Поддельное обновление Adobe превратило портал для подключения к Wi-Fi в капкан для дипломатов

UNC6384 Mustang Panda Google GTIG PlugX Chengdu Nuoxin дипломаты кибершпионаж
Поддельное обновление Adobe превратило портал для подключения к Wi-Fi в капкан для дипломатов
UNC6384 Mustang Panda Google GTIG PlugX Chengdu Nuoxin дипломаты кибершпионаж

Привычная процедура входа в сеть превратилась в многоступенчатую операцию по внедрению вредоносного ПО.

image

Китайская группа UNC6384 развернула серию атак на дипломатов в Юго-Восточной Азии и ряде других стран, действуя в интересах Пекина. Кампания, зафиксированная Google Threat Intelligence Group весной 2025 года, отличалась многоступенчатой схемой с применением социальной инженерии, атак типа «человек посередине», подмены порталов авторизации и даже цифровых сертификатов, выданных доверенными центрами. Такая комбинация позволила внедрить один из самых известных китайских шпионских инструментов — PlugX.

Механизм атаки начинался с проверки браузером подключения к интернету через тестовый запрос к домену gstatic.com. На этом этапе злоумышленники подменяли страницу входа в Wi-Fi на собственный ресурс, где предлагали установить обновление Adobe Plugin. Сайт имел HTTPS-соединение и сертификат Let’s Encrypt, что создавало иллюзию подлинности.

Жертва загружала файл AdobePlugins.exe, являвшийся загрузчиком STATICPLUGIN. Этот модуль был подписан действительным сертификатом компании Chengdu Nuoxin Times Technology Co., Ltd, выданным GlobalSign. Через него происходила загрузка MSI-пакета с того же домена, запуск DLL-библиотеки CANONSTAGER и размещение в памяти основной полезной нагрузки — модификации PlugX под названием SOGU.SEC. Для незаметного запуска использовался инструмент Canon IJ Printer Assistant Tool, в который внедряли вредоносную библиотеку cnmpaui.dll.

PlugX , известный также как Korplug или SOGU, используется с 2008 года и продолжает оставаться ключевым элементом арсенала китайских киберопераций. Он способен перехватывать ввод с клавиатуры, выгружать и загружать файлы, управлять удалённой командной оболочкой и подключать дополнительные модули. Вредонос распространяется через фишинговые письма, USB-носители, взломанные сайты и поддельные установщики. Его преемником считается более современный бэкдор ShadowPad, однако PlugX по-прежнему активно задействован.

Google отмечает, что UNC6384 имеет тактические и инструментальные пересечения с Mustang Panda , также известной под именами Bronze President, Camaro Dragon, Earth Preta, RedDelta и другими. С 2023 года исследователи зафиксировали более двух десятков вредоносных образцов, подписанных сертификатами Chengdu, что вызывает вопросы о том, каким образом эти подписи оказались в распоряжении атакующих.

Эксперты считают, что для перенаправления трафика через поддельный портал применялись взломанные пограничные устройства в сетях целей, хотя конкретный вектор проникновения остаётся неизвестным. Тем не менее комбинация перехвата соединений, валидных цифровых подписей и социальной инженерии демонстрирует рост возможностей UNC6384 и общее усложнение инструментов китайских группировок.