Очередной день — очередное кибер-шоу от наций. На этот раз действующие лица связаны с Китаем, а цели охватывают поистине тревожный спектр: правительства от Пакистана до Польши, оборонные структуры, журналисты, копающие под чувствительные темы, и активисты — ну, те, кто досаждает Пекину.
Trend Micro называет эту конкретную разновидность цифрового хаоса SHADOW-EARTH-053. Они активны как минимум с декабря, и хотя заявляют о некоем родстве с другими известными злодеями, тактика вызывает тревожное дежавю. Эксплуатация известных уязвимостей в серверах Microsoft Exchange и IIS? Есть. Развёртывание веб-шеллов вроде Godzilla для персистентного доступа? Есть. Затем наложение имплантов ShadowPad с использованием DLL sideloading. Это уже отработанный сценарий, но с новыми деталями.
А список жертв? Это геополитическое “кто есть кто” в мире проблем: Пакистан, Таиланд, Малайзия, Индия, Мьянма, Шри-Ланка, Тайвань. И Польша, единственный европейский член НАТО, похоже, попавший под раздачу. Почти половина этих целей SHADOW-EARTH-053, особенно в Малайзии, Шри-Ланке и Мьянме, ранее уже были скомпрометированы связанной группировкой, SHADOW-EARTH-054. Прямая координация не наблюдалась, говорят они. Ну конечно.
Первичный взлом обычно происходит методом грубой силы, хоть и цифровой. Эксплуатация неисправленных уязвимостей. Проникнуть, установить веб-шелл — считайте, это бэкдор для удалённого управления. Далее следует рекогносцировка, затем развёртывание бэкдора ShadowPad. Всё с использованием DLL side-loading, изящный трюк, чтобы вредоносный код выглядел как часть доверенного приложения.
Они даже использовали уязвимость React2Shell для распространения Linux-версии Noodle RAT. Да-да, RAT. Google Threat Intelligence связала всю эту цепочку с UNC6595. Open-source инструменты вроде IOX, GO Simple Tunnel и Wstunnel? Использовались для туннелирования. RingQ для упаковки бинарников. Mimikatz для повышения привилегий. Sharp-SMBExec для латерального движения. Это настоящий винегрет из вредоносов.
Рекомендации Trend Micro предсказуемы: патчите свои системы. Революционно. Но они также предлагают системы предотвращения вторжений (IPS) или межсетевые экраны веб-приложений (WAF) в качестве временной меры. Виртуальный патчинг, как они это называют. Будто у каждой организации есть ресурсы для такого уровня немедленной, индивидуальной защиты.
GLITTER CARP и SEQUIN CARP: Шепот, который кусается
Но шпионаж на правительственном уровне — это лишь половина истории. Citizen Lab сбросила отдельную бомбу о двух других группах, связанных с Китаем, GLITTER CARP и SEQUIN CARP. Их игра? Нацеливание на журналистов и группы гражданского общества. Уйгурские, тибетские, тайваньские, гонконгские диаспоры — обычные подозреваемые, которые могут, знаете ли, сообщать или протестовать против неудобных истин. Эти кампании появились в апреле и июне.
GLITTER CARP активно выдавали себя за людей и сотрудников службы безопасности техкомпаний, чтобы обмануть журналистов, особенно тех, кто работает в International Consortium of Investigative Journalists (ICIJ). SEQUIN CARP охотились за журналисткой ICIJ Scilla Alecci и другими, кто освещал темы, чувствительные для Пекина. Они используют одну и ту же инфраструктуру, одни и те же домены, одних и тех же выдающих себя за других лиц на множестве целей. Это промышленная операция по дезинформации и слежке, замаскированная под обычную кибербезопасность.
GLITTER CARP также запачкали руки фишинговыми атаками на тайваньскую полупроводниковую промышленность. Proofpoint видел нечто подобное ещё в июле, назвав это UNK_SparkyCarp. SEQUIN CARP, тем временем, имеет связи с UTA0388 от Volexity и TAOTH от Trend Micro. Всё связано, запутанная паутина влияния и вторжений.
Цель? Кража учетных данных электронной почты, сбор информации через фишинговые страницы или социальная инженерия, побуждающая жертв передать токены OAuth третьих сторон. GLITTER CARP даже используют пиксели отслеживания 1x1, чтобы подтвердить, были ли открыты письма. Мелкие детали. Большие последствия.
