Слияние угроз: три китайских кибергруппы одновременно атаковали правительство Юго-Восточной Азии

Расследование началось с отслеживания активности группы, известной как Stately Taurus, в период с 1 июня по 15 августа 2025 года. Этот кластер использовал червь USBFect (также известный как HIUPAN), распространяющийся через USB-накопители, для доставки бэкдора PUBLOAD. Однако углубленный анализ вскрыл присутствие в той же инфраструктуре ещё двух независимых кластеров, получивших внутренние обозначения CL-STA-1048 и CL-STA-1049. Их одновременная работа на одном объекте указывает не на случайное совпадение, а на скоординированные усилия, вероятно, направляемые общим стратегическим интересом. Подобная конвергенция инструментов и целей у разных групп является тревожным признаком для специалистов по защите, поскольку усложняет обнаружение и анализ инцидента, размывая границы между отдельными операциями.

Кластер Stately Taurus полагался на проверенный метод физического заражения через съёмные носители. Черви, подобные USBFect, остаются эффективным вектором в средах с ограниченным интернет-доступом или строгим сетевым сегментированием, где воздушный зазор может быть преодолён через неконтролируемые USB-устройства. Вредоносная программа копирует свои компоненты, включая загрузчик ClaimLoader, на подключаемые диски и заражает новые компьютеры, устанавливая автозапуск через реестр Windows. Ключевой полезной нагрузкой выступает бэкдор PUBLOAD, который шифрует системную информацию и устанавливает связь с командным сервером злоумышленников по протоколу TCP, маскируя трафик под легитимный TLS. Параллельно исследователи обнаружили в сети жертвы образцы другого загрузчика - CoolClient, чьи уникальные методы противодействия анализу совпали с таковыми у USBFect, что подтвердило его принадлежность к той же группе Stately Taurus. CoolClient, построенный на открытой библиотеке HP-Socket, функционирует как инструмент для туннелирования трафика и сбора данных, подготавливая почву для дальнейшего перемещения по сети.

Второй кластер, CL-STA-1048, действовал более агрессивно и шумно, развернув целый набор шпионских инструментов, как будто методом проб и ошибок ища тот, который сможет обойти защитные системы. Его активность началась с лёгкого бэкдора EggStremeFuel, который хранил свою конфигурацию командного центра в файле cookies, имитируя данные браузера. Вслед за этим атакующие попытались развернуть несколько удалённых троянов. Masol RAT, документированный ранее как инструмент китайской угрозы, обеспечивал выполнение команд и передачу файлов через HTTP. Одновременно была предпринята попытка загрузки многослойного EggStreme Loader, предназначенного для развёртывания мощного трояна Gorem RAT с 59 командами и встроенным кейлоггером, перехватывающим нажатия клавиш и содержимое буфера обмена. Завершал этот набор TrackBak - относительно простой похититель информации, маскирующийся под лог-файл браузера Edge. Такое разнообразие инструментария в короткий промежуток времени свидетельствует о высокой решимости злоумышленников получить точку опоры в системе любой ценой, даже рискуя быть обнаруженными.

Третий кластер, CL-STA-1049, напротив, сделал ставку на скрытность и изощрённость. Его отличительной чертой стало использование нового загрузчика, названного Hypnosis loader, для развёртывания трояна FluffyGh0st RAT. Атака строилась на технике DLL sideloading: злоумышленники помещали вредоносную библиотеку version.dll в каталог легитимного ПО Bitdefender, которое при запуске загружало её вместо системной. Hypnosis loader применял сложные техники, включая патчинг точки входа основного процесса, чтобы заблокировать его в бесконечном цикле, пока в отдельном потоке расшифровывалась и запускалась конечная полезная нагрузка. Ею, судя по косвенным признакам и связи с командным сервером, выступал FluffyGh0st - кастомная версия известного Gh0st RAT, связанная с группой Unfading Sea Haze. Этот троянец действует как основа для плагинов, которые он загружает по команде с сервера, что делает его функционал модульным и адаптируемым под конкретные задачи шпионажа.

