Разборка в даркнете закончилась падением GitLab, утечками Web3 и атаками на банки

Весной 2025 года группировка UTG-Q-015 активизировала масштабную кибероперацию, получившую условное название Operation RUN. По данным специалистов, за последние месяцы команда развернула сложную и многофазную кампанию, затронувшую сотни государственных и корпоративных ресурсов в Азии и за её пределами. Среди целей — сайты блокчейн-платформ , банковские и правительственные серверы, инфраструктура искусственного интеллекта и системы управления цифровыми подписями.

Впервые об этой группировке заговорили в декабре 2024 года, когда она атаковала китайские форумы для разработчиков, включая CSDN. Однако после публикаций о данной активности UTG-Q-015 резко изменила тактику: вместо открытых атак и спама форумов начались изощрённые взломы через уязвимости 0day/Nday. Уже в марте было зафиксировано появление новой волны сканирующих узлов, ориентированных на перебор паролей к публичным веб-серверам. После успешного взлома хакеры устанавливали Cobalt Strike , модифицировали туннели nps, а затем использовали инструмент fscan для латерального перемещения по сети с помощью скомпрометированных учётных данных.

С апреля началась ещё одна стадия атак — массовое внедрение вредоносных скриптов в страницы входа и панели управления на сайтах, связанных с блокчейн-технологиями. По данным системы SkyRock от Qi'anxin, вредонос загружался с адресов, замаскированных под официальные обновления: например, с доменов updategoogls.cc и облачных хранилищ, привязанных к гонконгским серверам. Жертве отображалось сообщение о необходимости загрузки нового «инструмента», якобы требуемого для доступа. После запуска файла на устройство устанавливался лёгкий .NET-бэкдор, обладающий функциями удалённого исполнения команд и загрузки дополнительных компонентов. В списке заражённых оказались более ста сайтов, включая интерфейсы авторизации Web3, GitLab, биткойн-кошельков и систем цифровых подписей.

Отдельно стоит отметить кампанию, направленную против финансового сектора. Здесь применялась трёхфазная схема заражения: сначала через уязвимости проникали на пограничные веб-серверы организации и устанавливали загрузчики, затем сотрудникам рассылались фишинговые сообщения в корпоративных IM-сервисах с приложением вида «confidential XXXX.exe». Это приложение при запуске подключалось к ранее скомпрометированному серверу организации и запрашивало финальную полезную нагрузку, завершая цепочку заражения.

Группировка также нацелилась на инфраструктуру, связанную с искусственным интеллектом на базе Linux. В феврале атакующие использовали уязвимость в плагине ComfyUI-Manager, позволяющую через открытый порт загрузить вредоносную модель, которая активировала бэкдор Vshell. Позже, в апреле, они задействовали уязвимость CVE-2023-48022, чтобы получить доступ к исследовательским серверам ИИ, с которых выполнялось скачивание bash-скриптов и дополнительных плагинов, также приводивших к запуску Vshell.

Особое значение имеет идеологический фон операции. По наблюдениям специалистов, UTG-Q-015 представляет собой профессиональную команду, действующую с территории Юго-Восточной Азии и предоставляющую услуги компаниям и госорганам в этом регионе. Она жёстко конкурирует с другими китайскоязычными группами , такими как участники операций EviLoong и Giant, которые занимаются высокоуровневым кибер шпионажем в своих интересах. Конфликт между этими структурами носит не только коммерческий, но и политический характер — именно по этой причине UTG-Q-015 в прошлом году атаковала крупные китайские ИТ-форумы: в ответ на критику и в целях дискредитации.

Operation RUN демонстрирует новый уровень агрессии и организованности в азиатском киберпространстве. За внешне технической активностью скрываются идеологические разногласия, конфликт интересов и борьба за доминирование в цифровом регионе, где границы между коммерцией и политикой стремительно исчезают. Как показывают исследования, подобные масштабные кампании становятся новой нормой в мире современных киберугроз.