Это не просто кража данных. Это попытка заставить замолчать инакомыслие, контролировать нарративы и подрывать демократические процессы. Технологии изощрённы, тактики неумолимы, а цели — те, кто достаточно смел, чтобы говорить правду или сообщать о ней. Это тревожное напоминание о том, что цифровое поле боя простирается далеко за пределы обычной корпоративной шпионской деятельности.
“Группа эксплуатирует N-дневные уязвимости в интернет-ориентированных серверах Microsoft Exchange и Internet Information Services (IIS) (например, цепочка ProxyLogon), затем развёртывает веб-шеллы (Godzilla) для персистентного доступа и размещает импланты ShadowPad через DLL sideloading легитимных подписанных исполняемых файлов.”
Это не просто исправление уязвимостей; это понимание мотиваций, стоящих за настойчивыми, хорошо финансируемыми кибероперациями. В то время как корпорации и правительства изо всех сил стараются угнаться за эксплойтами, реальная битва ведется теми, кто стремится контролировать информацию и подавлять оппозицию. И это, откровенно говоря, битва, которую мы только начинаем понимать.
Почему это важно для журналистов?
Это важно, потому что инструменты, используемые против правительств, теперь направлены на “четвёртую власть”. Выдача себя за других, изощренный фишинг и сбор учетных данных больше не являются эксклюзивной прерогативой спонсируемой государством шпионской деятельности против стран-конкурентов. Журналисты, особенно те, кто расследует такие чувствительные темы, как нарушения прав человека или геополитическая напряженность, теперь являются мишенями на передовой. Возможность получить доступ к их коммуникациям и источникам — это прямая угроза для расследовательской журналистики и, как следствие, для общественной подотчётности. Эта кампания — не просто утечка данных; это атака на свободную прессу.
Как SHADOW-EARTH-053 использует Godzilla?
SHADOW-EARTH-053 использует веб-шелл Godzilla как критически важный компонент для установления персистентного доступа к скомпрометированным системам. После эксплуатации уязвимостей для получения первоначального доступа, злоумышленник развёртывает Godzilla, который функционирует как интерфейс командного управления. Это позволяет ему выполнять произвольные команды удаленно, проводить рекогносцировку в сети жертвы и, в конечном итоге, размещать дальнейшие вредоносные импланты, такие как ShadowPad, сохраняя при этом скрытое присутствие.
Что такое DLL Sideloading?
DLL sideloading — это техника, при которой легитимный, подписанный исполняемый файл заставляют загрузить вредоносную библиотеку динамической компоновки (DLL). Когда легитимная программа запускается, она ищет необходимые DLL-файлы в определённых местах, включая каталог, в котором она сама находится. Если в том же каталоге присутствует вредоносная DLL с ожидаемым именем, программа загрузит и выполнит её, эффективно предоставляя злоумышленнику способ запускать свой код под видом доверенного приложения.
🧬 Связанные материалы
- Читайте также: 9.8 уязвимостей Cisco предоставляют атакующим ключи сервера и root-доступ
- Читайте также: Speaking Tour 2026: ИИ, кибербезопасность, демократия [Расписание]
Часто задаваемые вопросы
Что делает SHADOW-EARTH-053?
SHADOW-EARTH-053 — это группа киберпреступников, связанная с Китаем, занимающаяся шпионажем. Они нацелены на правительства и оборонные структуры, в первую очередь путём эксплуатации уязвимостей, развёртывания веб-шеллов для персистентного доступа, а затем использования имплантов, таких как ShadowPad, для кражи информации.
Журналистов действительно атакуют китайские хакеры?
Да. Группы, такие как GLITTER CARP и SEQUIN CARP, идентифицированные Citizen Lab, целенаправленно атакуют журналистов и активистов с помощью изощренных фишинговых схем и выдачи себя за других, чтобы украсть учетные данные и получить доступ к конфиденциальной информации.
Стоит ли беспокоиться об этих эксплойтах?
Если вы представляете правительство, оборонный сектор или являетесь журналистом, расследующим чувствительные темы, то да, вам стоит очень серьёзно обеспокоиться. Обычным пользователям по-прежнему следует соблюдать правила кибергигиены, своевременно обновлять программное обеспечение и быть осторожными с подозрительными ссылками и электронными письмами.
