Разделение труда по-хакерски. Русские разработчики и китайские операторы объединились против 30 госструктур Азии

ShadowSilk Group-IB YoroTrooper Silent Lynx Азия кибератаки Telegram АТР
Разделение труда по-хакерски. Русские разработчики и китайские операторы объединились против 30 госструктур Азии
ShadowSilk Group-IB YoroTrooper Silent Lynx Азия кибератаки Telegram АТР

Когда один архив с паролем оказывается ключом к вашим секретам.

image

Группа ShadowSilk оказалась организатором новой волны атак против государственных учреждений в Центральной Азии и странах Азиатско-Тихоокеанского региона. По данным Group-IB, число жертв приближается к 30, а ключевая цель злоумышленников — кража конфиденциальной информации. Специалисты отмечают пересечение инфраструктуры и набора инструментов ShadowSilk с кампаниями группировок YoroTrooper, SturgeonPhisher и Silent Lynx.

Среди поражённых организаций — структуры в Узбекистане, Кыргызстане, Мьянме, Таджикистане, Пакистане и Туркменистане. Большинство атак направлено против государственных органов, но в список пострадавших также попали энергетические компании, предприятия розничной торговли, транспортные фирмы и производственные сектора.

По оценке аналитиков, за операцией стоит двуязычный коллектив: разработчики, говорящие по-русски, и операторы, использующие китайский язык. Первые связаны с унаследованным кодом YoroTrooper , вторые ведут проникновения в сети и управляют атаками. Глубина их сотрудничества до конца не ясна, но эта связка создаёт многоуровневый и гибкий профиль угрозы.

YoroTrooper впервые была описана в 2023 году. Тогда было показано, что группа ведёт атаки на правительственные, энергетические и международные организации в Европе с 2022 года, а её активность прослеживается с 2021-го. Позднее ESET указывала на казахстанское происхождение отдельных участников, учитывая знание казахского и русского языков, а также демонстративное нежелание атаковать местные структуры. В январе 2025 года Seqrite Labs выявила кампанию Silent Lynx против организаций в Кыргызстане и Туркменистане, также имеющую сходство с деятельностью YoroTrooper.

ShadowSilk представляет собой дальнейшую эволюцию этой экосистемы. Первичный доступ обеспечивается с помощью фишинговых писем с вложенными запароленными архивами. Архивы содержат загрузчик, который маскирует трафик под обмен с Telegram-ботами и доставляет дополнительные вредоносные модули. Для закрепления в системе вредонос меняет ключи в реестре Windows, добиваясь автозапуска после перезагрузки.

Помимо социальной инженерии, группа эксплуатирует публичные уязвимости: Drupalgeddon ( CVE-2018-7600 , CVE-2018-76020 ) и WP-Automatic для WordPress ( CVE-2024-27956 ). В арсенале значатся популярные инструменты разведки и пентеста — FOFA, Fscan, Gobuster, Dirsearch, Metasploit и Cobalt Strike. Для администрирования заражённых систем применяются веб-панели JRAT и Morf Project, приобретённые на теневых форумах, а также собственная утилита для кражи хранилища паролей Chrome вместе с ключом дешифровки. Известны случаи, когда злоумышленники размещали свои загрузчики на взломанных легитимных сайтах.

Закрепившись в сети, ShadowSilk разворачивает веб-шеллы ANTSWORD, Behinder, Godzilla и FinalShell, применяет утилиты на Sharp для постэксплуатации и туннелирования вроде Resocks и Chisel. Это позволяет перемещаться по инфраструктуре, повышать привилегии и выкачивать документы. На финальном этапе запускается Python-троян удалённого доступа, связанный с Telegram-ботом. Такой канал позволяет передавать команды и незаметно отправлять украденные данные, маскируя их под легитимный мессенджер-трафик. Модули Metasploit и Cobalt Strike используются для снятия скриншотов и фото с веб-камеры, а кастомный PowerShell-скрипт ищет файлы по списку расширений, пакует их в ZIP-архив и выгружает на внешний сервер.

По словам Group-IB, русскоязычные участники отвечают за разработку вредоносного ПО и первичный доступ, а скриншоты рабочих станций демонстрируют использование китайской клавиатурной раскладки, автоматический перевод госресурсов Кыргызстана на китайский язык и китайский сканер уязвимостей. Это подтверждает наличие китайскоязычного звена.

Наблюдения за инфраструктурой показывают, что группа остаётся активной: новые жертвы фиксировались ещё в июле. ShadowSilk продолжает концентрироваться на госструктурах Центральной Азии и АТР, что делает постоянный мониторинг её серверов и методов критически важным для предотвращения длительного присутствия в сетях и утечки данных.