данные передаются блоками по 64 КБ, что может помочь избежать обнаружения сетевыми системами защиты.

Были обнаружены и другие образцы того же семейства, например, файл gviewstc.exe с аналогичной функциональностью. Примечательно, что один из образцов был загружен в VirusTotal ещё в мае 2025 года, но до сих пор остаётся малораспознаваемым антивирусными движками, что свидетельствует о его высокой способности избегать обнаружения.

Атрибуция данного вредоносного ПО к группе "Manlinghua" подтверждается несколькими факторами. Во-первых, нагрузка распространялась через командные серверы, исторически связанные с этой группировкой. Во-вторых, использовались характерные шаблоны URL-путей с подстановкой переменных окружения, что ранее уже наблюдалось в атаках APT-C-08. В-третьих, целевой ландшафт и география атак полностью соответствуют прошлой активности группы.

Эксперты обращают внимание на то, что появление нового инструментария у "Manlinghua" свидетельствует о наличии у группировки значительных ресурсов и возможностей для постоянного совершенствования своих атакующих платформ. Это подчёркивает необходимость повышенной бдительности для организаций, которые могут стать целью подобных атак.

Пользователям рекомендуется проявлять осторожность при работе с вложениями в электронной почте, переходах по подозрительным ссылкам и запуске неизвестных исполняемых файлов. Регулярное обновление систем защиты и обучение сотрудников основам кибергигиены могут значительно снизить риски заражения.

IPv4 Port Combinations

• 185.237.166.24:56218

Domains

• pololiberty.com

MD5

• 3d6fc4d98e89f2d69341d944cfc104f4
• 810d2ed778ed8c6b81bffc311c58c835
• c0a438d69ae731ad705c46ac5209c8cc