Группировка APT-C-08, известная также под псевдонимом BITTER (蔓灵花), снова напомнила о себе серией целенаправленных атак на организации Южной Азии. Этот участник ландшафта постоянных киберугроз действует как минимум с 2013 года и за это время выработал зрелый арсенал методов для проникновения в сети государственных учреждений, оборонных предприятий и научных центров. На этот раз злоумышленники применили необычный технический приём - упаковку вредоносных скриптов на языке Python с помощью инструмента NUITKA, что позволило обойти часть защитных механизмов и упростить доставку нагрузки.
Описание
Как сообщают эксперты по информационной безопасности, атаки стали заметны в начале этого года. Жертвами в первую очередь стали организации в Пакистане и Бангладеш, хотя не исключено расширение географии на другие страны региона. Вектор заражения оказался двойным: либо пользователь получал исполняемый файл Python-скрипта, собранный NUITKA, напрямую, либо ему приходил файл в формате CHM (сжатая справка Windows), который при открытии загружал тот же самый упакованный скрипт. В любом случае первоначальная цель - доставить на компьютер жертвы небольшой загрузчик, который устанавливает связь с сервером управления и контроля (C2).
Специалисты из 360 Netlab обнаружили несколько образцов такого загрузчика. Один из них, названный delivery_of_the_aviation_technical_equipment.exe, размером почти 6 мегабайт, содержит в себе Python-код, преобразованный в исполняемый файл через NUITKA. При запуске он распаковывает временные компоненты в папку %TEMP%\onefile_XXXX_XXXXXXX и соединяется с C2-сервером 89.46.236[.]152:443. После успешного подключения сервер диктует машине, что делать дальше. Всего зафиксировано пять типов команд: сбор базовой информации о системе, загрузка дополнительных модулей, копирование самого себя через утилиту certutil, настройка автозапуска через планировщик заданий или меню "Пуск", а также распаковка дополнительного архива с инструментарием, например с переносной версией Python.
После того как загрузчик отрабатывает, на компьютер попадает более серьёзный компонент - shell-бэкдор. Он регистрирует уникальный идентификатор, чтобы не запускаться повторно, и связывается с другим C2-сервером 213.111.185.78:443. При старте он отправляет атакующему строку вида "имя пользователя@имя компьютера\nверсия ОС\n". Далее шпионы могут выполнять любые команды командной строки Windows - от просмотра системных данных до установки дополнительных полезных нагрузок. В одной из захваченных сессий злоумышленники скачали с сервера domainregistationcheck[.]com компонент, который оказался программой для кражи файлов.
Этот модуль, названный crsrs.exe, заслуживает особого внимания. Он работает асинхронно и использует шифрование AES для связи с управляющим сервером 151.236.4[.]164:5010. Его главная задача - мониторинг сменных носителей, таких как USB-флешки и внешние диски, а также синхронизация файлов с C2. Программа получает от сервера список хешей интересующих файлов, а затем ищет на дисках документы, содержащие определённые ключевые слова (например, названия проектов, грифы секретности). Обнаруженные файлы шифруются и отправляются атакующему. В дополнение к этому злоумышленники развернули известный коммерческий инструмент удалённого управления Remcos, который маскировался под файл imagingdevices.exe и после расшифровки подключался к серверу 89.31.121.220:443.
Примечательно, что группировка уже применяла NUITKA в своих операциях в конце 2025 года. Текущая кампания отличается тем, что набор используемых Python-модулей и версия интерпретатора (Python 3.12) полностью совпадают с теми, что фиксировались в прошлых атаках на Пакистан. Кроме того, ранее в арсенале BITTER уже был замечен Remcos. Это позволяет с высокой уверенностью связать новую волну атак именно с APT-C-08.
Последствия таких вторжений могут быть очень серьёзными. Похищенные документы и переписка способны нанести урон государственной безопасности, подорвать работу оборонных программ или скомпрометировать дипломатические переговоры. Для обычных пользователей угроза меньше, но организации, работающие с чувствительными данными, должны усилить меры защиты. Важно не открывать подозрительные вложения, особенно файлы с расширениями .exe, .chm или .scr, а также регулярно обновлять антивирусные базы и настраивать мониторинг аномальных сетевых соединений. Атаки BITTER - напоминание о том, что даже хорошо изученные группировки способны удивлять новыми техническими приёмами.
Индикаторы компрометации
IPv4
- 213.111.185.78:443
- 89.31.121.220:443
- 89.46.236.152:443
Domains
- getserviceupdates.com
URLs
- http://46.30.191.221/appv1.exe
- http://46.30.191.221/cf.py
- http://46.30.191.221/host.txt
- http://46.30.191.221/input.txt
- http://46.30.191.221/MsEdge
- http://46.30.191.221/ppersis.py
- http://46.30.191.221/ppp.py
- http://46.30.191.221/pw.exe
- http://46.30.191.221/taskhost
- http://46.30.191.221:8080/get-pip.py
- https://151.236.4.164:5010
- https://domainnamevalidator.com/uploads/taskhost
- https://domainregistationcheck.com/uploads/b1
MD5
- 017eb0e90e70a48e3b57f9c315e280f5
- 13209c997f62c6c6934bc3f20a6adbd8
- 23f5e51bf6d540553aa88c48480450a8
- 397591dd098f9240684f9a999e38eb12
- ab17051365bb75c2fd4637b0d560a312
- b33c8f6a2bebe8d6a41bff851a45f35f
- d286d439393bde76b734bd3406628d47
- e7c535d2ef05405870923204dd5829d6
