Раскрыта многолетняя шпионская кампания KazakRAT, нацеленная на организации в Казахстане и Афганистане

В ходе мониторинга сетевой инфраструктуры специалисты выявили кластер подозрительных серверов, которые оставались незамеченными с лета 2022 года. Эти серверы использовались в качестве командных центров (C2) в устойчивой кампании. Анализ показал, что злоумышленники применяют Windows-ориентированный RAT, распространяемый в виде библиотеки DLL. Этот вредоносный код, названный KazakRAT, позволяет загружать и запускать дополнительные полезные нагрузки, собирать данные о системе, а также искать и похищать файлы с зараженных компьютеров.

Процесс внедрения KazakRAT отличается простотой. Злоумышленники используют установочные MSI-файлы, которые запускают исполняемый файл для копирования вредоносной DLL и установки механизма устойчивости через ключ реестра Run. При этом для маскировки часто применяются документы-приманки, релевантные для жертв. Например, в одном случае это было поддельное письмо от президента Казахстана, в другом - официальный документ о строительстве мечетей из афганской провинции Хост.

Сама вредоносная программа не обфусцирована, что упростило её анализ. Более того, коммуникация с командным сервером происходит по незашифрованному протоколу HTTP с использованием простого механизма опроса. Каждые пять секунд троянец отправляет на сервер POST-запрос, проверяя наличие новых команд. Сервер отвечает командами в скобках, такими как "(info)" для сбора информации о системе или "(exec путь_к_файлу)" для запуска исполняемого файла.

Важным прорывом в расследовании стала оперативная ошибка противника. Исследователям удалось зарегистрировать один из доменов C2, "dns.freiesasien[.]com", после того как злоумышленники позволили ему истечь. Это позволило перенаправить трафик зараженных систем на контролируемый сервер-ловушку (sinkhole) и пассивно собирать данные о жертвах. Телеметрия показала активные подключения с IP-адресов, относящихся к Казахстану, что подтверждает географическую направленность кампании.

На основе анализа инфраструктуры эксперты также установили, что та же группа использует модифицированную версию открытого шпионского ПО для Android - XploitSpy - для слежки за узбекскими и сирийскими экстремистскими группами. Это указывает на широкий спектр интересов актора. Все серверы KazakRAT располагались в двух автономных системах (AS209847 и AS52469), что демонстрирует определенную модель в выборе хостинга.

Несмотря на длительную и целенаправленную деятельность, группа демонстрирует низкий уровень операционной зрелости. Использование незашифрованного трафика, отсутствие обфускации кода и потеря контроля над доменами C2 говорят об ограниченных ресурсах или опыте. Исследователи отмечают сходство с деятельностью известной группы APT36 (Transparent Tribe), которая также известна использованием XploitSpy и таргетированием Афганистана. Однако однозначной атрибуции провести не удалось.

Простота протокола управления позволила экспертам полностью воссоздать серверную часть C2 на Python. Это дало возможность не только глубже изучить функционал троянца, но и продемонстрировать доказательство концепции, удаленно запустив на зараженной виртуальной машине калькулятор ("calc.exe"). Данный случай наглядно показывает, что даже относительно простые инструменты могут годами использоваться в успешных шпионских операциях, если они нацелены на конкретный, недостаточно защищенный сектор. Кампания оставалась активной на момент публикации отчёта, подчеркивая необходимость повышенного внимания к подобным угрозам.

IPv4

• 181.174.164.111
• 181.174.164.193
• 181.174.164.55
• 190.14.37.113
• 190.14.37.114
• 193.57.138.41

Domains

• dns.freiesasien.com
• dns.microbwt.team
• dsn.mamurigovaf.site
• server.fsocmicrsoft.com

SHA256

• 0669ad73c27e8c7eecf28db3a04ef1fd1738c2d11f1765c0e68444abd3ce7246
• 0aa58a9fe4d78a20e7b4c77fc1df759953fbc2cff7403941aaa0e0fa136f9683
• 0dd99aa29a8dc919fba9060efa771e6b825a7681f46a5bdc01b319348c19b69c
• 291f364c0abece2454e9674f0b1f6721ed2a66d58420eb48f896883c6eb0717a
• 312c9c3241409ec4ce4a75fb0e207aeb7de8004d0096b24bc727aa723eb47c54
• 3a7685e59bb3e2a4d7e8f2e1b8cadcb030829b94d0a79ed1cefe648b7efb3d5a
• 445eca3da9e518139ab6aa89bbd42998deb897f85e7c713bc997fe4d14d46492
• 4551133e1cb63a7a2470c677d060ab255deb5c7242113079ea210e7f5a4880d0
• 4e6f2ed696460c98b9148cb66ef8249bccd8b809b13b02100fcb444f1d13b228
• 5e60ccf20044148cbb58c063c245979a19db6be1cfed6a3a018c7430a0c75e44
• 683e8fedff2360d8fd4a5e0dfd4a5bc8b6d84fc7bcbff6bd86d1add19ce74133
• a7287c732c0559d49b9ad22f4fa843d3a837b33122e9195650e7f5331c27cf29
• b269225f6ff9e3b18ddd22df508b4daf26556b013b1527a809dc87eaca108ea9
• c164dcb81a6590b70ee6c0ab6a62da6e7a7c803bdc13a060beb84b33bd42c223
• c19b7adff6876fb527cc05f10137b8ada81ea8afc3dee760b5aa2016350bb3af
• d9e99210f813b0b265c3a5aa236128fe5cab5eb56da9a9551cd3f849d7b9405d
• df7b92b717abe121fb536a0eeb8e323cc9153f70250656dfc670c9650776afa7