В сфере кибершпионажа наблюдается тревожная эскалация: инструментарий китайской группировки UnsolicitedBooker, известной под альтернативным обозначением APT41, перешёл на новый уровень. Их основной инструмент - бэкдор MarsSnake - из относительно узконаправленного средства шпионажа превратился в модульную и устойчивую платформу, нацеленную на критическую инфраструктуру. Если ранее жертвами были правительственные и международные организации в Саудовской Аравии, то с осени 2025 года группировка совершила стратегический разворот в сторону телекоммуникационных компаний Кыргызстана и Таджикистана. Этот сдвиг значительно повышает потенциальный ущерб, поскольку доступ к сетям операторов связи открывает возможности для перехвата коммуникаций, долгосрочного сбора разведданных и картирования региональных информационных потоков.
Описание
Активность группировки UnsolicitedBooker документально фиксируется с марта 2023 года, а её последняя кампания, подробно исследованная аналитиками, продолжалась с сентября 2025 по февраль 2026 года. MarsSnake, написанный на C++, представляет собой многостадийный набор инструментов. Его архитектура сочетает в себе шифрованную доставку полезной нагрузки, выполнение собственного загрузчика, технику подмены библиотек (DLL side-loading), закрепление в системе через перехват COM-объектов, децентрализованные каналы управления и ограниченную способность к червеобразному распространению.
Начальным вектором атаки почти всегда остается целевой фишинг. В ранних кампаниях использовались вредоносные документы Microsoft Office, маскирующиеся под авиабилеты авиакомпании Saudia. В атаках на телеком-операторы Кыргызстана документы-приманки приобрели локальный колорит, ссылаясь на тарифы на SIM-карты и административные вопросы связи. Ключевым усовершенствованием, наблюдавшимся в 2026 году, стало использование файлов ярлыков Windows (LNK), названных так, чтобы походить на документы Word (например, "document.doc.lnk"). При открытии такой ярлык запускает цепочку исполнения через командную строку, пакетный файл и Visual Basic Script, в конечном итоге расшифровывая и выполняя основную полезную нагрузку MarsSnake.
Группировка продолжает эксплуатировать уязвимость CVE-2018-0802 - ошибку в компоненте Microsoft Office Equation Editor, позволяющую выполнить код через удалённый шаблон без необходимости включения макросов. Упорное использование этой старой уязвимости, для которой давно существуют исправления, демонстрирует понимание злоумышленниками медленных циклов обновления в региональной, особенно государственной, инфраструктуре.
После проникновения в систему запускается компонент загрузчика, часто сохраняемый под именем "smssdrvhost.exe", имитирующим легитимные процессы Windows. Он выполняет детектирование виртуальных машин и отладчиков, расшифровывает встроенную полезную нагрузку с помощью алгоритма AES CBC и обеспечивает устойчивость через модификацию реестра и перехват COM-объектов. Для скрытного выполнения в кампаниях против Кыргызстана использовалась техника подмены библиотек: легитимный подписанный исполняемый файл Microsoft "Plasrv.exe" загружал вредоносную библиотеку "PDH.DLL" из пользовательского каталога, обходя базовые механизмы контроля приложений.
Функциональность самого бэкдора обширна и включает сбор системной информации, выполнение произвольных команд для получения удалённой оболочки, полный доступ к файловой системе, а также развёртывание дополнительных полезных нагрузок, таких как LuciDoor. В некоторых случаях наблюдалось развёртывание программ-вымогателей Morpheus, что может указывать на двойные мотивы группировки - шпионаж и финансовую выгоду. Новая версия MarsSnake также получила функцию сканирования съёмных носителей, что создаёт риск преодоления воздушных зазоров внутри сегментированных сетей телекоммуникационных компаний и госучреждений.
Инфраструктура управления и контроля (Command and Control, C2) группировки разнообразна и устойчива. Используются традиционные домены, часть которых мимикрирует под российские сервисы (например, mail.ru.cdhgwnjjcw[.]xyz), что служит для запутывания атрибуции. Однако главной инновацией стало использование децентрализованной файловой системы IPFS (InterPlanetary File System) в качестве резервного канала связи. Если традиционные DNS- или HTTP-каналы блокируются, вредоносное ПО переключается на распределённые узлы IPFS, что значительно осложняет операцию по её нейтрализации. Кроме того, часть серверов C2 размещалась на скомпрометированных маршрутизаторах MikroTik с устаревшими версиями ПО, что позволяет вредоносному трафику маскироваться под легитимный административный.
Для практикующих специалистов по информационной безопасности инцидент с MarsSnake служит очередным напоминанием о критической важности базовых мер гигиены. Регулярное и оперативное обновление всего программного обеспечения, особенно офисных пакетов, способно закрыть такие векторы, как эксплуатация CVE-2018-0802. Не менее важны повышение осведомлённости пользователей об опасности фишинга, включая неочевидные файлы ярлыков, и внедрение строгих политик контроля приложений, способных блокировать выполнение неподписанного кода и подозрительные активности, связанные с COM-объектами. Мониторинг сетевого трафика на предмет аномальных DNS-запросов и соединений с узлами IPFS, а также аудит конфигурации сетевого оборудования на предмет несанкционированных изменений должны стать частью рутинных процедур, особенно для организаций, работающих в критически важных секторах. Эволюция MarsSnake из инструмента целевого шпионажа в платформу для атак на инфраструктуру показывает, что угрозы не стоят на месте, и защита требует комплексного, многоуровневого подхода.
Индикаторы компрометации
IPv4
- 81.70.28.71
- 93.157.106.75
Domains
- button.gdakdbysw.xyz
- contact.decenttoy.top
- mail.ru.cdhgwnjjcw.xyz
URLs
- https://webhook.site/
SHA256
- 01f28cefdcf3940c19efd7a0446aa0e56c56bc7c955774c94d6d469fca627a4e
- 2d1c235ddc76d427c48c39c22e6dc50141f09734270eaf01778713f987e99cc4
- e6a28b3833384018bad60043c82bb4cfcce86a3418ece86ea0d71c7aac9ca22b
