Недоделанный троян APT-C-08 шпионит лучше, чем готовые — и никто не понимает как

APT-C-08 TA397 Bitter gmRAT wmRAT C2 RAT кибератаки
Недоделанный троян APT-C-08 шпионит лучше, чем готовые — и никто не понимает как
APT-C-08 TA397 Bitter gmRAT wmRAT C2 RAT кибератаки

Злоумышленники превратили реальные атаки в бесплатную отладку кода.

image

Хакерская группировка APT-C-08 , также известная как TA397 и Bitter, продолжает активно развивать собственный киберарсенал. Китайские исследователи выявили новый вредоносный компонент, относящийся к семейству удалённых троянов, который ранее не фигурировал в публичных отчётах. Он получил условное обозначение gmRAT по аналогии с более ранним wmRAT, активно применявшимся тем же сообществом. Новый инструмент ещё находится на стадии разработки, что подтверждается обозначением версии «beta_v1.0», но уже демонстрирует широкий набор функций для управления заражёнными системами.

Первый обнаруженный образец распространялся под именем gsxviewm.exe, имел размер около 395 КБ и подключался к C2-серверу pololiberty.com через порт 56218. После установки соединения он собирал информацию о машине жертвы — имя пользователя, хост, расположение процессов, версию операционной системы, административные права, а также идентификаторы оборудования — и передавал эти данные злоумышленникам.

Управление строится на системе команд, позволяющих выполнять операции с файлами и процессами, получать доступ к командной строке и PowerShell, выгружать и скачивать документы, делать скриншоты, а также просматривать список дисков. В числе команд встречаются: pwd, dir, cd, cp, mv, rm, run_process, upload, cont_upload, CNL_UP, StartTransmit, download, shell, pshell, list_drives, screenshot и другие. При этом загрузка и выгрузка данных реализованы через пошаговую передачу блоками по 64 КБ с пометками, позволяющими корректно продолжать прерванные операции.

Отдельные инструкции, такие как reg_query и reg_add, пока не реализованы полностью, что указывает на незавершённый этап разработки. Тем не менее gmRAT уже способен обеспечивать полный дистанционный контроль над целевой системой. Анализ команд показал, что троян сохраняет результаты в системных каталогах, например, скриншоты — в «C:\Users\Public\Pictures\ss.jpg», а загруженные файлы — в «C:\ProgramData\». Это подчёркивает ориентацию на незаметность и упрощает дальнейшее администрирование заражённых машин.

Помимо gsxviewm.exe, специалисты зафиксировали ещё один аналогичный вариант — gviewstc.exe, с тем же размером и идентичным функционалом. Его временная метка указывает на апрель 2025 года, а в VirusTotal он появился в мае, причём до сих пор имеет низкий уровень обнаружения, что подтверждает высокую скрытность новых разработок. Факт загрузки таких образцов именно с инфраструктуры APT-C-08, которая ранее распространяла wmRAT и .NET-зловреды, а также наличие характерных URL-шаблонов с системными переменными, позволяет уверенно отнести gmRAT к экосистеме этой группировки.

APT-C-08 традиционно концентрируется на странах Южной Азии, атакуя госструктуры, дипломатические миссии, университеты и оборонные предприятия. Активность в последние годы демонстрирует устойчивое наращивание технической базы: разработка собственных троянов, адаптация инструментов под новые платформы и уход от обнаружения. Выявленный gmRAT свидетельствует о намерении не только поддерживать прежние каналы доступа, но и расширять возможности за счёт новых компонентов. В сочетании с финансовой и кадровой поддержкой это превращает APT-C-08 в одну из наиболее опасных региональных APT-группировок.