Значительное совпадение тактик, техник и процедур (TTPs), а также используемого инструментария с ранее задокументированными кампаниями, такими как Crimson Palace, Earth Estries и Unfading Sea Haze, чётко указывает на китайское происхождение всех трёх кластеров. Хотя прямое взаимодействие между CL-STA-1048 и CL-STA-1049 в ходе этого инцидента не наблюдалось, их параллельная работа против одной высокоценной цели, перекрывающиеся инструменты и связь с одними и теми же публичными кампаниями рисуют картину скоординированной операции. Это не конкурирующие группы, а, вероятно, части более крупного целого, решающего общую задачу по проникновению и длительному шпионажу. Атака носила явно разведывательный, а не разрушительный характер, что видно по акцентам на сборе данных, кейлоггинге и создании постоянных каналов удалённого доступа.

Данный инцидент служит суровым напоминанием о сложности современных киберугроз государственному сектору. Противники обладают значительными ресурсами, терпением и готовы применять многоуровневые стратегии, комбинируя грубую силу и изощрённую скрытность. Защита от таких атак требует не только базового антивирусного контроля, но и глубокого мониторинга поведения, анализа сетевых аномалий, строгого контроля съёмных носителей и постоянного обновления знаний о тактике продвинутых угроз. Схождение нескольких опытных противников на одной цели - это новый вызов, на который специалистам по информационной безопасности придётся искать адекватный ответ, выходя за рамки реагирования на единичные угрозы.

IPv4

• 103.122.164.106
• 103.131.95.107
• 103.15.29.17
• 109.248.24.177
• 120.89.46.135

Domains

• distrilyy.net
• fikksvex.com
• laichingte.net
• popnike-share.com
• shepinspect.com
• theuklg.com
• webmail.homesmountain.com
• webmail.rpcthai.com

SHA256

• 05995284b59ad0066350f43517382228f7eee63cd297e787b2a271f69ecf2dfc
• 07bd506d2a8db98c2478ac11bb6c46d84f1aa84f4a9af643804ed857ad7399c3
• 11c7728697d5ea11c592fee213063c6369340051157f71ddc7ca891f5f367720
• 1aa37a477c539edf25656a300002a28d4246ec83344422dd705b42d3443a2623
• 21fe238c462b2f22a7e97f1f06e4f12e8c6e5f3a6fffe671b671909b501fa537
• 2616dfadf8aa222303269eb7202c75e2a8fc5b05b6b63ae2cb7576b9a27733f9
• 29d4cc64c7c9b7ecd16d96e9c6dcde1fe22a4c2d202074aadf41cbcef494bc19
• 34bf325492614dd4d842ec24f22a402ab73908cb91a74846945eae4775290ff2
• 4b29b74798a4e6538f2ba245c57be82953383dc91fe0a91b984b903d12043e92
• 4e26aa1bb28874f0897ab9a08e61d4b99caaa395fe63cbe4398f7297371e388c
• 58ed0463d4cb393cd09198a6409591b39cae06bb0ba5f5d760186de88410f6b8
• 6745422717f0ccdf2ae3330d133945268d4cd21215adcf982400d82b38ebeeca
• 6caa78943939bd7518f5e7eaa44fa778d0db8b822e260d7fe281cf45513f82d9
• 6f4f76c7a2638087a0da6002cd2c76d1673305b1e850a1f4068f14755f59d45b
• 74e7093615da36b28effb3aa6eef5a31e7ea59627bd619b488f087091e8d65e9
• 835795aa494021752f21fbef63c81227c1b934437a02aa1f2a258c9f60b0b7a3
• 83f06fa37f1136f765f799851812f11060ab34df3b34bc61777acc59a30b4c6e
• 84e37e42312b9a502c40cf1f3fc181e3ebd4f3e35c58bbf182740dfe38d3b6b9
• 851d57a2bf514202f54dafa1eb83a862653be7512b6e9535914b8d1d719d495f
• c47d55ad95a6c6ffac45c2b205e03bddadf5e36f55988599053b1fd0e49448a5
• d4d753c6ea5c86a44c9a65cd0d4eaeabb072b19e0ef68ef7da3a879f689772c9
• e1672dab0daf1c84f14f7bb827851c27753da067490e10cd6144fe7873892fec
• e61a1f4269e934481f6cb19576b3dbc434952b01445fd4e1ebc6906a1b449ef8
• e9b52577091c8e25e91c485216de34d5a26ab707a10b1e5cd31ed7aa055939d3
• f07b2af21e3fab6af5166a44ca77ed0ebc7c9a3e623202a63d4c4492abce8d65
• f62223c9750fb2edfd979a8cae204cb9ce5e0950b52a47b62f195cd05dd3e2fb